2019.04.15

"디플로이&디케이" 의미와 이에 맞서는 6가지 방법

Roger A. Grimes | CSO
해커는 '드리프트(drift)'를 좋아한다. 이것은 '좋고 안전한' 상태가 '덜 좋고 덜 안전한' 상태로 바뀌는 현상을 설명하는 비공식적인 용어이다. 컴퓨터 보안이 어렵다는 것을 모두들 알고 있다. 옛 속언에 "방어하는 사람은 항상 컨디션이 좋아야 한다"는 말이 있다. 해커는 실수만 찾으면 된다.

컴퓨터 제어를 완벽하게 배치하기는 어렵다. 심지어 완벽에 가깝게 배치된 제어 시스템도 거의 대부분 가동 직후 훨씬 좋지 못한 상태로 바뀌기 시작한다. 보안 전문가들은 그 과정을 "디플로이&디케이(Deploy and Decay)"라고 부른다.

 

ⓒ Getty Images Bank 


디플로이&디케이란 무엇인가

예를 들어, 자사에 애플리케이션이나 운영체제에서 보안 설정을 배치하고 유지한다고 가정해 보자. 자신 혹은 자신의 팀이 많은 시간을 들여 보안 설정을 결정한다. 각 설정의 장단점에 대해 읽어보고 비즈니스 영향을 고려한 후 조직에 허용된 위험 프로필에 가장 적합한 설정을 선택한다.

마이크로소프트 윈도우(Microsoft Windows)나 액티브 디렉터리(Active Directory) 그룹 정책을 이용해 가능한 모든 관리형 컴퓨터에 설정을 배치한다. 이런 설정이 자사가 기대하는 모든 컴퓨터에 완벽하게 적용되지 않는 이유는 많다. 사실은 완벽하지 못한 기술에 문제가 있기 때문이다. 

로컬 구성 데이터베이스가 손상되거나 서드파티 앱이 방해가 되거나 아무도 모르는 사이에 컴퓨터가 수개월 동안 도메인에 연결되지 않는 등 여러 문제가 발생할 수 있다. 다양한 이유가 있을 수 있으며 우리가 모르는 사이에 배치된 제어 시스템이 모든 컴퓨터에 적용되지 않을 수 있다.

패치 관리도 마찬가지다. 패치를 제공할 때 99% 준수성을 확보할 수 있다면 운이 좋은 것이다. 그 이유를 모르는 경우가 많고 바쁜 상황에서 항상 문제를 해결할 시간이 있는 것도 아니다. 컴퓨터 보안 업계의 종사자들은 안타깝지만 "충분히 괜찮은 것(good enough)"을 인정해야 한다. 처음부터 보안 통제를 100% 준수하는 것은 어렵다. 기술이 아직 그 정도로 발전하지 못했다.

변화 관리와 문제 해결의 부재로 인해서도 '드리프트'가 발생한다. 컴퓨터에 문제가 발생하고 이를 해결하기 위해 누군가 호스트 방화벽이나 백신 소프트웨어를 차단하고 다시 변경하는 것을 잊어버린다. 또한 문제를 해결하기 위해 컴퓨터를 다른 액티브 디렉터리 조직 단위로 이동한 후 다시 옮겨 놓는 것을 잊어버리기도 한다. 그 누군가는 권한 차단 문제를 배제하기 위해 사용자의 계정을 권한이 높은 그룹에 추가한다. 그리고 방화벽 문제를 배제하기 위해 방화벽 포트를 열거나 공포의 ANY-ANY 허용 규칙을 사용한다.

즉각적인 결과를 발생시키는 업무에 필수적인 문제를 해결하려는 순간에는 무엇을 변경했는지 적어 뒀다가 문제 해결이 끝난 후 되돌려 놓는 것을 잊어버리기 쉽다. 어떤 이가 간단한 문제 해결을 위한 테스트 변경사항을 제거하는 것을 잊어버려 수개월 또는 수년 동안 ANY-ANY 규칙이 허용되어 있는 라우터를 숱하게 목격했다. 

일반적으로 보안 구성 설정은 시간이 지나면서 '드리프트'하게 되고 더욱 안전해지는 경우는 거의 없다. 거의 대부분 덜 안전해진다. 이것이 디케이이다.

