보안 탄력성으로 침해 위험과 사고 비용 낮추기

사이버보안 분야에서는 흔히 "기업의 유형은 두 가지다. 침해당한 기업, 그리고 침해당한 사실을 모르는 기업"이라는 말을 하곤 한다. 암울하게 들리겠지만 현실이 그렇다. 거의 모든 기업이 사이버보안 침해 사고를 겪는다.


Credit: Getty Images Bank

기업은 가장 우수한 최신 보안 기술에 많은 비용을 투자하지만 그럼에도 계속 침해당한다. 그 이유는 사용자 관련 문제를 포함해 여러 가지다. 기업에 있어 과제는 최대한 신속하게 침해를 발견하고 정상 운영으로 돌아가는 것이다.

현재의 위험과 이 위험으로부터 복구하는 방법을 알아보기 위해 익시아(Ixia)의 선임 솔루션 마케팅 관리자이자 침해 복구 아키텍처 모델인 "보안 탄력성(security resilience)" 개념을 고안한 키스 브롬리와 인터뷰했다.

Q. 개인적으로, 또 익시아의 관점에서 현재의 보안 상태를 어떻게 보는가
A. 전통적인 보안 방어 모델의 실패가 점차 뚜렷해지고 있다. 네트워크 침해 여부의 문제가 아니라 언제 침해되느냐의 문제다. 최근 몇 년 사이 언론 보도를 보면 대부분의 기업 네트워크는 언젠가는 해킹된다는 것을 알 수 있다. 또한 대부분의 경우 IT 부서가 침입을 인지하는 데 걸리는 시간이 몇 개월에 이른다. 폰몬 인스티튜트(Ponemon Institute)에 따르면, 평균 침해 인지 시간은 191일, 즉 6개월 이상이다. 해커는 충분한 시간 동안 원하는 것을 찾아 원하는 정보를 빼돌릴 수 있다.

흥미로운 데이터가 몇 가지 있다.
- 폰몬의 2018년 2월 연구에 따르면 사이버보안 및 IT 전문가의 80%는 2021년까지 자신이 속한 기업에서 재해 수준의 데이터 유출이 발생할 것으로 예상한다.
- 동일한 연구의 2017년 판을 보면 사이버 침해 비용이 2016년에 비해 22.7% 증가했다.
- 2018년 2월 마시(Marsh)와 마이크로소프트가 실시한 글로벌 사이버 위험 인지 연구에 따르면, 사이버 방어 계획을 가진 기업은 30%에 불과하다.

Q. 무서운 연구 결과다. 이 결과에서 특별히 관심을 끄는 부분은 무엇인가
A. 대부분의 침해가 며칠에 걸쳐 일어난다는 점이다. 단기적 사고가 아니라 장기적인 작전인 경우가 많다. 이 정보를 근거로 한다면 보안 위협에 대한 빠른 대응은 더 신속하게 침입을 차단함으로써 침해 비용을 최소화하는 데 도움이 될 수 있다. 그러나 보통은 그렇게 하지 않는다. 6개월의 시간을 1개월로 줄일 수 있다면? 또는 더 줄여서 1주일이나 하루만에 인지할 수 있다면? 그보다 더 줄일 수 있다면? 모든 조직이 그 부분에 관심을 기울여야 한다.

Q. 빠른 대응 부분에 관심을 갖는다면 보안 전문가가 할 수 있는 일은
A. 먼저 일반적으로 사용되는 세 가지 보안 접근 방법이 있다. 최선의 노력, 규정 준수, 방어적 보안(defensive approach)이다.
최선의 노력은 대부분의 IT 기업에 익숙한 시나리오다. 보안 엔지니어나 임원 또는 다른 리더가 "어느 정도 수준의 보안을 구축해야 한다"고 말하면서 시작된다. 일반적으로 방화벽, 기본적인 보안 구성 요소가 포함되며 기본적인 감사와 모니터링이 구현되기도 한다.
그 다음 단계는 규정 준수다. 대부분 경영진 수준에서 추진되는 이니셔티브다. 개념은 비즈니스 요건이 PCI, HIPAA를 비롯한 열 기준을 준수하도록 강제한다는 것이다. 이것이 보안 아키텍처를 더 견고하게 해줄 것이라고 생각할 수 있다. 그러나 규정 준수는 감사를 대비해 필요할 수는 있지만 보안을 보장하지는 않는다.
세 번째 수준은 기본적으로 방어적 접근 방법이다. "이 네트워크를 단단히 보호해서 아무도 침투하지 못하게 할 것"이라는 생각이다. 온갖 인라인 및 대역 외 디바이스가 구축된다. 침입 차단을 위한 심층 방어 전략을 수립하기도 한다. 예를 들어 누군가 방화벽의 포트 90을 통해 침투한다면 다음 단계는 DPI(심층 패킷 검사)를 통해 데이터를 검문하는 것이다. 그 외에 차단, 탐지 및 대응 프로세스를 구현하는 등의 투자도 할 수 있다.
그러나 이런 아키텍처는 모두 최소 하나의 공통점이 있다. 바로 통하지 않는다는 것이다. 누군가는 항상 방어를 돌파한다. 더 나은 전략이 필요하다. 네트워크 보안 탄력성이라고 부르는 전략이다.

