2018.01.10

"보안 자동화 추세에 따라가기", 그 사례와 대응 전략

Stacy Collett | CSO
미국 일리노이 웨스트 오로라 129 교육구(West Aurora School District)의 네트워크 엔지니어인 호세 아렐라노는 "1만 여개의 연결된 장치, 1,900명의 교직원, 1만 2,700명의 학생들이 사용하는 네트워크를 계속 안전하게 유지하는 것이 가장 힘든 일"이라고 말했다.

보안 담당자 2명은 학생과 교직원을 위해 가능한 효율적이면서 안전하게 네트워크를 운영하는 일에 주로 초점을 맞췄다. 아렐라노는 "자원과 예산이 제한되어 있어 항상 '내부'에 초점을 맞췄다"고 말했다.

그런데 지난해 가을 DDoS 공격이 교육구 네트워크를 6주 넘게 붕괴시켰는데, 문제를 파악하는 데 어려움을 겪는 일이 있었다. 이에 초점을 '방지'에서 '탐지와 대응'으로 전환해야 했다. 아렐라노는 이를 "아주 힘든 일"이라고 표현했다.

아렐라노와 똑같은 걱정을 하는 보안 분야 종사자가 계속 증가하고 있다. 시장 조사 업체인 사이버엣지 그룹(CyberEdge Group)이 발표한 조사 결과에 따르면, 2015년과 2016년 전세계의 IT 보안 종사자들이 직면한 가장 큰 도전과제는 '불가항력적인 사이버 위협 환경'이다. 그리고 새로 발표되는 조사 결과와 보고서들은 '골칫거리'가 증가하고 있음을 알려준다.

위협 인텔리전스 전문업체인 리스크 베이스드 시큐리티(Risk Based Security)의 보고서에 따르면, 알려진 취약점의 수가 무서운 속도로 급증하고 있다. 2017년 1~3월에 보고된 취약점만 4,837개로 지난해 같은 기간에 비해 29.2%가 증가했다.

워너크라이(Wannacry) 랜섬웨어 공격은 가장 최근에 전세계를 떠들썩하게 만든 공격 가운데 하나다. 이 밖에도 악성코드, 랜섬웨어, 피싱 등 '악당'들의 공격이 끊이지 않고 발생하고 있다.

또한 이런 공격의 대부분이 표적을 가리지 않는다. 규모와 상관 없이, 모니터링 시스템으로부터 매일 수 만에 달하는 보안 경고를 받는 기업과 기관이 많다. 예를 들어 시장조사 업체인 오범(Ovum)에 따르면, 공격 가능성을 알려주는 보안 경고의 수가 매일 20만 개가 넘는 은행들의 비율이 37%에 달한다.

이런 다양한 공격들은 보안 팀의 '통점'을 늘린다. 데이터를 분석하고, 수 많은 경고의 대응 우선순위를 정해야 한다. 그런 후 '공급'이 부족한 사이버 전문가가 직접 조사를 해야 실제 대응을 하고, 조치를 취할 수 있다.

옥스포드 이코노믹스(Oxford Econumics)가 서비스나우(ServiceNow)의 의뢰로 실시한 서베이에 따르면, 탐지한 보안 침해에 대응하지 못할 것을 걱정하는 응답자의 비율이 81%에 달한다. 사이버시큐리티 벤처스(Cybersecurity Ventures)의 최신 보고서는 충원하지 못한 사이버보안 일자리가 지난 해 100만에서 2021년에는 350만으로 증가할 것으로 내다보고 있다.

다행히 새로운 자동 탐지 및 사고 대응 기술들이 다수 등장해 어느 정도 위안을 주고 있다. 그러나 포레스터 리서치(Forrester Research) 보안 및 위험 담당 시니어 애널리스트 조셉 블랭켄십에 따르면, 아직까지도 보안 자동화를 싫어하는 기업들이 많다. 블랭켄십은 "과거 자동화가 문제를 초래했었다. 적법한 트래픽을 차단하고, 서비스 중단을 야기했다. 누군가 자동화 과정을 확인, 검증해야 했다. 그렇지 않으면 자동화 때문에 많은 문제가 발생할 수 있었기 때문이다"고 말했다.