컴퓨터 보안 업계에서 매일 직면하는 문제의 수와 경쟁 압박으로 인해 덜 완벽하고 간과되는 것들이 생겨난다. 보안을 개선하기 위해 구매한 훌륭한 컴퓨터 보안 장치와 로그 파일을 수개월 또는 수년 후에 다시 살펴보면 일반적으로 관리와 모니터링이 허술해지고 불필요한 소음이 발생하면서 직원이 이를 무시하게 된다.

게다가 디케이는 장치마다 다르다. 장치마다 문제가 다른 경우가 많다. 모든 장치의 잘못된 변경사항이 동일한다면 운이 좋은 것이다. 이를 좀 더 일찍 발견해 전체 환경에 적용되는 하나의 변경 사항으로 해결할 가능성이 높다. 하지만 시간이 지나면서 자사의 환경에서 벌어지는 미묘하고 일반적이며 무작위한 것처럼 보이는 변경 사항의 조합을 보게 된다. 시간이 지날수록 드리프트와 디케이가 심해진다.

이는 단순히 기술적인 문제가 아니다. 이 문제는 인간 단계에서도 발생한다. 소셜 엔지니어링과 피싱 때문에 대부분의 악의적인 컴퓨터 공격이 발생한다. 모든 최종 사용자에게 세계 최고의 소셜 엔지니어링 예방 교육을 제공할 수 있으며 이를 충분히 자주 개선하지 않는 경우 사람들은 자신이 배운 것을 잊어버린다. 

모든 라우터 관리자에게 라우터 교육을 제공하거나 모든 보안 직원에게 CISSP 교육을 제공할 때도 마찬가지이다. 직원들은 계속 바뀐다. 더 나은 교육을 위해 돈을 투자한 사람이 교육을 받고 더 많은 연봉을 받기 위해 다른 고용주에게 가버린다.
컴퓨터 보안 분야에서 디플로이&디케이야 말로 가장 중요한 문제라고 말하는 사람도 있다. 물론 해커는 이를 고마워하는 것 같다.


디플로이&디케이에 대한 해결책

그렇다고 해서 맞서 싸울 수 없는 것은 아니다. 다음의 6가지를 포함해 디플로이&디케이의 영향을 최소화할 수 있는 다양한 방법이 있다.

1. 디케이를 인식하는 문화로 바꾸라
우선은 디플로이&디케이가 컴퓨터 보안 관리 환경의 일반적인 부분임을 인정해야 한다. 이를 인정하고 수용하자. 그리고 전달하자. 자사의 환경에서 디플로이&디케이가 인식되도록 하고 이에 맞서는 문화를 형성하자. 디케이로 인한 위험을 심각하게 받아들이는 문화를 만들고 하나의 사업부로써 최선을 다해 맞서 싸우자.

2. 디케이에 맞서기 위한 예산
대부분의 IT 조직은 새로운 제어 시스템 또는 장치를 배치하기 위해 충분한 자금과 기타 자원을 잘 확보한다. 하지만 해당 항목에 대한 지속적인 유지보수 및 관리를 위한 예산을 충분히 확보하지 못하는 경우가 많다. 대부분은 초기 배치 시 자원의 약 100%를 소요하며 완료하고 이 후에는 시작부터 불완전한 프로젝트를 성공적이라고 착각하고 또 다른 불완전한 프로젝트로 옮겨간다.
배치된 제어 시스템을 위해 시간과 자원이 지속적으로 할당되는 경우는 거의 없다. 이것은 모두가 일상 업무 목록에 추가해야 하는 것 중에 하나가 되었고, 이 때문에 디케이가 발생할 수밖에 없게 된다. 현명한 관리자는 배치된 모든 제어 시스템과 장치에 지속적인 관리가 필요하다는 사실을 알고 프로젝트 초기에 미래의 자원을 해당 제어 시스템/장치의 지속적인 관리에 할당한다. 그렇지 않으면 디케이가 발생한다. 지속적인 유지보수를 위한 자원을 계획하지 않으면 미래의 디케이된 상태를 선택하는 것이라는 사실에 기억하자.

