SaaS, 클라우드가 업무의 지평을 완전히 바꾸고 있는 때

마음가짐이 바뀌어야 보다 효율적인 리스크 관리 이루어져

[보안뉴스 문가용] 서비스형 소프트웨어(이하 SaaS)가 확산됨에 따라 기업의 생산력은 탄력을 받는 듯 하다. 이동성, 유연성도 생기고 서로의 소통이 원활해짐에 따라 생산성이 늘어난 것이다. 그러나 이를 그저 기술이 내려준 축복처럼 여기고 기쁘게 쓰기만 할 일은 아니다. SaaS가 대세가 되면 그에 따라 우리의 마음가짐이 바뀌어야 하기 때문이다. 이는 곧 유출을 전제로 하는 마음가짐, 즉 엔드포인트와 현대 보안책의 한계점을 인정하는 마음가짐이다.

유출을 전제로 깔고 가면 방어의 개념이 ‘원천차단’에서부터 ‘사후 적응’으로 번져간다. 비굴한 거 아니냐고, 공격자들에게 한 발 양보하게 된 것 아니냐고 이야기할 수 있다. 하지만 기업 내 최고로 중요한 시스템에 로그인하기 위해 필요한 암호나 집에 설치된 가정용 인터넷 공유기 로그인 암호(심지어 ID까지)가 대다수 같은 상황 속에서 이는 우리가 스스로 자처한 것이나 다름이 없다. 이는 현재의 기술력과 정책력으로는 막을 수 없는 부분이다.

아무리 철저한 랩탑 사용자라도 얼마든지 피싱 공격으로 낚는 게 가능하다. 이는 인간이 원래 허점이 많은 존재이기 때문이며 또한 그런 인간의 예측불허 실수를 막을 수 있는 방법이 사실상 발견되지 않았기 때문이다. 즉 간단히 요즘 시대를 묘사한다면, 해킹을 막아야한다 정보 유출을 막아야 한다 입으로는 떠들고 뒤로는 필요한 정보를 우리 손으로 해커들에게 직접 넘기고 있는 것과 같은 형국이다.

최근 사건을 통해 보는 예

이런 인간의 취약점 때문에 발생한 최근의 사건으로는 세일즈포스(Salesforce.com)의 고객들을 노렸던 다이어(Dyer) 멀웨어가 있었고, 마이크로소프트 오피스 365의 취약점을 통해 쉐어포인트(Sharepoint)와 원드라이브(Onedrive)를 공격했던 MS13-104 토큰이 있었다. 두 경우 모두 사용자의 로그인 정보가 아니라 사용자 세션을 목표로 한 피싱 공격에 당한 것으로 드러났다. 여기에 감염된 사용자들은 깨닫지도 못한 채 자신들이 가지고 있는 애플리케이션 권한을 전부 해커들에게 넘겼는데, 이는 그럴 수밖에 없었던 것이 사용자의 권한을 다 가지고 있는 해커가 의심스럽게 행동할 필요가 없기 때문이었다.

다이어의 경우 감지 자체가 불가능한 건 아니었다. 하지만 그럼에도 그 증식력이 엄청났다는 건 우리가 가진 엔드포인트와 네트워크 보안책이 그다지 효율적이 않다는 걸 알려준다. 마이크로소프트 취약점의 경우 그 어떤 방어책으로도 감지가 불가능했다.

이런 류의 공격에 대한 충격을 줄이려면 사전 대책 보다 사후 대책에 더 힘을 쏟는 수밖에 없다. 우린 이미 어마어마한 돈을 사전방지책 마련에 쏟아 붓고 있다. 그렇게 하고도 위험은 여전하다. 그리고 그 위험은 각종 기기들이 인터넷과 연결되기 시작하면서 오히려 더 커지고 있다. 그렇다고 기존의 방화벽이나 백신 프로그램을 버려야 한다는 건 아니다. 아니면 다중 인증 시스템이라도 소용이 없다고 말하는 게 아니다. 다만 그런 사전방지책에 너무 기대서는 안 된다는 것이다.

