영국 BT는 공격 방어 준비 활동의 일환으로, 소속 레드팀(Red Team)이 방어 역할을 맡은 블루팀(Blue team)과 나머지 사람들에게 통보하지 않은 상태에서 실제 가동되고 있는 시스템을 정말로 공격하도록 만들었다. 두 팀이 실제 보유한 역량을 테스트하고, 향후 방어 전략에 반영할 정보를 수집하는데 목적이 있었다.
BT의 시타델, 위험 정보에 바탕을 둔 심층 방어
BT는 1846년 일레트릭 텔레그래프 컴퍼니(Electric Telegraph Company)라는 이름의 회사로 처음 설립되었으며, 지금은 전세계 곳곳에 여러 사업 부문을 운영하고 있다. 유선 전화와 브로드밴드, 모바일 서비스, TV 등 소비자 대상 서비스는 물론, 커머셜 고객들을 대상으로 IT 컨설팅 등의 서비스를 제공하고 있다.레스 앤더슨은 2014년 GCHQ를 그만두고 BT 그룹의 CISO로 합류했다. 앤더슨은 비즈니스를 이해시키고 협력해 비즈니스 목표에 방해 없이 보호 및 방어를 달성하는데 초점을 맞추고 있다. 앤더슨은 “비즈니스를 안전하게 성공시키는데 목표를 두고 있다. BT의 비즈니스는 소비자에게 서비스와 기능들을 제공한다. 그 이후에 이익이 창출된다. 애초 보안 조직을 만들어 운영하는 이유가 여기에 있다”라고 말했다.
BT는 심층 방어 전략을 ‘시타델(Cytadel)’로 부르고 있다. 방벽과 도랑(호), 고지대, 지상 감시 시설, 해자로 둘러싸인 전통적인 요새를 의미하는 ‘시타델’에서 따온 이름이다. 단 하나의 방어 요소에 문제가 생겨도 방어 체계가 작동하기 시작한다. 앤더슨은 “우리는 높은 방벽으로만 구성된 방어 체계가 아닌 심층 방어 체계를 사용한다. 방벽 하나가 무너지면 모든 것이 무너진다. 나쁜 일이 일어나는 것을 막고, 억지하고, 지연시키는 것이 중요하다”라고 말했다.
앤더슨은 전사적으로 물리적 자산, 논리적 IT 자산, 인적 자산 보호를 책임지고 있다. 그가 BT에 합류했을 때, BT는 컴플라이언스를 중시하는 전통적인 사이버보안 체계를 갖고 있었다. 앤더슨은 데이터에 근거를 두고, 위험에 기반을 둔 방법을 도입해 변화를 견인하는 과업을 부여받았다.
그는 “위험 분류 활동을 하지 않는 기업이 아주 많다. 위험과 연결되지 않은 정책이 너무 많다. 이 경우, 누구도 이 정책에 관심을 갖지 않는다. 이렇게 무시될뿐더러, 이행 자체가 불가능한 경우가 많다. 위험에 근거를 두지 않는 정책은 없애야 한다. 우리는 서비스, 기능, 시스템에 초래될 수 있는 위험을 통합적으로 고려해야 한다”라고 설명했다.
앤더슨은 “예를 들어 설명하면, BT 스포츠는 아주 좋은 소비자 대상 서비스이다. 누군가 ‘명성’을 얻고 싶어 프리미어 리그 경기를 방해하려 시도한다고 가정하자. 우리는 이런 상황에 대비해 DDoS가 초래할 위험을 고려했다. 이런 일이 일어나지 않도록 DDoS 방지 역량에 많은 투자를 했다”라고 덧붙였다.
위험 정보에 바탕을 둔 보안을 구현하기 위해 BT 스마트 허브를 봇넷이 BT 파이프를 통해 안전하지 못한 가정용 IoT 장치에 침입해 DDoS 공격을 시작하지 못하도록 만드는 통합 게이트웨이로 탈바꿈 시켰다.
앤더슨은 “장치에 ‘보안 내재화(secure by design)’에 입각한 보안이 구현되는 것이 이상적이겠지만, 공격적이면서 파괴적인 기술 시장에서 이를 기대하기는 어렵다. 이의 해결책 중 하나는 네트워크에 연결되지 못하도록 만드는 것이다. 또 다른 방법은 스마트 허브가 가정용 장치들을 적절히 인증할 수 있도록 만들고, 장치 설계가 미흡한 경우를 대비해 장치 주변에 보호 체계를 구축하는 것이다”라고 설명했다.
시타델은 새로운 발전 상황에 대해 지속적으로 학습을 하고, 최대한 신속하게 적응을 해 조정이 된다. 앤더슨은 “개인적으로 단계적인 기능 혁신을 좋아하지 않는다. 내게 3~5년이 걸리는 프로그램은 아무런 결과가 없는 그런 프로그램이다. 현재 팀이 직면한 상황은 18개월 후에 팀이 직면할 상황과 다를 수 있다. 나는 2년 후의 환경, 악의적 행위자, 기법을 예측하려 노력한다. 이때 발생할 수 있는 공격을 저지할 수 있도록 팀과 어플라이언스, 방법론, 심층 방어 전략을 조정하는 계획을 세운다”라고 말했다.
BT는 이런 노력의 일환으로 수 많은 봇넷을 배포해 운영하고 있다. 악당들이 무기를 준비하기 위해 조사하고 있는 내용, BT를 비롯한 기업들을 공격하기 위해 배포할 것들이 무엇인지 파악하기 위해 악당들을 유인하는 봇넷이다.
