사전 예방적 보안 전략의 8가지 특징

CISO는 오랫동안 보안 사고 대응 및 복구 역량 구축 임무를 맡아왔다. 목표는 보안 사고에 최대한 신속히 대응하고 피해를 최소화하면서 비즈니스 기능을 복구할 수 있는 역량을 갖추는 것이다. 이 같은 사후 대응적 조치는 여전히 필요하지만, 최근에는 사후적 대응 조치와 균형을 맞추기 위해 사전 예방적 조치를 더욱 확대하는 움직임이 늘었다.
 

셔브룩 대학교(Université de Sherbrooke)의 사이버보안학과 교수이자 ISAC(Information Systems Audit and Control Association)의 이머징 트렌드 워킹 그룹(Emerging Trends Working Group) 멤버인 피에르 마틴 타디프는 “사전 예방적인 조치를 취하면 기업 환경에서 어떤 종류의 공격이 일어날 것인지 예측하고 보유한 취약성을 선제적으로 찾아내 위험을 발생 전에 줄일 수 있다”라고 언급했다.

타디프를 비롯한 다른 전문가들에 따르면, 사전 예방적 전략은 신속한 대응 능력만을 갖추거나 이런 능력이 대부분인 기업의 회복탄력성 증대에 큰 역할을 한다.

대기업의 선임 보안 프로그램 매니저이자 ISACA의 이머징 트렌드 워킹 그룹 멤버인 산드라 아지모토킨은 “사이버보안 전문가가 추구하는 궁극적인 목표는 자산 보호를 통해 사이버보안 위험이 악용되는 것을 방지하는 것이다. 사전 예방적 프로그램은 매우 성공적으로 이런 역할을 해낸다”라고 설명했다. 

그렇다면 무엇이 사전 예방적 전략을 차별화할까? 사전 예방적 전략에는 다음과 같은 특징이 있다. 

1. 갖추고 있는 것, 보호해야 할 대상, 위협이 되는 대상의 인지

여러 전문가는 사전 예방적 사이버보안 태세를 구축하기 위해서는 기업이 현재 무엇을 갖추고 있는지 이해하고 무엇이 최고 수준의 보안에 필요한지 이해하는 한편 수용할 수 있는 위험을 인식해야 한다고 말한다. 기업에 대한 최대 위협은 이런 정보를 통해 파악할 수 있으므로 CISO의 관심이 가장 많이 요구되는 부분이다.

아지모토킨은 “사전 예방적 사이버보안팀은 기업의 리스크 프로파일을 이해하고 아직 직면하지 않은 위험을 식별할 수 있다. 이것이 공격 발생을 방지하는 능력의 핵심이다. 무엇이 보안을 필요로 하는지 이해하고 모든 취약점을 면밀히 검토할 수 있기 때문이다”라고 말했다.

캐리어 글로벌(Carrier Global Corp)의 CPSO(Chief Product Security Officer) 존 데스쿠라키스도 이에 동의하며, 사전 예방적 조치를 지속적으로 취하는 “지속적인 식별”의 필요성을 강조했다. 또한 “무엇을 왜 보호하고 있는지 인식하고 관련된 모든 위험에 대한 이해를 지속해서 이어 나가야 한다. 공격 표면은 확대되고 변화하기 때문에 이에 대한 깊은 이해를 갖춘 전문가가 되어야 한다”라고 덧붙였다. 

2. 강력한 사용자 인증 정책 및 제로 트러스트 접근 방식 채택

가상 CISO 및 사이버보안 컨설팅 기업 TCE 스트레티지(TCE Strategy)의 CEO 브라이스 오스틴에 따르면, 사전 예방적 보안팀은 속해 있는 IT 환경은 물론 기업의 리스크 프로파일에 대해서도 깊은 이해를 갖출 뿐 아니라, 강력한 사용자 인증 정책을 통해 누가 혹은 무엇이 네트워크 및 각 시스템에 접근하는지도 면밀히 이해하고 있다. MFA(Multi-Factor Authentication) 같은 정책은 권한을 부여받은 사용자만 기업 IT 환경에 접근할 수 있도록 보장하며, 다른 사용자의 접근은 모두 차단한다. 

