효과성
64
%
자료 제목 :
마이크로소프트 보안 인텔리전스 보고서 v20
Security Intelligence Report Volume 20
자료 출처 :
Microsoft
원본자료 다운로드
발행 날짜 :
2015년 12월 31일
보안

블로그 | ‘백신 효능 연구처럼’ 경험적 데이터를 활용한 사이버 보안 측정의 중요성

Pete Lindstrom | CSO 2022.03.23
코로나19 백신의 등장을 기다리던 2020년 가을을 회상해보자. 당시 몇 가지 백신 후보가 있었으며, 이들의 효능 연구가 진행 중이었다. 2020년 12월 초 백신 효능이 95%라는 사실이 알려지자 많은 국가가 환호했다. 물론 독감 백신의 효능이 일반적으로 약 60%라는 것을 알아야 코로나19 백신에 감탄할 수 있었을 것이다.

백신 효능을 테스트하는 무작위 대조 실험을 하지 않고, 화이자와 모더나가 백신은 무조건 효과가 있다고 단언했다면 기분이 어땠을까? 이들 업체가 백신을 만든 과학자의 강력한 권한과 적절히 관리된 연구실 환경, 완벽한 절차 준수, 순차적인 모든 서류 작업을 근거로 들어 이런 주장을 했다고 가정해보자. 필자는 아마도 큰 충격에 빠지고 화가 치밀었을 것이다.

사이버 보안에서도 사용자는 유사한 패턴을 따른다. 여기서 컴플라이언스 감사는 과감히 배제했다.
 

사이버 보안 효과성 측정

사이버 보안의 세계를 떠올려보자. 여기서는 보안 업체가 실제로 프로그램의 효과를 측정한다. 보안 업체는 PC 성능과 확장성을 사용해 다른 분야에서 최소 요건으로 취급되는 동일한 유형의 테스트를 수행한다. 또한, 제어 환경을 관리하고 결과를 평가해 프로그램의 강도를 결정한다.

이런 패턴에 대한 반응은 대부분 ‘비난’이나 ‘경멸’이다. PC 환경은 말도 안 되게 복잡해 이런 접근은 마치 인간 게놈의 염기쌍 30억 개를 서열화하는 것과 다를 바가 없기 때문에 불가능하다는 이유에서이다. 다만, 염기서열을 세포 분열과 뉴런 발사, 화학 작용으로 가득한 인류 70억 명의 참조 모델로 삼는 것은 간단하다.

하지만 실제로 컴퓨팅 환경을 측정하는 것은 매우 쉽다. 사이버 보안에서 얻을 수 있는 인공지능(AI)의 이점은 여전히 불분명하지만, AI를 활용하면 빠르게 측정할 수 있다. AI가 분석 중인 데이터를 수집해 사용하면 PC는 이런 목표에 쉽게 사용될 관련 작업의 인스턴스와 요소를 더 간단하게 셀 수 있다.
 
ⓒ Getty Images Bank
 

사이버 보안 효과성 측정 방법과 사례

사이버 보안의 효과성 실험을 할 수 있는 기회는 많다. 예를 들어, 기업은 마이크로소프트 보안 인텔리전스 보고서 v20(Security Intelligence Report Volume 20)에 명시된 것과 동일한 기술을 적용할 수 있다. 보고서에 따르면, MSRT는 2시간 15분 동안 단 한 번도 실시간 보안 소프트웨어를 실행하지 않은 PC의 경우 항시 보호되는 PC보다 악성코드에 감염될 가능성이 2.7~5.6배 더 높다고 밝혔다. 데이터를 자세히 살펴보면 사이버 보안의 효과성은 약 64%이다.

또는, 구글이나 뉴욕 대학교가 시행한 것과 유사한 실험을 통해 다음과 같은 결론을 내릴 수 있다.

지식 기반 보안은 단 10%의 피싱에 기초한 하이제킹 및 73%의 자동화된 하이제킹 시도를 차단한다. 반면, 장치 기반 보안은 피싱 기반 및 자동화된 하이제킹 시도를 각각 94%, 100% 차단해 최고의 보호 기능을 제공한다.

이들 연구는 모두 코로나19 백신 효능 연구만큼 엄격한 수준은 아니지만 기업 환경에 쉽게 적용해 효과를 볼 수 있다.

PCI 컴플라이언스 감사로 프로그램의 품질을 증명하는 현재 관행은 표적 대상의 침해를 막는 데 아무 도움이 되지 않는다. 정기적 감사를 지속적인 측정에서 나온 경험적 데이터로 대체하면 보안 업체는 근면과 태만에 대한 이해도가 크게 변화하고 작업 환경을 보호하는 최선의 방법에 관해 중요한 통찰력을 얻을 것이다. 여기서 주목할 점은 어떤 방법을 사용해도 실패할 염려가 없다는 것이다. 보안 업체는 방법을 즉시 재현해도 또다시 실패하는 경우가 놀라울 정도로 많다. 하지만 실시간 활동의 성격과 유형, 적용되는 제어 수와 유형, 최종 결과를 측정하는 경험적 접근법은 기존 방법보다 더욱 객관적 수준의 경험적 분석을 제공할 것이다.

그동안 필자는 사이버 보안이 ‘효과가 없다’라는 말을 듣고도 사실인지라 아무 반응도 하지 못했다. 지금부터라도 사이버 보안에 경험적 접근법을 적용해보기 바란다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.