지금은 과거보다 '긍정적'이다. 블랭켄십은 "최근 들어 단순한 로그 데이터 이상을 끄집어내고, 대응 동작을 구현할 수 있는 API들이 등장했다. 플랫폼 간 상호 운영성이 개선됐다. 조금 더 자유롭게 데이터를 교환할 수 있는 API 덕분에 자동화와 오케스트레이션 계층을 구현할 수 있게 되었다"고 설명했다.

ESG 수석 분석가이자 이 회사의 사이버보안 서비스를 만든 존 올트식은 "오케스트레이션과 자동화는 강력한 솔루션이다. 그러나 이를 제대로 이해하고 다룰 수 있어야 강력한 효과를 발휘한다. 모든 문제를 해결할 수 없다. 때론 프로세스를 바꿔야 한다"고 설명했다.

기업이 선택해 사용할 수 있는 자동 사고 대응 솔루션의 종류가 다양하고 많다. 그러나 하나로 모든 문제를 해결할 수 없다. 다음은 3개 기업의 사이버보안 도전과제와 대응 전략을 정리한 내용이다.

무수히 많은 보안 데이터를 관리
관리형 도우미 서비스 공급업체인 케어웍스(CaeWorks)는 미국 외 88개와 미국 내 6개의 시설에서 보안 도구들이 보내는 보안 데이터를 수집하고 있다. 케어웍스 CIO이자 CTO 바트 머피는 "IT 인력이 충분한 상황에서도 처리가 힘들 정도로 많은 데이터다. 한 마디로, 최소한으로 최대한을 달성해야 한다"고 말했다.

머피는 취약점 스캐너와 보안 분석 소프트웨어, 엔드포인트 솔루션으로 데이터를 수집하고, 최소한 일부 워크플로우를 자동화하는 방법을 찾기 시작했다. 케어웍스는 이미 서비스나우의 PaaS를 사용해 엔터프라이즈 IT 운영을 자동화하고 있었다. 케어웍스는 2017년 3월 서비스나우의 보안 운영 모듈을 추가했다.

아직 도입 초기 단계이지만, 자동화할 수 있는 워크플로우를 파악하기 위해 시만텍, 네서스(Nessus), 로그리듬(LogRythm), 태니움(Tanium) 같은 도구들을 통합했다. 머피는 "궁극적으로 스스로 위협에 능동적으로 대응하고, 이를 보고할 수 있도록 만들기 위해 오케스트레이션을 사용할 계획이다"고 강조했다.

현재 섹옵스(SecOps) 모듈이 잠재적인, 또는 실제 보안 사고와 관련된 모든 행동을 추적하고 있다. 수동으로 수많은 로그를 분석할 필요가 없다. 아직은 이런 방법을 통해 얼마나 많은 시간과 인력을 절약할 수 있을지 말하기는 이르다. 머피는 "지금 당장은 우리가 알고 있는 한 최대한 보호와 예방을 하는 것이 목표이다"면서도, "그러나 보안 자동화에 대한 신뢰가 자리잡기까지 시간이 걸릴 것이다"고 덧붙였다.

머피는 "시간을 두고 검증을 해야 자동화를 편하게 수용할 수 있게 될 것이다. 향후 6~12개월 동안은 자동화를 할 수 있는 부분에 대해 큰 기대를 하지 않는다. 검증되지 않은 100개의 자동화 프로세스보다는 철저하게 검증되고 테스트된 10개의 프로세스를 구현하는 쪽을 선호한다. 팀이 이런 목표를 이해하고, 자동화를 위한 자동화를 하지 않도록 만전을 기하고 있다"고 말했다.

덜한 것이 더 좋은 것
캐터필러(Caterpillar) 제품과 지원 서비스 기업으로 세계 최대 규모를 자랑하는 캐나다 밴쿠버 소재 피닝 인터내셔널(Finning International) CISO 수지 스미버트는 사이버보안은 '단순함'이 아주 중요하다"며, "사이버 대응 기술을 제공하는 공급업체들이 너무 많다"고 말했다.

피닝은 매일 수만 개의 보안 경고을 받는다. 여기에 서버와 네트워크는 3개 지역을 '커버'하고 있고, 전세계에 1만 3,000명의 직원을 채용하고 있으며, 이들 직원이 1개 이상의 연결된 장치를 휴대하면서 사용하고 있어 문제가 더 복잡해진다.

