블랙 햇 2019에서 거론된 중요한 사이버보안 문제 5가지

CSO
최근 캐피털 원 정보 유출 사건과 에퀴팩스 합의 판결을 보아도 알 수 있듯이 사이버보안은 여전히 까다롭고 시사적인 문제다. 이 안타까운 사건에 화답이라도 하듯 마침 이번 주 라스베가스에서 열린 블랙 햇과 데프콘(DEF CON) 행사에는 사이버보안 관계자들이 참석해 어떻게 하면 보안 취약점 대처와 위협 예방, 탐지, 대응 등을 개선할 수 있을지 논의했다.
 
ⓒ Getty Images Bank 


네트워크 보안 플랫폼 

보안 장비들은 여전히 작동 중인 가운데 네트워크 보안은 경계를 기준으로 드나드는 트래픽을 패킷 검사하는 수준을 초월한다. 물리적인 데이터센터와 가상 서버, 그리고 모든 종류의 클라우드 기반 워크로드에 대해 트래픽을 검사하고 걸러내는 기본 서비스로 진화하고 있다. 중앙 관리와 분산 시행의 중요성을 인지한 업체들(예를 들어, 체크포인트(Check Point), 시스코(Cisco), 포스포인트(Forcepoint), 포티넷(Fortinet), 주니퍼(Juniper), 팔로알토 네트웍스(Palo Alto Networks))은 그 방향으로 혁신을 진행 중이다. 


엔드포인트 보안 통합

네트워크 보안과 마찬가지로 엔드포인트 보안 도구도 비슷한 통합 추세를 겪고 있다. 엔드포인트 보안 플랫폼(EPP) 업체들은 한층 더 뛰어난 플랫폼에 엔드포인트 기능을 통합하고 있으며 기기, 자산 관리, EDR 등의 분야로 기능을 확장 중이다.
여러 EPP 업체들이 차별화를 위한 혁신에 나서는 가운데, EPP의 면모가 빠르게 변화하고 있다. 주요 업체들은 클라우드를 통한 통합 다층 방어 및 대응 기능을 MDR(Managed Detection and Response) 서비스와 결합해 제공할 수 있는 수준을 갖추고 있지만 새로운 서비스와 기능들이 빠르게 등장하고 있다. 


MDR, 중요한 것은 사람

이미 여러 번 반복한 이야기지만, 사이버보안 기술 부족 현상은 CISO들의 모든 의사 결정에 계속해서 영향을 미치고 있다. 랜섬웨어, 피싱, 익스플로잇 등과 같은 위협에 대한 탐지와 대응이 그 좋은 예이다. 이제 위협 탐지 관련 논의는 제품과 서비스에 통합된 위협 정보 종합(intelligence synthesis), 인공 지능(AI), 머신러닝(ML)을 중심으로 이루어지게 될 것이다. 그러나 아무리 많은 위협 정보가 있고 아무리 좋은 머신러닝이 있어도 그것만으로는 유입 경로를 줄일 수 없고 위협 탐지 속도를 높일 수 없다. 경험, 프로세스, 자동화가 필요하다. 즉, 사람이 있어야 한다. 그렇다. 추론 능력이 있는 사람만이 기계가 알아보지 못하는 이상 행동을 파악할 수 있으며 향후 탐지와 대응 행동이 가능하도록 기술 두뇌를 프로그래밍할 수 있다.
서비스 제공업체들은 사이버보안 직원들과 공조해 적의 목표를 표시하되 우리의 사고와 대응을 체계화하는 방식으로 할 수 있다. 일례로 마이터 공격 프레임워크(MITRE ATT&CK Framework, MAF)에서 하는 방식이 있다.
마지막으로 사람 관리는 사람이 해야 한다. 이 경우에 기업 사이버보안 전문가들은 외부 MDR 제공업체들을 효과적으로 관리할 수 있도록 적절한 체계와 기술을 갖춰야 한다. 


새로운 개척 영역, 서버리스 보안 

서비스로서의 기능(FaaS)이라고도 하는 서버리스 기능(Serverless functions), 예를 들어, AWS 람다(Lambda), 마이크로소프트 애저 기능(Microsoft Azure Functions), 구글 클라우드 기능(Google Cloud Functions) 등은 마이크로서비스 아키텍처 상에 구축된 최신 클라우드 네이티브 애플리케이션에서 점점 더 널리 쓰이고 있다. 서버리스 자체가 추상적인 개념이기 때문에 이와 관련된 위협 모델 및 보안 접근 방식 역시 모호하다.
그렇다면 서버리스는 어떤 점이 다른가? 서버리스는 외부 CSP(Cloud Service Provider)는 물론, 내부 개발자에게 보안 책임의 더 많은 부분을 나누어 맡긴다. 이로 인해 공유 책임 모델에 변화가 생긴다. 공유 책임 모델에서는 현재 CSP가 비록 일시적이라도 기능을 실행하는 서버 인스턴스를 확보할 책임을 맡고 있다. 네트워크 탭에 접근할 수 없고 에이전트를 설치할 수 없는 이 서비스의 소비자들은 서버리스 기능 사용에 대한 가시성과 통제를 확보해야 한다. 개발 단계로 좌측 이동함으로써 개발운영 팀은 소스코드에서 API 요청을 계속해서 발견해내야 하며 검색된 API들이 빌드 시간에 어떻게 사용되고 있는지(즉, 인증, 허가, 이동 중인 데이터 암호화 등등에 대해) 판단해야 한다. 
서비스에서 서비스로의 활동에 대한 감시 흔적과 런타임 애플리케이션 자가 보안(RASP)의 사용을 기록하는 것으로 서버리스 API 생명주기 전체를 보호하기 위한 지속적인 작업이 일단락 된다. 


보안 분석의 혁신과 혼란

몇 년 전만 해도 보안 분석(security analytics)은 보안 정보 및 이벤트 관리(SIEM)와 같은 의미로 통했지만 이제는 더 이상 그렇지 않다. 보안 분석에는 이제 NTA(Network Traffic Analysis), 보안 데이터 레이크, UEBA, TIP(Threat Intelligence Platforms) 등과 같은 분야가 포함된다. 노련한 CISO들은 이들 중 많은 것을 테스트하고 있는데, 기술이 상호 운영되고 상호 보완 관계 속에 가치를 더하는 협력적 보안 분석도 원하고 있다. 보안 분석을 통해 고급 데이터(예: 경보, 위험 점수 등)가 제공되기 시작하면 각 조직에서는 보안 운영 플랫폼을 통해 이 데이터를 기반으로 한 조치를 원하기도 한다.
이것이 ESG SOAPA(Security Operations and Analytics Platform Architecture)의 본질이다. 물론 이 분야에는 엄청난 투자와 혁신이 일어나고 있지만 사용자들은 변화의 속도와 시장의 과장 때문에 큰 혼란을 겪고 있다. editor@itworld.co.kr