• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Tenable, “수상한 활동들은 생각보다 많이 일어난다” 2014.10.01

보안업계가 현재 가장 필요로 하는 기술력은 ‘빅 데이터’

사물인터넷 시대 오면 계속적인 모니터링이 필수 능력


[보안뉴스 문가용] 한국에서는 셀파인네트웍스을 통해서 정보보안 산업에서 활동 중인 테너블은 12년 전 멀웨어 및 비정상적인 활동을 스캔해주는 솔루션을 가지고 미국 시장에 등장했다. 그러나 곧 스캐닝 기술만으로는 부족하다는 걸 깨닫고 보다 상위 개념의 ‘보안 프레임워크’까지도 아우르는 솔루션을 개발하기에 이르렀다.

 

▲ 우리가 모르는 활동들이 상상 이상으로 많다


올해 ISEC 2014에 강연자로 참석한 딕 부시에(Dick Bussiere)는 본지와의 인터뷰에서 이에 대해 “백엔드 프로세스를 돕기 위해서는 솔루션 이상의 것을 제공해야 한다는 걸 깨달은 것”이라고 설명을 부가했다. “어떤 취약점을 시급하게 다루어야 하는지, 어떤 정보 및 자산이 가장 큰 타격을 받을 것인지, 충격을 어떻게 줄여야 하는지까지 다루는 정책이나 프레임워크 없이 단순히 멀웨어만 스캔해줘서는 큰 효용성이 없다는 뜻입니다.”


결국 딕 부시에가 ISEC 2014 강연 초반에 ‘선포’한 ‘100% 완벽한 시스템은 없다’는 명제는 지극히 당연한 현실을 있는 그대로 말했다기보다 ‘사용자 경험으로의 보다 깊숙한 관여 없는 솔루션은 사실상 무용지물’이라는 뜻으로 해석할 수 있다. “그래서 실시간 모니터링 혹은 지속적인 모니터링이라는 저희의 답을 찾은 것이죠. 현재 저희는 취약점과 의심스러운 활동들, 위협 요소가 되는 멀웨어들을 실시간으로, 계속해서 감시하고 있습니다.”


당연한 얘기 같지만 실제 이를 실시할 수 있는 솔루션이나 업체는 많지 않다는 게 부시에의 설명이다. “보통 분기별 혹은 반기별, 심지어 일년에 한 번 업데이트를 내놓는 것이 일반적입니다. 하지만 취약점을 통한 익스플로잇 사고가 어디 이렇게 주기적으로 가끔 일어나나요? 매일 일어나죠. 그렇다면 매일 감시하고, 매일 업데이트를 내놓아야 합니다. 그게 아니면 답이 없습니다.” 실제 테너블은 일일 단위로 업데이트를 배포한다.


일간지 기자 생활도 빠듯한데, 그 수많은 취약점을 매일 분석하고 업데이트를 한다는 게 말처럼 쉬울 리가 없다. “방대한 양의 정보와 마주할 수밖에 없습니다. 결국 이는 빅 데이터 문제로 취급할 수밖에 없게 됩니다. 실제 그것이 회사의 방침이기도 하고요.” 빅 데이터 문제로서 취약점에 대한 정보를 다룬다는 건 “데이터 중 버릴 건 과감하게 버리고, 중요도나 기준에 따라 취사선택을 하는 과정을 최대한 쉽고 빠르게 하는 능력 혹은 기술”이 있음을 전제한다.


그 기준에 대하여 부시에는 “얼마나 많은 사람들이 영향을 받나, 얼마나 많은 사람들이 사용하는 브랜드 혹은 제품에서 발견된 취약점인가, 이미 발견된 취약점에 익스플로잇 방법만 새롭게 나온 것은 아닌가를 고민”한다고 구체적인 설명을 덧붙였다. 이는 결국 충격을 완화하는 이른바 Mitigation에 더 중점을 둔 회사의 철학이 드러나는 부분이 아닐까 싶었다. 실제 지금의 보안 산업은 방지(prevention)에서 완화(mitigation)쪽으로 움직이고 있다는 설명이 여럿 나온 상태다.


“저는 개인적으로 방지나 완화나 같은 수준에서 다뤄야 한다고 생각합니다. 어떤 하나가 더 중요하다고 보지 않아요. 바로 지난 달에 미국 의료 산업계는 하트블리드로 큰 사고를 겪었습니다. 하트블리드요. 유행 다 지나간 하트블리드 말입니다. 충분히 막을 수 있었던 문제입니다. 이렇게 막을 수 있는 건 당연히 막아줘야 보안이지, 사고 난 후 대처에만 신경 쓰는 건 어폐가 있다고 봅니다. 물론 충격 완화에도 신경을 써야 합니다. 그러나 취약점이 존재하지 않으면 익스플로잇도 없어지기 마련입니다.”


테너블은 하트블리드 사태가 크게 터졌을 때도 회사가 자랑하는 ‘지속적인 모니터링’ 시스템을 통해 바로 다음날 업데이트를 고객들에게 전달할 수 있었던 몇 안 되는 회사 중 하나다. 최근 보안뉴스를 통해 폴 빅시(Paul Vixie)는 앞으로 보안업계는 이런 식의 빠른 대처를 해나가는 훈련을 해야 한다고 강조한 바 있다. 부시에 역시 지속적인 모니터링의 목적이 그런 빠른 대처에도 있다고 설명한다. 

 

▲ ISEC 2014 강연 후 딕 부시에

“테너블의 솔루션을 처음 경험해본 고객들이 제일 놀라는 건 솔루션 도입 후 거의 곧바로 이상 징후를 발견한다는 겁니다. 사실 대부분 사람들은 ‘설마 내가 공격 대상이겠어?’라고 생각하는데 말이죠. 이런 고객들이 거의 대부분입니다.” 그만큼 우리가 인지하지 못하는 공격이 대량으로 물밑에서 이루어지고 있다는 것이다. “상상하는 것보다 수상한 활동들은 훨씬 많이 일어나고 있습니다. 지금 이 순간에도요.”

 

이는 사물인터넷의 활성화와 더불어 더 심해질 예정이다. “먼저는 사물인터넷 기기의 생산자가 본격적으로 늘어날 전망인데, 그 생산자들 중 보안에 대한 의식을 가지고 있는 사람이 극히 드물다는 것이 제일 큰 문제입니다. 아직 보안에 대한 개념은 사람들 사이에서 깊이 자리 잡고 있지 못합니다. 이런 생산자들에게 펌웨어 업그레이드나 픽스 배포 등은 굉장히 낯선 개념이죠.”

 

이런 때일수록 시스템을 계속해서 모니터링하는 게 중요할 수밖에 없다는 게 부시에의 주장이다. “시각에 따라선 보안업계가 발돋움할 수 있는 블루오션이 열린다고도 볼 수 있습니다.”

 

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>