스미버트는 "보안 도구를 추가 도입한다고 해서 보안이 강화되지 않는다. 오히려 상황이 약화될 수도 있다. 보안에 대해 잘못된 판단을 내리도록 유도할 수 있는 여러 다양한 보안 장비로 구성된 복잡한 환경을 관리해야 하기 때문이다. 또한 한 가지 사이버보안 기능만 제공하는 장치가 10개나 있다고 가정하자. 이 경우, 트레이닝과 비용도 10배 증가한다"고 지적했다.

스미버트는 사이버공격 탐지 및 대응을 위해 소수의 다기능 보안 도구들만 선택해 활용하고 있다. 자동화된 공격 방지 기능을 제공하는 네트워크와 클라우드, 엔드포인트 보안이 통합된 플랫폼 1개, 클라우드에 기반을 둔 엔드포인트 보안 솔루션 1개, 분석에 초점이 맞춰진 SIEM(Security Information and Event Management)이 여기에 해당된다 (스미버트는 경쟁업체의 전화가 폭주할까 걱정된다는 이유로 사용하고 있는 도구들의 이름을 알려주지 않았다).

스미버트의 팀은 매일 수천 개의 경고만 분석한 후, 약 20~40개만 자세히 조사할 수 있게 되었다. 스미버트는 다행히 상세한 '수동' 조사를 수행할 수 있는 숙련된 보안 전문가가 충분하기 때문에 오케스트레이션과 자동화 확대를 서두르지 않고 있다고 말했다.

그녀는 "레가시 애플리케이션을 중심으로 조직에 아주 중요한 시스템 기능, 데이터 보안을 자동화하는 것이 아직은 편안하지 않다. 하지만 앞으로도 계속 그럴 것이라는 의미는 아니다. 일부 시스템은 설계 자체가 자동화에 적합하지 않다. '오탐지'가 자동화되거나, 연쇄 반응이 일어난다면, 소규모의 억제된 보안 사고보다 더 부정적인 영향이 초래될 수도 있다"고 말했다.

200명 역할을 하는 2명
초중고 교육 기관은 민간 기업과 같은 사이버보안 예산과 인적자원을 갖고 있지 않다. 오로라 129 교육구는 이런 '격차'을 메우기 위해 사고 대응 소프트웨어를 활용하고 있다.

2명으로 구성된 IT 팀이 교육구 소속 18개 학교의 인프라를 관리하고 있다. 2016년 새 학년이 시작되던 8월, 교육구의 무선 네트워크의 기능이 멈추는 사고가 발생했다. 그런데 교육구의 ISP를 포함, 누구도 사고의 원인을 파악하지 못했다.

아렐라노는 "시스코를 사용하고 있었다. 그러나 펌웨어 업데이트(시스코 스마트넷 서비스)를 통해 사용할 수 있었던 많은 기능이 빠져 있었다. 이런 이유로 네트워크 가시성이 아주 제한적이었다. ISP는 교육구가 중대한 공격의 '테스트 베드'가 됐을 수도 있다고 말했고, 우리는 그 말에 겁을 먹었다"고 당시를 회상했다.

6주 넘게 문제가 해결되지 않았다. 그러다 아렐라노가 트래픽과 포렌직 데이터를 분석해 원인을 규명하는 기능을 제공하는 사고 대응 소프트웨어를 도입했다. 아렐라노는 플릭서(Plixer)의 네트워크 트래픽 분석 시스템인 스크루터나이저(Scrutinizer)를 사용, 수많은 DDoS 경고를 확인했다. 그리고 패킷 캡처로 미국 CPSC(Consumer Product Safety Commission)에서 많은 DNS 응답이 유입되고 있다는 사실을 파악했다. 아렐라노는 "그때서야 공격의 종류를 파악할 수 있었다"고 말했다.

해커는 DNS 증폭 공격으로 학교 주소를 스푸핑, CPSC로부터 무수히 많은 레코드를 요청해 전송받는 공격을 하고 있었다. 다음 단계는 이를 저지하는 것이었다.
아렐라노는 확인이 가능해진 타임 스탬프와 IP 주소로 사고의 범위를 좁힐 수 있었다. 그리고 사고와 관련된 데이터만 끄집어 냈다. 그는 한 학교의 유선으로 연결된 2층 교실이 문제의 근원이라는 것을 밝혀냈다.

아렐라노는 "한 학생이 오래된 레코드를 삭제하고 있었다. 이 학생의 ID로 레코드를 조사했고, 온라인에서 월 10달러의 요금을 지불하면 사용할 수 있는 웹 스트레싱 웹사이트를 이용해 공격을 하고 있다는 사실을 밝혀냈다. 이후에도 유사한 공격을 두 차례 방어했다"고 설명했다.