최악을 대비하고 테스트
BT는 진짜이든 테스트이든 사고가 발생했을 때 보안 위협 분석 그룹을 조직해 동원한다. 이는 보안 팀과 다른 팀이 서로 협력, 근본 원인을 분석하고, 사후 평가를 실시하고, 반영한 교훈을 파악하는 역할을 하는 그룹이다. 또 앤더슨의 팀은 ‘블랙 스완’ 이벤트에 많은 시간을 투자하고 있다. 거의 상상도 할 수 없지만, 발생할 경우 재앙적인 이벤트가 ‘블랙 스완’ 이벤트이다. 여기에 필립 젠슨 CEO 등 주요 비즈니스 이해관계자가 참여하고 있다. 모의 회의, 모의 기자 회견, 모의 보도 자료 배포 등이 포함된 시뮬레이션 활동이다. 이런 거의 상상도 할 수 없는 사건들을 대비해 연습을 하면, 향후 발생할 수도 있는 중대 사건들에 대해 대비를 할 수 있고, 이로 인한 영향이나 피해에 대한 이해도 높일 수 있다. 또 레드 팀 및 블루 팀의 공격, 방어 방법 파악, 플레이북, 앞으로의 대응에 필요한 정보를 얻을 수 있다.
앤더슨은 “가만히 서서 머리만 긁적거리고 있을 수 없다. 플레이북을 준비해야 한다. 방어를 연습해야 한다. 사고 발생시 신속하게 대응할 수 있는 거버넌스를 마련해야 한다. 우리는 과거 실제 경험해 터득한 교훈을 통해서만 발전할 수 있다”라고 강조했다.
BT가 보안에 있어 중요하게 활용하고 있는 방법 중 하나는 침입 테스트와 연결해 실시하고 있는 선행적인 ‘발견 및 교정’이라는 방법이다. BT의 레드팀은 4년 넘게 BT 시스템을 ‘공세적으로’ 공격했다. 전체 IT 자산, 물리적 자산, 인적 자산을 테스트 대상으로 삼았다.
BT는 분명히 규모가 큰 회사이다. 그렇지만 이를 감안해도, 레드팀의 규모가 약 100명으로 아주 규모가 크다(여기에 더해, BT 보안 부문 인원은 2,500여 명, 앤더슨이 책임진 보안 부서 인원은 400명).
앤더슨은 “나는 전통적인 침입 테스트 전문가들을 물려받았다. 아마 업계에서 가장 규모가 클 것이다. BT는 이들 침입 테스트 전문가 훈련에 많은 돈을 투자, 이들을 국가적인 수준의 공격이 가능한 역량을 갖춘 팀으로 만들었다”라고 말했다.
앤더슨에 따르면, 레드팀은 매년 각기 규모와 범위가 다른 4~6차례의 공격을 실시한다. 또 흥미로운 경우, 발견한 문제점을 더 깊이 탐구할 수 있는 기회도 제공한다.
협소한 의미의 취약점 테스트 및 보고가 아니다. 앤더슨의 레드팀은 BT가 실제 가동해 사용하고 있는 시스템의 취약점을 공격하고, 블루팀의 대응을 테스트한다. 심지어 주요 스포츠 경기 방송 동안에도 공격을 한다. 또 레드팀과 블루팀 사이에 ‘만리 장성’을 쌓았다. 블루팀이 실제 위협 세력에 대응하듯 레드팀의 공격에 대응하도록 만들었다는 의미다.
앤더슨은 “레드팀은 연습을 하지 않는다. 시뮬레이션을 하지 않는다. 실제 공격을 한다. 레드팀이 문제점을 발견한 경우에도 공격을 중단시키지 않는다. 계속 공격을 해서 실제와 같은 사고를 발생시킨다. 블루팀은 레드팀이 무슨 일을 하고 있는지 모른다. 블루팀은 실제 사고 절차에 입각해 레드팀 공격을 저지한다”라고 설명했다.
앤더슨은 이런 방식이 프로세스를 강화하고, 두 팀의 역량을 강화한다고 강조했다. 레드팀 공격이 성공하면, 방어와 플레이북에 필요한 정보를 획득할 수 있다. 블루팀이 방어에 성공하는 경우, 레드팀은 공격 전술 기법, 절차를 새로운 것들로 바꿔야 한다.
앤더슨은 그렇지만 안전한 방법으로 이런 테스트를 실시한다고 덧붙였다. 실제 운영하는 서비스에 문제가 발생하지 않도록 만드는 프로토콜이 적용된다고 설명했다. 실제 가동되고 있는 시스템에 초래되는 공격 위험과 관련, 앤더슨은 위협 주체보다 BT가 직접 취약점을 찾는 것이 훨씬 더 낫다고 강조했다.
앤더슨은 “해커가 특정 지점에 도달해 가동되는 서비스를 무력화시킬 수 있다면, 차라리 우리가 이렇게 해보는 것이 더 낫지 않겠는가? 이후에 누구인지, 어디에 있는지, 도달한 방법이 무엇인지 모르는 상태일 때보다 더 신속히 복구를 할 수 있기 때문이다”라고 말했다.
앤더슨은 다른 부서에 공격 시기를 알려주지 않는다. 다른 부서의 반발이 없었는지 질문을 묻자, CEO의 수용과 승인이 절대적으로 필요하다고 말했다. 그는 “BT의 누군가가 전사적인 보안 구현 활동에 방해를 주도록 만들 수 없었다. CEO가 이런 개념과 방법에 동의를 했고, 적극적으로 지원해 이 부분에 큰 도움을 줬다. 내게 필요한 공간을 줬다”라고 말했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.