사이버보안의 이해와 전략을 수립하는 방법

조직들은 정보 시스템과 데이터에 대한 많은 위협에 직면해있다. 사이버보안에 대한 기본 요소를 이해하는 것은 이런 위협을 해결하기 위한 첫번째 단계다.

사이버보안은 정보의 무결성, 기밀성, 가용성(Integrity, Confidentiality and Availability, ICA)을 보장하는 관행이다. 이는 하드드라이브 고장이나 정전과 같은 사고나 적의 공격으로부터 방어하고 복구할 수 있는 능력을 의미한다.

후자에는 아마추어 해커에서 전문 해커와 APT를 실행할 수 있는 범죄 집단 등 모두가 포함되며 이는 기업에 있어 심각한 위협이 된다. 비즈니스 연속성과 재해복구 계획은 애플리케이션과 네트워크 보안과 같은 사이버보안에 중요한 요소다.

보안은 기업 전체에서 최우선적이어야 하며, 고위 경영진의 위임을 받아야 한다. 현재 정보세계의 취약점은 강력한 사이버보안 수단을 필요로 한다. 경영진은 모든 시스템이 특정 보안 표준을 준수하고 직원이 제대로 교육받았는지 확인해야 한다. 예를 들어, 모든 소스코드에는 버그가 있으며, 그 가운데 일부는 보안 결함이다. 결국 개발자는 인간일뿐이다.

보안 교육
인간은 항상 사이버보안에서 가장 약한 요소다. 안전한 코드 작성을 위한 개발자 훈련, 강력한 보안 상태 유지를 위한 운영 직원 교육, 그리고 최종 사용자에게는 피싱 이메일, 소셜 엔지니어링 공격 등을 알리는 교육 등과 같은 사이버보안 교육은 인식에서부터 시작한다.

강력한 통제가 이뤄지고 있더라도 기업들은 사이버 공격을 경험할 것이다. 공격자는 가장 약한 부분을 악용하는데, 기업들은 사이버 위생(cyber hygiene)이라고 하는 기본적인 보안 작업을 수행해 많은 공격을 예방할 수 있다.

외과 의사는 먼저 손을 씻지 않고는 수술실에 들어가지 않듯이 마찬가지로 기업은 강력한 인증 수단을 유지하고 공개적으로 접속할 수 있는 곳에 민감한 데이터를 저장하지 않는 등의 사이버보안 관리의 기본 요소를 수행할 의무가 있다.

좋은 사이버보안 전략은 이런 기본 사항을 넘어서야 한다. 정교한 해커들은 대부분의 방어를 회피할 수 있으며, 공격자가 시스템에 진입할 수 있는 방법 또는 진로의 수는 대부분의 기업에서 확대되고 있다.

예를 들어, 정보와 실제 세계가 합쳐지고 범죄자와 스파이는 이제 자동차, 발전소, 의료기기, 심지어 IoT 냉장고와 같은 사이버 물리적(cyber-physical) 시스템의 ICA를 위협하고 있다. 마찬가지로 클라우드 컴퓨팅에 대한 추세, 직장에서의 BYOD 정책, 급증하는 IoT에 대한 새로운 과제가 발생한다. 이런 시스템을 방어하는 것이 무엇보다 중요해졌다.

사이버보안을 더욱 복잡하게 만드는 것은 소비자의 개인정보보호를 둘러싼 규제 환경이다. EU의 GDPR(General Data Protection Regulation)과 같은 엄격한 규제 프레임워크 준수는 조직이 GDPR과 기타 규정의 개인정보보호와 보안 의무를 준수하도록 보장하는 새로운 역할을 요구하고 있다.

결과적으로 사이버보안 전문가에 대한 수요가 증가함에 따라 자격을 갖춘 전문가를 영입하기 위해 고군분투하는 관리자를 고용하게 됐다. 이런 상황은 조직이 가장 큰 위험 영역에 집중할 것으로 요구한다.

사이버보안의 형태
사이버보안의 범위는 광범위하다. 사이버보안의 핵심 영역은 다음과 같이 설명할 수 있으며, 좋은 사이버보안 전략은 이 모든 것을 고려해야 한다.

- 주요 인프라 보안 
중요한 인프라에는 전력망, 수질 정화, 신호등 및 병원을 포함해 사회가 의존하는 사이버 물리 시스템이 포함된다. 예를 들어, 발전소를 인터넷에 연결하면 사이버 공격에 취약해진다.
중요한 인프라를 담당하는 조직은 이런 취약점을 이해하고 보호하기 위해 실사를 수행해야 한다. 다른 모든 조직은 자사가 의존하는 핵심 인프라에 대한 공격이 어떻게 영향을 미칠지 평가하고 비상 계획을 수립해야 한다.

- 네트워크 보안
네트워크 보안은 권한이 없는 침입과 악의적인 내부자를 막는다. 다만 네트워크 보안을 보장하려면 균형을 유지할 필요가 있다. 예를 들어, 추가 로그인과 같은 접속 통제가 필요할 수 있지만 이로 인해 사용자의 생산성이 저하될 수 있다.
네트워크 보안을 모니터링하는 데 사용되는 도구는 많은 양의 데이터 트래픽을 발생시키기 때문에 유효한 경고가 누락되는 경우가 많다. 보안팀은 이런 네트워크 보안 모니터링을 좀 더 잘 관리할 수 있도록 머신러닝을 사용해 실시간으로 비정상적인 트래픽을 표시하고 위협에 대한 경고를 하고 있다.