돈 린젤스타인 기술 책임자는 "21세기에는 DDoS 공격이 '화재 경보기'를 울린다. 과거에는 반응적(대응적) 환경이었지만, 지금은 사전에 행동하는 환경이다. 문제가 발생했을 때 사고 대응 도구를 사용해, 문제가 '재앙'으로 변하기 전에 저지할 수 있는 경우들이 많다"고 말했다.

외부 지원 활용
사이어보안 위협에 대응할 인적자원과 리소스가 부족하다고 생각하는 기업들은 자사를 대신해 자동화와 오케스트레이션을 구현해주는 서비스 공급업체에 도움을 요청할 수도 있다. 가트너는 2020년에는 중견 기업과 대기업의 15%가 매니지드 탐지 및 대응 서비스를 사용하게 될 것이라고 내다보고 있다. 2016년의 경우, 이런 기업의 비율은 1% 미만이었다.

IDC 보안 전략 담당 부사장 피트 린스트롬은 "서비스 공급업체들을 믿고 활용하는 것이 좋다. 많은 회사가 매년 1~2차례 정도 사이버보안 사고에 직면하기 때문이다. 서비스 공급업체를 통해서만 위험의 '성격'을 파악할 수 있다. 트러스트웨이브(Trustwave), 파이어아이(FireEye), 기타 20여 공급업체를 활용할 수 있다"고 말했다.

자동화 이전에 해야 할 것 
존 올트식은 자동 사고 대응 솔루션 도입을 추진하는 보안 책임자들은 운영과 관련된 도전과제를 해결하기 전까지 '포인트(Point)' 도구를 구매하는 것을 중단해야 한다고 충고했다.

올트식은 "직원들에게 가장 큰 '통점'이 무엇인지 파악해야 한다. 해결하는데 2시간이 소요되는 문제는 무엇인지 알아야 한다. 조사나 포렌직에 필요한 데이터를 입수하기 어려운 부분, 협력하기 어려운 부분을 파악해야 한다. 여기에 오케스트레이션 및 자동화 도구를 구현해야 한다. 이것이 '명령'이 되면 안 된다. 직원들이 수용하고, 모두가 같은 방향을 추구해야 한다"고 조언했다.

또한 자동화가 준비되면, 쉽게 달성할 수 있는 목표를 추구해야 한다. 올트식은 "위협 인텔리전스가 특정 IT 주소나 웹 도메인이 '악성'이라고 알려주는 데, 이에 대한 신뢰 수준이 80%라면 여기에 인적자원을 투입할 필요가 없다"고 말했다.

다음 단계인 오케스트레이션은 시간이 필요하다. 제대로 된 보안 프로세스가 있어야 한다. 또는 프로세스와 관련된 모든 작업을 처리하기 위해 시간을 투자해야 한다. 또한 사고 대응을 개선하기 위해 기술을 적용하는 방법을 알고 있어야 한다. 올트식은 "오케스트레이션은 이를 전제로 한다. 따라서 시간이 필요할 수 있다"고 말했다.

새로 도입한 자동화나 오케스트레이션 프로세스를 여러 차례 반복해 검증하는 것도 중요하다. 그는 "놓쳐서는 안되는데 놓친 것은 무엇일까? 다음 번에 더 잘하려면 어떻게 해야 할까? 프로세스가 계획한대로 기능을 하고 있나? 추가적인 단계가 필요할까? 빠진 단계는 없을까? 이런 질문을 물으면서 검증을 해야 한다"고 말했다.

스미버트는 사고 대응 자동화 확산은 클라우드 확산과 유사한 경로를 밟게 될 것이라고 말했다. 스미버트는 "5~10년 전, 모든 사람이 클라우드를 두려워했다. 그러나 업계가 클라우드 기술을 전략적으로 치밀하게 도입하면 '기적' 같은 일을 해낼 수 있다는 점을 증명했다. 보안 자동화도 유사한 경로를 거칠 것으로 판단한다. 업계가 동의하고, 조기 도입자들이 큰 성공을 거두면, 도입이 확산될 것이다. 그리고 이것이 더 많은 혁신으로 이어질 것이다. 그때가 되면 보안 자동화가 현재 클라우드만큼 인기를 끌게 될 것이다"고 말했다. editor@itworld.co.kr  

2018.01.10

"보안 자동화 추세에 따라가기", 그 사례와 대응 전략

Stacy Collett | CSO
미국 일리노이 웨스트 오로라 129 교육구(West Aurora School District)의 네트워크 엔지니어인 호세 아렐라노는 "1만 여개의 연결된 장치, 1,900명의 교직원, 1만 2,700명의 학생들이 사용하는 네트워크를 계속 안전하게 유지하는 것이 가장 힘든 일"이라고 말했다.