3. 변화 관리 정책과 절차에 디케이를 고려하라
정책과 절차를 이용해 변화 관리를 시행하는 문화를 조성하자. 사전 승인 및 문서화 없이는 중요한 사항을 변경할 수 없다. 임시적인 긴급 수요를 위해 비상 변화 관리 프로세스와 절차를 포함시킨다. 일이 발생했을 때, 적절한 변화 관리의 가치는 황금과도 비교할 수 있다.

4. 문제를 해결하는 사람이 원상복구하도록 하라
문제를 해결하는 모든 사람이 시행한 모든 변경사항을 기록하고 해결 프로세스와 마무리의 일환으로 불필요한 모든 변경사항을 원상복구하도록 한다. 영구적인 변경사항은 구성 설정 문서와 변화 관리 로그에 업데이트해야 한다.

5. 모니터링 및 드리프트 해결을 자동화하라
승인되지 않은 변경사항의 모니터링 및 해결을 자동화한다. 정기적인 제어 시스템 유효성 확인을 자동화하지 않으면 더 빠르게 드리프트하게 된다. 확인 주기는 중요도에 따라 달라진다. 가능한 경우 승인되지 않은 설정을 승인된 상태로 원상복구하는 것을 자동화한다. 이로 인해 다른 문제가 생기면 구성 설정 요건을 업데이트하고 일반 변화 관리 프로세스에 따른다.

6. 보안 인식 교육을 강화하라
드리프트와 디케이는 인간에게서도 발생한다는 사실을 기억하자. 보안 인식 교육을 정기적으로 강화해야 한다. 다른 일자리를 찾아 떠난 사람을 대체하기 위해 새로운 대체 라우터 관리자에게 라우터 교육을 제공한다. 내부 위키에 지식을 문서화하는 것으로 실질적인 직접 교육을 대체할 수 없다. 모든 새로운 직원이 원하는 기본 교육을 포함시키고 모두가 배우는 내용을 정기적으로 갱신한다.
드리프트와 디케이에 맞서기 위해 최선을 다하더라도 이를 막을 수는 없지만 그 발생 속도를 늦출 수는 있다. 심지어 선제적으로 대응할 수도 있다. 어쨌든 전반적인 사이버보안 위험이 낮아지고 해커가 쉽게 해킹하지 못하게 된다. editor@itworld.co.kr 


2019.04.15

"디플로이&디케이" 의미와 이에 맞서는 6가지 방법

Roger A. Grimes | CSO
해커는 '드리프트(drift)'를 좋아한다. 이것은 '좋고 안전한' 상태가 '덜 좋고 덜 안전한' 상태로 바뀌는 현상을 설명하는 비공식적인 용어이다. 컴퓨터 보안이 어렵다는 것을 모두들 알고 있다. 옛 속언에 "방어하는 사람은 항상 컨디션이 좋아야 한다"는 말이 있다. 해커는 실수만 찾으면 된다.

컴퓨터 제어를 완벽하게 배치하기는 어렵다. 심지어 완벽에 가깝게 배치된 제어 시스템도 거의 대부분 가동 직후 훨씬 좋지 못한 상태로 바뀌기 시작한다. 보안 전문가들은 그 과정을 "디플로이&디케이(Deploy and Decay)"라고 부른다.

 

ⓒ Getty Images Bank 


디플로이&디케이란 무엇인가

예를 들어, 자사에 애플리케이션이나 운영체제에서 보안 설정을 배치하고 유지한다고 가정해 보자. 자신 혹은 자신의 팀이 많은 시간을 들여 보안 설정을 결정한다. 각 설정의 장단점에 대해 읽어보고 비즈니스 영향을 고려한 후 조직에 허용된 위험 프로필에 가장 적합한 설정을 선택한다.

마이크로소프트 윈도우(Microsoft Windows)나 액티브 디렉터리(Active Directory) 그룹 정책을 이용해 가능한 모든 관리형 컴퓨터에 설정을 배치한다. 이런 설정이 자사가 기대하는 모든 컴퓨터에 완벽하게 적용되지 않는 이유는 많다. 사실은 완벽하지 못한 기술에 문제가 있기 때문이다. 

로컬 구성 데이터베이스가 손상되거나 서드파티 앱이 방해가 되거나 아무도 모르는 사이에 컴퓨터가 수개월 동안 도메인에 연결되지 않는 등 여러 문제가 발생할 수 있다. 다양한 이유가 있을 수 있으며 우리가 모르는 사이에 배치된 제어 시스템이 모든 컴퓨터에 적용되지 않을 수 있다.