- 클라우드 보안
기업의 클라우드 진출로 새로운 보안 문제가 발생한다. 예를 들어, 2017년에는 잘못 구성된 클라우드 인스턴스로 인해 거의 매주 데이터 유출 사고가 발생한 것으로 나타났다. 클라우드 제공업체는 기업 사용자가 데이터 보안을 강화하는 데 도움이 되는 새로운 보안 도구를 개발하고 있지만, 위험한 상태가 지속되고 있다. 클라우드로 전환하는 것은 사이버보안과 관련해 만병 통치약이 아니다.

- 애플리케이션 보안
애플리케이션 보안, 특히 웹 애플리케이션 보안은 기술적 공격 지점 가운데 가장 약한 곳이 됐음에도 불구하고 OWASP의 10가지 웹 취약점을 모두 적절히 완화하는 조직은 거의 없다. 애플리케이션 보안은 안전한 코딩방법에서 시작해 퍼징(fuzzing) 및 침투 테스트를 통해 보완돼야 한다.
클라우드에서의 신속한 애플리케이션 개발과 배포는 데브옵스(DevOps)라는 새로운 분야를 등장시켰다. 데브옵스 팀은 일반적으로 보안에 대한 비즈니스 요구사항 우선순위를 지정한다. 우선순위는 위협의 확산에 맞춰 변경될 수 있다.

- IoT 보안
IoT(Internet of things)는 가전 제품, 센서, 프린터 및 보안 카메라와 같은 다양한 사이버 물리적 시스템을 의미한다. IoT 기기는 보안이 취약한 상태로 출하되며, 보안 패치가 거의 또는 전혀 제공되지 않기 때문에 봇넷의 일부가 될 수 있다. 이런 상황은 해당 기기 사용자뿐만 아니라 인터넷에 있는 다른 사람들도 위협받을 수 있다. 이는 가정 사용자와 사회 모두에게 보안 문제를 야기한다.

사이버 위협의 형태
통상적인 사이버 위협은 다음과 같은 세 가지 일반적인 범주에 속한다.

- 기밀성에 대한 공격
신용카드 사기, 신분 도용, 또는 비트코인 지갑 절도와 같은 다양한 공격을 포함해 표적의 개인정보를 훔치거나 복사하는 것은 사이버 공격의 시작이다. 국가 후원의 스파이는 정치적, 군사적, 경제적 이익을 위해 기밀정보를 비밀리에 획득하는 것이 그들의 주요 업무다.

- 무결성에 대한 공격
통상적으로 사보타주(sabotage)라는 이름으로 잘 알려진 무결성 공격은 정보나 시스템, 그리고 이를 신뢰하는 이들을 변질시키거나 손상 또는 파괴하는 행동을 의미한다. 무결성 공격은 표적에 대한 사보타주 행위로, 데이터를 훼손시키거나 태워버리는 등의 지금보다 좀 더 교묘해질 수 있다. 가해자는 아마추어 해커에서부터 국가 후원의 공격자에 이르기까지 다양하다.

- 가용성에 대한 공격
표적이 데이터에 접속하는 걸 방해하는 것은 오늘날 랜섬웨어나 DOS 공격의 형태로 가장 많이 나타난다. 랜섬웨어는 표적의 데이터를 암호화하고 해독을 위해 몸값을 요구한다. 일반적으로 DDoS(Distributed Denial-of-Service) 공격으로 대변되는 DoS 공격은 네트워크 리소스 요청을 한꺼번에 많이 일으킴으로써 이를 사용할 수 없도록 만든다.

사이버 공격 수행 방법 
사이버 공격을 수행하는 방법은 다음과 같다.

- 소셜 엔지니어링(Social engineering), 사회공학적 공격
공격자는 인간을 해킹할 수 있다면 컴퓨터를 해킹하지 않을 것이다. 랜섬웨어를 전파하기 위해 자주 사용되는 사회 공학적인 악성코드는 최고의 공격 방법이다(버퍼 오버플로우(buffer overflow), 설정오류(misconfiguration), 첨단 익스플로잇이 아니다).
최종 사용자는 종종 신뢰하고 자주 방문하는 웹 사이트에서 트로이목마 프로그램을 실행하도록 속는다. 지속적인 사용자 교육이야말로 이런 공격을 대항할 수 있는 방법이다.

- 피싱 공격(Phishing attacks)
다른 사람의 비밀번호를 훔치는 가장 좋은 방법은 그것을 드러내도록 속이는 것이다. 피싱의 놀라운 성공율이 이를 대변한다. 보안 교육을 잘 받은 현명한 사용자조차도 피싱 공격에 취약하다.
이중요소 인증(two-factor authentication, 2FA)이 최고의 방어 수단이다. 공격자가 비밀번호를 탈취하더라도 하드웨어 보안 토큰이나 사용자 전화기를 통한 소프트토큰 인증자와 같은 두번째 요소가 훌륭한 방어 수단이 된다.