보안 담당자 2명은 학생과 교직원을 위해 가능한 효율적이면서 안전하게 네트워크를 운영하는 일에 주로 초점을 맞췄다. 아렐라노는 "자원과 예산이 제한되어 있어 항상 '내부'에 초점을 맞췄다"고 말했다.

그런데 지난해 가을 DDoS 공격이 교육구 네트워크를 6주 넘게 붕괴시켰는데, 문제를 파악하는 데 어려움을 겪는 일이 있었다. 이에 초점을 '방지'에서 '탐지와 대응'으로 전환해야 했다. 아렐라노는 이를 "아주 힘든 일"이라고 표현했다.

아렐라노와 똑같은 걱정을 하는 보안 분야 종사자가 계속 증가하고 있다. 시장 조사 업체인 사이버엣지 그룹(CyberEdge Group)이 발표한 조사 결과에 따르면, 2015년과 2016년 전세계의 IT 보안 종사자들이 직면한 가장 큰 도전과제는 '불가항력적인 사이버 위협 환경'이다. 그리고 새로 발표되는 조사 결과와 보고서들은 '골칫거리'가 증가하고 있음을 알려준다.

위협 인텔리전스 전문업체인 리스크 베이스드 시큐리티(Risk Based Security)의 보고서에 따르면, 알려진 취약점의 수가 무서운 속도로 급증하고 있다. 2017년 1~3월에 보고된 취약점만 4,837개로 지난해 같은 기간에 비해 29.2%가 증가했다.

워너크라이(Wannacry) 랜섬웨어 공격은 가장 최근에 전세계를 떠들썩하게 만든 공격 가운데 하나다. 이 밖에도 악성코드, 랜섬웨어, 피싱 등 '악당'들의 공격이 끊이지 않고 발생하고 있다.

또한 이런 공격의 대부분이 표적을 가리지 않는다. 규모와 상관 없이, 모니터링 시스템으로부터 매일 수 만에 달하는 보안 경고를 받는 기업과 기관이 많다. 예를 들어 시장조사 업체인 오범(Ovum)에 따르면, 공격 가능성을 알려주는 보안 경고의 수가 매일 20만 개가 넘는 은행들의 비율이 37%에 달한다.

이런 다양한 공격들은 보안 팀의 '통점'을 늘린다. 데이터를 분석하고, 수 많은 경고의 대응 우선순위를 정해야 한다. 그런 후 '공급'이 부족한 사이버 전문가가 직접 조사를 해야 실제 대응을 하고, 조치를 취할 수 있다.

옥스포드 이코노믹스(Oxford Econumics)가 서비스나우(ServiceNow)의 의뢰로 실시한 서베이에 따르면, 탐지한 보안 침해에 대응하지 못할 것을 걱정하는 응답자의 비율이 81%에 달한다. 사이버시큐리티 벤처스(Cybersecurity Ventures)의 최신 보고서는 충원하지 못한 사이버보안 일자리가 지난 해 100만에서 2021년에는 350만으로 증가할 것으로 내다보고 있다.

다행히 새로운 자동 탐지 및 사고 대응 기술들이 다수 등장해 어느 정도 위안을 주고 있다. 그러나 포레스터 리서치(Forrester Research) 보안 및 위험 담당 시니어 애널리스트 조셉 블랭켄십에 따르면, 아직까지도 보안 자동화를 싫어하는 기업들이 많다. 블랭켄십은 "과거 자동화가 문제를 초래했었다. 적법한 트래픽을 차단하고, 서비스 중단을 야기했다. 누군가 자동화 과정을 확인, 검증해야 했다. 그렇지 않으면 자동화 때문에 많은 문제가 발생할 수 있었기 때문이다"고 말했다.

