[보안뉴스 주소형] 큰 규모의 정보보안 실패 사례들에 대한 후폭풍이 감지되고 있다. 가령 미국의 대형유출 사건으로 꼽히는 타깃(Target) 사건으로 인해 각 지점마다 CISO 채용 비용이 새로 배정됐는가하면 소니사 해킹사건 후로 연예기획사들의 정보보안에 대한 관심과 투자가 높아졌다.

하지만 보안 강화를 위해 보안 부서를 따로 두고 투자하는 것만으로는 부족하다. 진화하는 해킹 기술 등으로 ‘완벽히 안전한 환경’을 만들 수 있는 보안전문가는 없기 때문이다. 

예를 들어 중소기업은 회계, 스캐닝, 패칭, 문서, 취약한 분석 등 각각 적절한 보안에 나서고 있는데 이는 보안부서와 효율적인 소통을 저하시키는 경향이 있다.

타깃 사건을 돌이켜보면 해커들은 훔친 신용카드 번호를 서서히 빼냈다. 당시 타깃의 한 두 개의 보안 툴이 작동했으나 일반적인 경보에 그쳤던 경험이 있다. 다양한 보안 툴로 분리되어 수백 개의 알람으로 들어온다. 해당 보안 담당이었던 방갈로르(Bangalore) SOC팀은 이를 분류하고 선별해야 했다. 중요한 정보라도 양이 너무 많아 흔해지면 무시하게 된다는 것. 

알람을 분류 후에 관리 대응력이 부족하다. 중요도가 높은 알람에 대해 각별한 주의가 요구되지 않았던 것. 서버와 컴퓨터를 보호하는 SOC팀이 POS 멀웨어로 분류하게 됐을 때는 너무 늦어지게 된 것이다. 당시 해당 공격이 지속된 이유가 바로 이 것이다.

통합 보안팀의 인력난이 문제로 대두되면 추가적인 문제들도 함께 온다. SIEM의 경우 연관 있는 데이터끼리 잘 분류되어지고 기업의 전체 인프라에서 IT 비중 확대와 같은 특징을 갖고 있는데 이를 SOC팀에서 긍정적 요소로 활용해야 한다.

보안을 강화 하는 과정에서 발생하는 ‘대량의 정보’ 문제는 누구에서나 고민거리다. 특히 실시간 보안 모니터링 같은 경우 엄청난 정보들이 모여 경고 알람수가 급증하게 된다. 그런데 방대한 양의 정보가 들어오다 보니 이를 효율적으로 대응하는 능력이 떨어지는 결과를 초래하게 된 것. 실제로 경고 알람을 그냥 클릭하여 없애거나 무시하는 경우가 많은 것으로 파악됐다.

컴퓨터 환경은 점점 광범위해지고 있다. 어플리케이션과 연결되는가 하면 시스템 및 분석 환경이 클라우드를 통해 공유되기도 한다. 뿐만 아니라 출입통제 기능, 압축, 암호화, 컴플라이언스 등은 빅 데이터로 활용할 수 있다. 하지만 이것만으로는 여전히 부족하다. 이들이 결코 보안 인력난 문제와 개선된 자동화 툴이 필요하다는 지적에 대한 해결책이 될 수 없기 때문이다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>