- 패치되지 않은 소프트웨어
공격자가 제로데이 공격을 전개하면 해당 기업을 비난하기는 어렵다. 하지만, 패치를 적용하지 않으면 상당한 주의를 수행하지 않는다면 얘기는 달라진다. 취약점 공개 후 수개월 이상이 지났음에도 기업이 해당 보안 패치를 적용하지 않은 경우, 피해자는 해당 기업에 비난의 화살을 쏟아낼 수 있다. 패치가 중요하다.

- 소셜 미디어 위협(Social media threats)
캣피싱(Catfishing)은 데이트 장면만을 위한 것이 아니다. 공격자들은 믿을 수 있는 다중 계정으로 링크드인(LinkedIn) 네트워크를 통해 공격을 가한다. 100명의 전문가 연락처를 아는 사람이 자신의 작업에 대해 대화를 시작하면 그리 이상하게 생각하지 않을 것이다. 부주의한 말 실수가 배를 침몰시키듯이 산업계와 국가 양쪽에서 다양한 소셜 미디어 간첩이 예상된다.

- APT(Advanced Persistent Threats)
국가 주도의 첩보원이 원하는 것을 기업이 갖고 있다. 여러 개의 APT가 자사의 네트워크에서 숨바꼭질을 하고 있다는 것에 대해 놀라지 말자. 회사 누군가가 어느 곳에서나 원격으로 일하는 것에 관심있어 한다면 해당 기업은 정교한 APT에 대한 보안 방안을 세워야 한다. IT 업계보다 더 중요한 지적 재산권을 보유한 곳은 많지 않으며, 범죄자와 국가 첩보원들의 활동이 많은 분야도 없다.

사이버보안 직업
강력한 사이버보안 전략을 실행하기 위해서는 적절한 인력이 필요하다. 의사결정권자에서부터 최일선에서 일하는 보안 엔지니어에 이르기까지 전문적인 사이버보안 직원에 대한 필요성은 시간이 갈수록 높아지고 있다.

보안 책임자는 조직을 위한 미션 크리티컬한 데이터를 보호하기 위해 의사결정권자나 이사회 내에서 자신의 방법을 관철시키는 역할을 담당한다. 현재 CSO(Chief Security Officer)나 CISO(Chief Information Security Officer)는 어떤 조직에서든 갖춰야 할 핵심 관리 직책이 됐다.

역할 또한 좀 더 전문화가 됐다. 일반 보안 분석가의 시절은 점점 더 빨리 사라지고 있다. 오늘날 침투 테스터는 애플리케이션 보안, 네트워크 보안, 또는 직원들의 보안 인식을 테스트하기 위해 사용자 피싱에 중점을 둘 수 있다. 사고 대응 팀은 연중 무휴로 사용자와 전화를 할 수 있다. 모든 보안팀이 갖춰야 할 기초적인 직업은 다음과 같다.

- CISO/CSO
CISO는 조직의 IT 보안 부서와 관련 직원의 운영을 맡은 C 레벨의 경영진이다. CISO는 조직의 정보 자산을 보호하기 위한 전략, 운영, 예산을 지휘하고 관리한다.

- 보안 분석가(Security analyst)
사이버보안 분석가, 데이터 보안 분석가, 정보 시스템 보안 분석가, 또는 IT 보안 분석가라고도 하는 이 역할은 일반적으로 다음과 같은 책임이 주어진다.

• 보안 조치 및 제어 계획, 구현 및 업그레이드
• 무단 접속, 수정, 또는 파괴 행위로부터 디지털 파일과 정보 시스템 보호
• 데이터 관리 및 보안 접속 모니터링
• 내외부 보안 감사 수행
• 네트워크, 침입 탐지 및 예방 시스템 관리
• 근본 원인 파악을 위한 보안 침해 분석
• 기업 보안 정책 정의, 이행, 유지 관리
• 외부 공급업체와의 보안 계획 조정

- 보안 아키텍트(Security architect)
훌륭한 정보보안 아키텍트는 비즈니스와 보안 분야에 걸쳐 있다. 역할은 산업별 세부 사항에 따라 달라질 수 있지만, 조직의 컴퓨터 및 네트워크 보안 인프라를 계획, 분석, 설계, 구성, 테스트, 구현, 유지, 지원해야 하는 고위급 직책이다. 이를 위해서는 IT와 정보 요구사항에 대한 포괄적인 인식을 통해 비즈니스를 파악해야 한다.

- 보안 엔지니어(Security engineer)
보안 엔지니어는 기업의 자산을 위협으로부터 보호하는 최일선에 서있다. 이 직업은 강력한 보안 기술과 조직적 의사 소통 기술이 필요하다. IT 보안 엔지니어는 상대적으로 새로운 직책이며 IT 인프라의 품질 관리에 중점을 둔다. 여기에는 확장 가능하고 안전하며 견고한 시스템의 설계, 구축, 방어가 포함된다. editor@itworld.co.kr