마이크로소프트 오피스 365 취약점의 경우 클라우드 보안 업체인 아달롬(Adallom)의 휴리스틱 엔진이 이를 막기 위해 74가지의 다양한 변수들을 각 사용자의 시스템에서 추적한다. 여기에는 기기와 브라우저처럼 기본적인 것에서부터 클릭 속도나 브라우징 패턴에 대한 분석도 포함된다. 그렇게 축적된 데이터는 각 사용자에 대한 행동 표준 오차라는 걸 구성하게 되고 이걸 바탕으로 리스크가 무엇인지 결정할 수 있게 된다.

1. 기업이 사용하는 애플리케이션의 경우 행동 표준 오차

마이크로소프트 취약점은 감지가 전혀 불가능하다고 위에서 썼는데, 그렇다면 이는 최초에 어떻게 발견한 것일까? 이를 발견한 아달롬은 “몇몇 직원들이 위험하다고 알려진 IP에서 문서를 열람하는 행동 패턴을 발견했고, 이는 행동 표준 오차를 크게 벗어난 행위였”기 때문이었다.

2. 인간 능력의 한계

1분에 링크 100개를 클릭할 수 있는 사람은 없다. 그러므로 이런 행동 패턴이 나타났다면 정상적인 사용자가 아니라는 뜻이 된다. 아마도 자동화가 가미된 어떤 기기일 것이다. 이런 자동화인 듯한 행동은 공격자가 세일즈포스의 연락처를 다운로드하려고 할 때 발생했다. 이때 공격자들은 Wget과 같은 스크립트와 제우스(Zeus)와 같은 멀웨어 패키지 내에 구축된 악성 크롤러를 활용한 것으로 드러났다.

3. 행동 패턴 자체가 지문이다

이게 무슨 말이냐 하면 보통 SaaS 사용자들은 고정적인 기기들로부터 접속 기록을 남긴다. 예를 들어 아이폰 5를 사용하는 사람들은 대부분 사파리를 활용해 접속을 한다든가 데스크톱에서 윈도우 8.1을 사용하는 사람들은 대부분 크롬이나 IE로 접속을 한다든가 하는 것이다. 게다가 사용하는 시간도 분석해보면 꽤나 규칙적이다. 그런데 이런 정보가 한꺼번에 바뀔 때가 있다. 전혀 엉뚱한 기기에서, 엉뚱한 시간에 접속이 이뤄졌다면 이는 의심이 갈 만한 증상이다. 실제 사용자가 휴가를 떠났을 수도 있지만 해커가 접속을 한 것일 수도 있다.

표준 행동 편차를 구축하고 분석하는 것도 결국 방지책이 아니냐, 라는 의문이 들 수도 있다. 하지만 이는 ‘공격이 반드시 들어올 것이다’라는 걸 전제로 깔고 시행하는 것이다. 누군가 반드시 수상한 행동을 할 것이고 누군가 반드시 내 권한을 전부 가져갈 것이라는 걸 기정사실로 받아들이고 그에 대한 감지책을 마련한 것과 아무도 내 시스템에 침투할 수 없도록 방지책을 두껍게 마련하는 것은 전혀 다르다.

마이크로포스트 오피스 365 취약점의 경우 아달롬은 마이크로소프트의 보안 대응 팀에 연락을 취해 자신들이 발견한 것들을 상세하게 보고했다. “공격의 흔적이 전혀 남지 않기 때문에 저희는 ‘얼음칼’이라는 이름으로 부르기 시작했습니다.” 아달롬의 노암 리란(Noam Liran)의 설명이다. 마이크로소프트는 곧이어 패치를 발행했고 아달롬을 자신들의 MAPP(마이크로소프트 능동적 보호 프로그램)에 추가시켰다.

클라우드는 사업이 운영되는 방식 자체를 바꾸고 있다. 그리고 이런 현상은 SaaS가 계속 진화할수록 심화될 것이다. 이제 기업들은 ‘데이터 보호’에 대해 조금 다른 각도에서 고민을 시작해야 할 것이다. 역설적이지만 ‘정보는 분명히 탈취될 것이다’라는 마음가짐이 자포자기로 이어지지만 않는다면 보다 효과적인 보호책을 마련하는 데에 도움이 된다. 이는 항복 선언이 아니다. 요즘 세상에서 이런 마음가짐은 진정한 리스크 관리로의 한 걸음이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>