타디프에 따르면, 많은 CISO가 제로 트러스트 아키텍처로 전환하는 노력의 일환으로 강력한 인증 요구사항을 구현하고 있다. 이런 아키텍처에서는 모든 사용자와 기기가 접근 권한을 부여받기 전 반드시 신원을 증명해야 한다. 제로 트러스트는 여기서 더 나아가 인증된 사용자가 업무 수행에 필요한 시스템과 데이터에만 접근할 수 있도록 제한한다. 타디프는 이 같은 최소 권한 원칙(Principle of Least Privilege) 준수는 사후적 대응에서 사전적 예방으로 초점을 옮길 수 있는 또 하나의 방법이다.

3. 민첩성 및 적응력 확보

해커보다 한발 앞서기 위한 또 다른 핵심은 위협 행위자보다 빠르지는 않더라도 비슷한 속도로 태세를 전환하는 능력이다. 

데스쿠라키스는 “사전 예방적 태세를 갖춘 CISO는 고정적이고 규정적인 ‘체크박스식’ 접근 방식을 피하고 지속적으로 전략을 발전시키고 공격자처럼 사고할 수 있는 공격 중심적(attack-centric) 사고방식을 채택한다. 견고한 사전 예방적 방어력은 유연하고 끊임없이 진화하는 위협에 대응하기 위해 변화한다”라고 설명했다. 

경영 컨설팅 기업 프로티비티(Protiviti)의 보안 및 개인정보 보호 부서에서 상무이사 앤드류 레트럼 또한 동의했다. 레트럼은 퍽(puck)이 있는 곳이 아닌, 퍽이 향하는 곳에서 스케이트를 타야 한다는 메시지를 담은 아이스하키와 관련된 격언을 언급했다. 그리고 “앞으로 닥칠 일보다 앞서 나가야 한다”라고 덧붙였다.

4. 미래 기술과 규제 변화에 대비

사전 예방적 태세를 갖춘 CISO는 부상하는 도구, 기술, 규제를 주시하며, 무엇보다 이런 요소가 주류가 되거나 의무화되기 전에 전략 및 보안 프로그램에 통합한다.

예를 들어, 레트럼은 뉴욕 금융 감독청(New York Department of Financial Services)이 새로운 사이버보안 요구 사항을 발행할 가능성이 확실해지기 전부터 역량을 총동원한 한 CISO를 언급했다. 레트럼은 “해당 CISO는 다른 고위 임원들에게 이 사안에 대해 조언할 수 있도록 앞서고자 했으며, 이들이 향후 닥칠 상황을 인지할 수 있도록 조치를 취하고자 했다”라고 설명했다.

그리고 이제는 다른 CISO들 또한 기업 환경과 광범위한 시장 변화를 파악하기 위해 이런 접근방식을 취하고 있다. 레트럼은 이를 통해 변화가 닥치기 전 보안 부서를 대비시킬 수 있다고 말했다. 레트럼이 알고 있는 한 CISO는 양자 컴퓨팅이 향후 보안 프로그램에 미칠 영향을 고려하고 있으며, 어떤 보안 조치가 효율성이 떨어질 것인지 파악하는 한편, 그 대신 어떤 보안 조치를 취할 것인지를 결정하고 있다.

레트럼은 “사전 예방적 보안 기능은 이런 모든 것을 고려하고 있으며, 미래 3~5년을 위한 로드맵을 짜고 있다. 앞을 내다보고 미래를 인식하는 것은 가치 있는 일이다”라고 덧붙였다.

5. 사칭 공격자 주시

인포테크 리서치 그룹(Info-Tech Research Group)의 수석 리서치 자문인 칼로스 리베라에 따르면, 사전 예방 보안팀은 모든 도메인 이름, 기업 로고, 보안 식별자 오용 사례를 탐색한다. 브랜드의 불법적 사용례도 선제적으로 찾는다. 

보안팀은 스푸핑 및 다른 종류의 브랜드 사칭을 찾는 도메인 이름 모니터링을 위해 주로 SaaS 기반 도구를 사용하거나 매니지드 보안 서비스 제공업체와 협업한다. 리베라에 따르면, 이런 모니터링은 보안팀에게 스푸핑된 웹사이트, 탈취된 기업 로고, 피싱 목적 사칭, 소셜엔지니어링 기법을 사용하는 해커의 활동을 미리 알린다. 이를 통해 보안팀은 공격이 전면화하거나 성공하기 전에 공격 시도를 방어하거나 완전히 무력화시킬 수 있는 시간을 확보할 수 있다.