패치 관리도 마찬가지다. 패치를 제공할 때 99% 준수성을 확보할 수 있다면 운이 좋은 것이다. 그 이유를 모르는 경우가 많고 바쁜 상황에서 항상 문제를 해결할 시간이 있는 것도 아니다. 컴퓨터 보안 업계의 종사자들은 안타깝지만 "충분히 괜찮은 것(good enough)"을 인정해야 한다. 처음부터 보안 통제를 100% 준수하는 것은 어렵다. 기술이 아직 그 정도로 발전하지 못했다.

변화 관리와 문제 해결의 부재로 인해서도 '드리프트'가 발생한다. 컴퓨터에 문제가 발생하고 이를 해결하기 위해 누군가 호스트 방화벽이나 백신 소프트웨어를 차단하고 다시 변경하는 것을 잊어버린다. 또한 문제를 해결하기 위해 컴퓨터를 다른 액티브 디렉터리 조직 단위로 이동한 후 다시 옮겨 놓는 것을 잊어버리기도 한다. 그 누군가는 권한 차단 문제를 배제하기 위해 사용자의 계정을 권한이 높은 그룹에 추가한다. 그리고 방화벽 문제를 배제하기 위해 방화벽 포트를 열거나 공포의 ANY-ANY 허용 규칙을 사용한다.

즉각적인 결과를 발생시키는 업무에 필수적인 문제를 해결하려는 순간에는 무엇을 변경했는지 적어 뒀다가 문제 해결이 끝난 후 되돌려 놓는 것을 잊어버리기 쉽다. 어떤 이가 간단한 문제 해결을 위한 테스트 변경사항을 제거하는 것을 잊어버려 수개월 또는 수년 동안 ANY-ANY 규칙이 허용되어 있는 라우터를 숱하게 목격했다. 

일반적으로 보안 구성 설정은 시간이 지나면서 '드리프트'하게 되고 더욱 안전해지는 경우는 거의 없다. 거의 대부분 덜 안전해진다. 이것이 디케이이다.

컴퓨터 보안 업계에서 매일 직면하는 문제의 수와 경쟁 압박으로 인해 덜 완벽하고 간과되는 것들이 생겨난다. 보안을 개선하기 위해 구매한 훌륭한 컴퓨터 보안 장치와 로그 파일을 수개월 또는 수년 후에 다시 살펴보면 일반적으로 관리와 모니터링이 허술해지고 불필요한 소음이 발생하면서 직원이 이를 무시하게 된다.

게다가 디케이는 장치마다 다르다. 장치마다 문제가 다른 경우가 많다. 모든 장치의 잘못된 변경사항이 동일한다면 운이 좋은 것이다. 이를 좀 더 일찍 발견해 전체 환경에 적용되는 하나의 변경 사항으로 해결할 가능성이 높다. 하지만 시간이 지나면서 자사의 환경에서 벌어지는 미묘하고 일반적이며 무작위한 것처럼 보이는 변경 사항의 조합을 보게 된다. 시간이 지날수록 드리프트와 디케이가 심해진다.

이는 단순히 기술적인 문제가 아니다. 이 문제는 인간 단계에서도 발생한다. 소셜 엔지니어링과 피싱 때문에 대부분의 악의적인 컴퓨터 공격이 발생한다. 모든 최종 사용자에게 세계 최고의 소셜 엔지니어링 예방 교육을 제공할 수 있으며 이를 충분히 자주 개선하지 않는 경우 사람들은 자신이 배운 것을 잊어버린다. 

모든 라우터 관리자에게 라우터 교육을 제공하거나 모든 보안 직원에게 CISSP 교육을 제공할 때도 마찬가지이다. 직원들은 계속 바뀐다. 더 나은 교육을 위해 돈을 투자한 사람이 교육을 받고 더 많은 연봉을 받기 위해 다른 고용주에게 가버린다.
컴퓨터 보안 분야에서 디플로이&디케이야 말로 가장 중요한 문제라고 말하는 사람도 있다. 물론 해커는 이를 고마워하는 것 같다.


디플로이&디케이에 대한 해결책

그렇다고 해서 맞서 싸울 수 없는 것은 아니다. 다음의 6가지를 포함해 디플로이&디케이의 영향을 최소화할 수 있는 다양한 방법이 있다.