지금은 과거보다 '긍정적'이다. 블랭켄십은 "최근 들어 단순한 로그 데이터 이상을 끄집어내고, 대응 동작을 구현할 수 있는 API들이 등장했다. 플랫폼 간 상호 운영성이 개선됐다. 조금 더 자유롭게 데이터를 교환할 수 있는 API 덕분에 자동화와 오케스트레이션 계층을 구현할 수 있게 되었다"고 설명했다.

ESG 수석 분석가이자 이 회사의 사이버보안 서비스를 만든 존 올트식은 "오케스트레이션과 자동화는 강력한 솔루션이다. 그러나 이를 제대로 이해하고 다룰 수 있어야 강력한 효과를 발휘한다. 모든 문제를 해결할 수 없다. 때론 프로세스를 바꿔야 한다"고 설명했다.

기업이 선택해 사용할 수 있는 자동 사고 대응 솔루션의 종류가 다양하고 많다. 그러나 하나로 모든 문제를 해결할 수 없다. 다음은 3개 기업의 사이버보안 도전과제와 대응 전략을 정리한 내용이다.

무수히 많은 보안 데이터를 관리
관리형 도우미 서비스 공급업체인 케어웍스(CaeWorks)는 미국 외 88개와 미국 내 6개의 시설에서 보안 도구들이 보내는 보안 데이터를 수집하고 있다. 케어웍스 CIO이자 CTO 바트 머피는 "IT 인력이 충분한 상황에서도 처리가 힘들 정도로 많은 데이터다. 한 마디로, 최소한으로 최대한을 달성해야 한다"고 말했다.

머피는 취약점 스캐너와 보안 분석 소프트웨어, 엔드포인트 솔루션으로 데이터를 수집하고, 최소한 일부 워크플로우를 자동화하는 방법을 찾기 시작했다. 케어웍스는 이미 서비스나우의 PaaS를 사용해 엔터프라이즈 IT 운영을 자동화하고 있었다. 케어웍스는 2017년 3월 서비스나우의 보안 운영 모듈을 추가했다.

아직 도입 초기 단계이지만, 자동화할 수 있는 워크플로우를 파악하기 위해 시만텍, 네서스(Nessus), 로그리듬(LogRythm), 태니움(Tanium) 같은 도구들을 통합했다. 머피는 "궁극적으로 스스로 위협에 능동적으로 대응하고, 이를 보고할 수 있도록 만들기 위해 오케스트레이션을 사용할 계획이다"고 강조했다.

현재 섹옵스(SecOps) 모듈이 잠재적인, 또는 실제 보안 사고와 관련된 모든 행동을 추적하고 있다. 수동으로 수많은 로그를 분석할 필요가 없다. 아직은 이런 방법을 통해 얼마나 많은 시간과 인력을 절약할 수 있을지 말하기는 이르다. 머피는 "지금 당장은 우리가 알고 있는 한 최대한 보호와 예방을 하는 것이 목표이다"면서도, "그러나 보안 자동화에 대한 신뢰가 자리잡기까지 시간이 걸릴 것이다"고 덧붙였다.

머피는 "시간을 두고 검증을 해야 자동화를 편하게 수용할 수 있게 될 것이다. 향후 6~12개월 동안은 자동화를 할 수 있는 부분에 대해 큰 기대를 하지 않는다. 검증되지 않은 100개의 자동화 프로세스보다는 철저하게 검증되고 테스트된 10개의 프로세스를 구현하는 쪽을 선호한다. 팀이 이런 목표를 이해하고, 자동화를 위한 자동화를 하지 않도록 만전을 기하고 있다"고 말했다.

덜한 것이 더 좋은 것
캐터필러(Caterpillar) 제품과 지원 서비스 기업으로 세계 최대 규모를 자랑하는 캐나다 밴쿠버 소재 피닝 인터내셔널(Finning International) CISO 수지 스미버트는 사이버보안은 '단순함'이 아주 중요하다"며, "사이버 대응 기술을 제공하는 공급업체들이 너무 많다"고 말했다.

피닝은 매일 수만 개의 보안 경고을 받는다. 여기에 서버와 네트워크는 3개 지역을 '커버'하고 있고, 전세계에 1만 3,000명의 직원을 채용하고 있으며, 이들 직원이 1개 이상의 연결된 장치를 휴대하면서 사용하고 있어 문제가 더 복잡해진다.