6. 위협 사냥

사이버 범죄자들은 큰 보상을 찾아 기업 네트워크와 시스템에 침입을 시도하고 종종 자신의 활동을 난독화한다. IBM의 ‘2022년 데이터 침해 비용 보고서’에 따르면, 기업은 평균적으로 207일이 지난 후에야 침해 사실을 파악하는 것으로 조사됐다.

뒤늦은 지각은 고질적인 문제다. 사후 대응적 방식을 취하는 원인이기도 하다. 이런 문제를 해결하기 위해 보안팀은 침해 혹은 기타 공격 발생 전에 IT 환경에서 숨어 있는 모든 사이버 범죄자를 찾기 위한 위협 사냥(threat hunting) 방식을 점차 채택하고 있다.

비영리 훈련 및 인증기관 (ISC)²의 CISO 존 프랑스는 “사전 예방적 보안 방식의 또 다른 요소는 적극적으로 악용되기 전에 위협을 찾는 적극적인 위협 사냥에 참여하는 것이다. 공격 벡터 같은 기술적 측면 혹은 악용을 원하는 위협 행위자 측면에서 이런 조치를 취할 수 있다”라고 설명했다. 

위협 사냥은 성과가 있다. ‘SANS 2022년 위협 사냥 조사(SANS 2022 Threat Hunting Survey)’에 따르면, 응답자의 85%는 위협 사냥을 통해 기업의 보안 태세를 개선했다고 답했다. 전문가들은 위협 사냥에 AI/ML을 활용하면 보안팀이 훨씬 신속하게 위협을 감지할 수 있다고 조언한다.

아지모토킨은 “패턴 인식 및 결과 예측 기능을 갖춘 ML 덕분에 전례 없는 수준의 가시성을 확보할 수 있다. 이를 통해 사이버보안팀은 위협을 신속히, 최대한 조기에 식별할 수 있고 그 어느 때보다 빠르게 공격을 완화할 수 있다”라고 덧붙였다. 

7. 취약성 사냥

기업 내 존재하는 알려진 취약점을 식별하고 최대 리스크를 초래하는 취약점 패치를 우선시하는 강력한 취약성 관리 프로그램은 훌륭한 보안 전략의 중요한 지표다.

(ISC)²의 프랑스는 사전 예방적 태세를 갖추고자 하는 보안팀은 한 걸음 더 나아가 프로그램에 취약성 사냥(vulnerability hunting)을 추가해야 한다고 조언했다. 전통적으로 취약성 관리 프로그램은 ‘알려진’ 문제에 초점을 두지만, 취약성 사냥은 보안성이 취약한 소프트웨어 코드 혹은 IT 환경의 잘못된 구성처럼 알려지지 않은 문제를 찾아내도록 돕는다.

또한 전문가들은 직원들이 취약점을 찾고 탐색하고 해결하도록 장려하고 보상하기 위해 보안 취약점 공개 프로그램(Vulnerability Disclosure Programs) 및 버그 바운티(Bug Bounty) 프로그램을 시행하고 정기적인 침투 테스트를 실시할 것을 권했다.

8. 대응 연습 

비직관적으로 들릴 수 있지만, 프랑스에 따르면 사전적 예방 보안팀은 공격이 성공했을 때 취할 대응을 정기적으로 연습한다. 또한 주로 모의 훈련(tabletop exercise) 형태로 실시하는 연습을 통해 기업은 여러 측면에서 앞서 나갈 수 있다.

훈련을 통해 공격 방식을 상상하고 명료화할 수 있으므로 보안팀은 기존 보안 프로그램의 취약점을 식별할 수 있다. 그런 다음에는 빈틈을 좁힐 수 있으며, 상상한 상황이 발생하지 않도록 방지할 수 있다. CISO는 모의 훈련을 통해 대응 계획의 부족한 부분을 파악한 후 개선할 수 있다. 

프랑스에 따르면, 모의 훈련은 머슬 메모리 구축에도 도움이 된다. 이렇게 생긴 머슬 메모리를 통해 기업은 사건 발생 시 더욱 신속하고 효율적이며, 효과적으로 움직여 피해를 최소화하고 빠르게 정상화할 수 있다.
editor@itworld.co.kr