1. 디케이를 인식하는 문화로 바꾸라
우선은 디플로이&디케이가 컴퓨터 보안 관리 환경의 일반적인 부분임을 인정해야 한다. 이를 인정하고 수용하자. 그리고 전달하자. 자사의 환경에서 디플로이&디케이가 인식되도록 하고 이에 맞서는 문화를 형성하자. 디케이로 인한 위험을 심각하게 받아들이는 문화를 만들고 하나의 사업부로써 최선을 다해 맞서 싸우자.

2. 디케이에 맞서기 위한 예산
대부분의 IT 조직은 새로운 제어 시스템 또는 장치를 배치하기 위해 충분한 자금과 기타 자원을 잘 확보한다. 하지만 해당 항목에 대한 지속적인 유지보수 및 관리를 위한 예산을 충분히 확보하지 못하는 경우가 많다. 대부분은 초기 배치 시 자원의 약 100%를 소요하며 완료하고 이 후에는 시작부터 불완전한 프로젝트를 성공적이라고 착각하고 또 다른 불완전한 프로젝트로 옮겨간다.
배치된 제어 시스템을 위해 시간과 자원이 지속적으로 할당되는 경우는 거의 없다. 이것은 모두가 일상 업무 목록에 추가해야 하는 것 중에 하나가 되었고, 이 때문에 디케이가 발생할 수밖에 없게 된다. 현명한 관리자는 배치된 모든 제어 시스템과 장치에 지속적인 관리가 필요하다는 사실을 알고 프로젝트 초기에 미래의 자원을 해당 제어 시스템/장치의 지속적인 관리에 할당한다. 그렇지 않으면 디케이가 발생한다. 지속적인 유지보수를 위한 자원을 계획하지 않으면 미래의 디케이된 상태를 선택하는 것이라는 사실에 기억하자.

3. 변화 관리 정책과 절차에 디케이를 고려하라
정책과 절차를 이용해 변화 관리를 시행하는 문화를 조성하자. 사전 승인 및 문서화 없이는 중요한 사항을 변경할 수 없다. 임시적인 긴급 수요를 위해 비상 변화 관리 프로세스와 절차를 포함시킨다. 일이 발생했을 때, 적절한 변화 관리의 가치는 황금과도 비교할 수 있다.

4. 문제를 해결하는 사람이 원상복구하도록 하라
문제를 해결하는 모든 사람이 시행한 모든 변경사항을 기록하고 해결 프로세스와 마무리의 일환으로 불필요한 모든 변경사항을 원상복구하도록 한다. 영구적인 변경사항은 구성 설정 문서와 변화 관리 로그에 업데이트해야 한다.

5. 모니터링 및 드리프트 해결을 자동화하라
승인되지 않은 변경사항의 모니터링 및 해결을 자동화한다. 정기적인 제어 시스템 유효성 확인을 자동화하지 않으면 더 빠르게 드리프트하게 된다. 확인 주기는 중요도에 따라 달라진다. 가능한 경우 승인되지 않은 설정을 승인된 상태로 원상복구하는 것을 자동화한다. 이로 인해 다른 문제가 생기면 구성 설정 요건을 업데이트하고 일반 변화 관리 프로세스에 따른다.

6. 보안 인식 교육을 강화하라
드리프트와 디케이는 인간에게서도 발생한다는 사실을 기억하자. 보안 인식 교육을 정기적으로 강화해야 한다. 다른 일자리를 찾아 떠난 사람을 대체하기 위해 새로운 대체 라우터 관리자에게 라우터 교육을 제공한다. 내부 위키에 지식을 문서화하는 것으로 실질적인 직접 교육을 대체할 수 없다. 모든 새로운 직원이 원하는 기본 교육을 포함시키고 모두가 배우는 내용을 정기적으로 갱신한다.
드리프트와 디케이에 맞서기 위해 최선을 다하더라도 이를 막을 수는 없지만 그 발생 속도를 늦출 수는 있다. 심지어 선제적으로 대응할 수도 있다. 어쨌든 전반적인 사이버보안 위험이 낮아지고 해커가 쉽게 해킹하지 못하게 된다. editor@itworld.co.kr 


X