스미버트는 "보안 도구를 추가 도입한다고 해서 보안이 강화되지 않는다. 오히려 상황이 약화될 수도 있다. 보안에 대해 잘못된 판단을 내리도록 유도할 수 있는 여러 다양한 보안 장비로 구성된 복잡한 환경을 관리해야 하기 때문이다. 또한 한 가지 사이버보안 기능만 제공하는 장치가 10개나 있다고 가정하자. 이 경우, 트레이닝과 비용도 10배 증가한다"고 지적했다.

스미버트는 사이버공격 탐지 및 대응을 위해 소수의 다기능 보안 도구들만 선택해 활용하고 있다. 자동화된 공격 방지 기능을 제공하는 네트워크와 클라우드, 엔드포인트 보안이 통합된 플랫폼 1개, 클라우드에 기반을 둔 엔드포인트 보안 솔루션 1개, 분석에 초점이 맞춰진 SIEM(Security Information and Event Management)이 여기에 해당된다 (스미버트는 경쟁업체의 전화가 폭주할까 걱정된다는 이유로 사용하고 있는 도구들의 이름을 알려주지 않았다).

스미버트의 팀은 매일 수천 개의 경고만 분석한 후, 약 20~40개만 자세히 조사할 수 있게 되었다. 스미버트는 다행히 상세한 '수동' 조사를 수행할 수 있는 숙련된 보안 전문가가 충분하기 때문에 오케스트레이션과 자동화 확대를 서두르지 않고 있다고 말했다.

그녀는 "레가시 애플리케이션을 중심으로 조직에 아주 중요한 시스템 기능, 데이터 보안을 자동화하는 것이 아직은 편안하지 않다. 하지만 앞으로도 계속 그럴 것이라는 의미는 아니다. 일부 시스템은 설계 자체가 자동화에 적합하지 않다. '오탐지'가 자동화되거나, 연쇄 반응이 일어난다면, 소규모의 억제된 보안 사고보다 더 부정적인 영향이 초래될 수도 있다"고 말했다.

200명 역할을 하는 2명
초중고 교육 기관은 민간 기업과 같은 사이버보안 예산과 인적자원을 갖고 있지 않다. 오로라 129 교육구는 이런 '격차'을 메우기 위해 사고 대응 소프트웨어를 활용하고 있다.

2명으로 구성된 IT 팀이 교육구 소속 18개 학교의 인프라를 관리하고 있다. 2016년 새 학년이 시작되던 8월, 교육구의 무선 네트워크의 기능이 멈추는 사고가 발생했다. 그런데 교육구의 ISP를 포함, 누구도 사고의 원인을 파악하지 못했다.

아렐라노는 "시스코를 사용하고 있었다. 그러나 펌웨어 업데이트(시스코 스마트넷 서비스)를 통해 사용할 수 있었던 많은 기능이 빠져 있었다. 이런 이유로 네트워크 가시성이 아주 제한적이었다. ISP는 교육구가 중대한 공격의 '테스트 베드'가 됐을 수도 있다고 말했고, 우리는 그 말에 겁을 먹었다"고 당시를 회상했다.

6주 넘게 문제가 해결되지 않았다. 그러다 아렐라노가 트래픽과 포렌직 데이터를 분석해 원인을 규명하는 기능을 제공하는 사고 대응 소프트웨어를 도입했다. 아렐라노는 플릭서(Plixer)의 네트워크 트래픽 분석 시스템인 스크루터나이저(Scrutinizer)를 사용, 수많은 DDoS 경고를 확인했다. 그리고 패킷 캡처로 미국 CPSC(Consumer Product Safety Commission)에서 많은 DNS 응답이 유입되고 있다는 사실을 파악했다. 아렐라노는 "그때서야 공격의 종류를 파악할 수 있었다"고 말했다.

해커는 DNS 증폭 공격으로 학교 주소를 스푸핑, CPSC로부터 무수히 많은 레코드를 요청해 전송받는 공격을 하고 있었다. 다음 단계는 이를 저지하는 것이었다.
아렐라노는 확인이 가능해진 타임 스탬프와 IP 주소로 사고의 범위를 좁힐 수 있었다. 그리고 사고와 관련된 데이터만 끄집어 냈다. 그는 한 학교의 유선으로 연결된 2층 교실이 문제의 근원이라는 것을 밝혀냈다.

아렐라노는 "한 학생이 오래된 레코드를 삭제하고 있었다. 이 학생의 ID로 레코드를 조사했고, 온라인에서 월 10달러의 요금을 지불하면 사용할 수 있는 웹 스트레싱 웹사이트를 이용해 공격을 하고 있다는 사실을 밝혀냈다. 이후에도 유사한 공격을 두 차례 방어했다"고 설명했다.