Q. 탄력적 보안의 의미와 작동 방식을 정의한다면
A. 탄력성의 정의는 구부러지고 늘어나고 압축되었던 물체가 원래의 형태로 되돌아가는 속성이다. 보안 관점에서는 보안 공격과 침해가 발생한 이후 IT 네트워크가 정상적이고 안정적인 상태의 운영으로 복구할 수 있는 역량을 의미한다.
완전히 새로운 개념은 아니지만, 많은 관심도 받지 못하고 있는 방어 접근 방법이다. 그러나 침해 관점에서 보면, 보안 탄력성은 "준수까지 소요 시간"과 "교정까지 소요 시간"을 단축할 수 있다는 면에서 가장 중요한 활동 가운데 하나다. 과정을 요약하자면 공격을 당하고 방어선이 뚫리고 네트워크가 침해되고 위협 요소가 발견되고 손상된 부분이 복구된 다음 네트워크가 다시 보안 상태로 돌아간다.
차단이 항상 보안 아키텍처의 핵심 목표가 되어야 하지만 탄력적인 아키텍처의 주요 목표는 최대한 신속하게 침해를 인지하고 조사한 다음 손상을 교정하는 데 있다.

Q. 탄력적 접근 방법과 다른 방법의 차이점은 구체적으로 무엇인가
A. 탄력적 접근 방법을 통해 조직은 공격에 대한 방어 능력을 강화하고 공격을 받은 후 복구하고 피해와 보안 침해의 비용 최소화 역량을 강화하는 등 여러 가지를 할 수 있다.


Credit: Ixia

네트워크 보안 탄력성은 침해가 발생한 후 네트워크 복구를 돕기 위한 일련의 활동이다. 앞서 언급한 최선의 노력, 규정 준수, 방어적 전략은 모두 침해를 차단하는 데 집중하는 반면, 이 보안 탄력성 전략의 초점은 "침해 이후" 활동에 있다.

Q. 네트워크 보안 탄력성을 도입하고자 하는 기업이 그 방향으로 가기 위해 구축할 수 있는 기술이나 이니셔티브는 무엇인가
A. 활동 하나하나가 그 자체로 인터뷰 주제가 될 만큼 내용이 많지만 최대한 요약하자면 이렇다.
- 위협 인텔리전스 게이트웨이를 설치해 알려진 불량 IP 주소로의 데이터 유출을 차단한다.
- 애플리케이션 인텔리전스를 사용해 침해 지표(IOC)를 찾는다.
- 더 빠른 분석을 위해 네트워크 패킷 브로커(NPB)로 TLS(및 SSL) 기반 모니터링 데이터를 해독해 포렌식 툴로 데이터를 배포한다.
- NPB의 자동화 기능을 사용해 적응형 모니터링을 구현, 근 실시간으로 SIEM 지침에 대응해 의심스러운 모니터링 데이터를 데이터 손실 방지(DLP) 툴로 전달, 분석한다.
- 보안 공격 재생 기능을 설치해 연구실에서 보안 데이터를 캡처하고 확인해 침해가 어떻게 발생했는 지에 관한 전술적 분석을 실시한다.
- 보안 엔지니어가 더 신속하게 위협을 인지하고 적절한 대응책을 마련할 수 있도록 사이버 레인지(cyber range) 교육을 실시한다.
- 보안 연구실의 위협 시뮬레이션 기능을 사용해 특정 위협의 행동 양식을 더 정확히 이해해 공격 대상이 무엇인지 파악한다.
- 모니터링 데이터를 캡처 및 필터링한 다음, 이 데이터를 전용 디바이스로 보내 트래픽 패턴과 IOC를 확인한다.

Q. 유익한 인터뷰에 감사한다. 마지막으로 덧붙일 말은
A. 예방적 수단에 집중해야 할 필요성은 이해하지만 모든 기업은 보안 침해가 발생한 경우를 전제한 대비책을 갖춰야 한다. 공격자들은 매우 빠르게 움직이며 첨단 머신러닝 기반의 툴을 보유하고 있다. 모든 유형의 공격을 방어하는 것은 불가능하다. 방어 전술도 중요하지만 침해 이후의 복구에도 더 많은 관심을 가져야 한다. editor@itworld.co.kr