돈 린젤스타인 기술 책임자는 "21세기에는 DDoS 공격이 '화재 경보기'를 울린다. 과거에는 반응적(대응적) 환경이었지만, 지금은 사전에 행동하는 환경이다. 문제가 발생했을 때 사고 대응 도구를 사용해, 문제가 '재앙'으로 변하기 전에 저지할 수 있는 경우들이 많다"고 말했다.

외부 지원 활용
사이어보안 위협에 대응할 인적자원과 리소스가 부족하다고 생각하는 기업들은 자사를 대신해 자동화와 오케스트레이션을 구현해주는 서비스 공급업체에 도움을 요청할 수도 있다. 가트너는 2020년에는 중견 기업과 대기업의 15%가 매니지드 탐지 및 대응 서비스를 사용하게 될 것이라고 내다보고 있다. 2016년의 경우, 이런 기업의 비율은 1% 미만이었다.

IDC 보안 전략 담당 부사장 피트 린스트롬은 "서비스 공급업체들을 믿고 활용하는 것이 좋다. 많은 회사가 매년 1~2차례 정도 사이버보안 사고에 직면하기 때문이다. 서비스 공급업체를 통해서만 위험의 '성격'을 파악할 수 있다. 트러스트웨이브(Trustwave), 파이어아이(FireEye), 기타 20여 공급업체를 활용할 수 있다"고 말했다.

자동화 이전에 해야 할 것 
존 올트식은 자동 사고 대응 솔루션 도입을 추진하는 보안 책임자들은 운영과 관련된 도전과제를 해결하기 전까지 '포인트(Point)' 도구를 구매하는 것을 중단해야 한다고 충고했다.

올트식은 "직원들에게 가장 큰 '통점'이 무엇인지 파악해야 한다. 해결하는데 2시간이 소요되는 문제는 무엇인지 알아야 한다. 조사나 포렌직에 필요한 데이터를 입수하기 어려운 부분, 협력하기 어려운 부분을 파악해야 한다. 여기에 오케스트레이션 및 자동화 도구를 구현해야 한다. 이것이 '명령'이 되면 안 된다. 직원들이 수용하고, 모두가 같은 방향을 추구해야 한다"고 조언했다.

또한 자동화가 준비되면, 쉽게 달성할 수 있는 목표를 추구해야 한다. 올트식은 "위협 인텔리전스가 특정 IT 주소나 웹 도메인이 '악성'이라고 알려주는 데, 이에 대한 신뢰 수준이 80%라면 여기에 인적자원을 투입할 필요가 없다"고 말했다.

다음 단계인 오케스트레이션은 시간이 필요하다. 제대로 된 보안 프로세스가 있어야 한다. 또는 프로세스와 관련된 모든 작업을 처리하기 위해 시간을 투자해야 한다. 또한 사고 대응을 개선하기 위해 기술을 적용하는 방법을 알고 있어야 한다. 올트식은 "오케스트레이션은 이를 전제로 한다. 따라서 시간이 필요할 수 있다"고 말했다.

새로 도입한 자동화나 오케스트레이션 프로세스를 여러 차례 반복해 검증하는 것도 중요하다. 그는 "놓쳐서는 안되는데 놓친 것은 무엇일까? 다음 번에 더 잘하려면 어떻게 해야 할까? 프로세스가 계획한대로 기능을 하고 있나? 추가적인 단계가 필요할까? 빠진 단계는 없을까? 이런 질문을 물으면서 검증을 해야 한다"고 말했다.

스미버트는 사고 대응 자동화 확산은 클라우드 확산과 유사한 경로를 밟게 될 것이라고 말했다. 스미버트는 "5~10년 전, 모든 사람이 클라우드를 두려워했다. 그러나 업계가 클라우드 기술을 전략적으로 치밀하게 도입하면 '기적' 같은 일을 해낼 수 있다는 점을 증명했다. 보안 자동화도 유사한 경로를 거칠 것으로 판단한다. 업계가 동의하고, 조기 도입자들이 큰 성공을 거두면, 도입이 확산될 것이다. 그리고 이것이 더 많은 혁신으로 이어질 것이다. 그때가 되면 보안 자동화가 현재 클라우드만큼 인기를 끌게 될 것이다"고 말했다. editor@itworld.co.kr  

X