매년 똑같은 실수가 반복되는 것을 지양하고 이젠 도전

[보안뉴스 주소형] 매년 똑같다. 주요 보안컨퍼런스들을 돌아 다녀본 결과 생산적이고 교육적인 요소들이 결여된 채로 기획된 컨퍼런스들이 수두룩하다는 것. 실질적인 의사결정권자들이 더 이상 참석하지 않는 것도 문제다. 설사 결정권이 있는 이가 참석한다하더라도 전시 부스 관람은 생략하는 등 정작 중요한 곳은 둘러보지 않고 가는 경우가 많다.

이러한 상황이 반복되다보니 보안업체 및 보안전문가들의 볼멘소리가 새어나오고 있다. “늘 우리만 절실한 느낌이다.” 새로운 기술을 접하면 대단하다고 감탄하게 되는데 이 또한 잠시일 뿐. 우리 모두 매년 다음과 같은 네 가지 틀 안에서 돌고 돌고 있다.

1. 인공 지능/기계학습(그래! 우리 힘만으로는 안돼)

2. 빅 데이터 분석(그런데 볼게 너무 많아)

3. 이상 징후 감지(그러면 수상한 것부터 찾아보자)

4. 모래사장에서 바늘 찾기 격(그런데 수상한 건 어떻게 찾지? 다시 처음으로!)

사실 이는 가만히 정체되어 있는 것보다 더 위험한 일이다. 보안전문가들에게 잘못된 사고방식과 문제해결 습관을 주입하고 있는 것이기 때문. 제대로 사용할 줄도 모르는 무기들만 창고 안에 계속해서 쌓아두고 안심하는 게 풍토처럼 굳어간다는 것. 마치 대장장이가 칼과 방패를 길에 뿌리고 당신의 손재주나 싸움 실력과는 무관하게 이 무기들이 악당들로부터 당신을 지켜줄 것이라고 말하는 꼴이랄까. 숙련된 전문가들만이 무기를 제대로 사용할 수 있다는 것을 기억해야 한다.

하는 데만은 의의가 있지 않다. 하려면 제대로!

위 대장장이 비유에서처럼 보안업체들은 아주 다양한 툴들을 앞다투어 내놓고 있다. 그러나 가짓수만 많을뿐 그 범주는 다음 네 가지에 머무르는 게 대부분이다.

1. 로그 및 이벤트 분석 툴

2. 가상머신 분석 및 점검 툴

3. 국제 표준인 OSI 7계층 점검 툴

4. 7계층 중 상위 3단계를 점검해주는 심층 패킷 분석(DPI) 툴

여기서 혁신이라고 해봐야 이 네 가지를 골고루 섞어 통합해놓은 UTM 플랫폼 혹은 통합위기관리 플랫폼이 고작이다. 그러나 성공을 거둔 UTM이라 해도 네 가지 기능이 전부 뛰어난 경우는 찾기 힘들다. 보통은 한두 가지가 뛰어나고 한두 가지는 부족해 추가 솔루션을 구입해 보충해야 한다.

그런 식으로 네트워크 환경을 중점적으로 살폈던 보안체계에서 애플리케이션 보안이라는 개념이 대두되고 이에 관심이 쏠리고 있다. 하지만 새 개념의 보안임에도 우리의 행태는 그대로다. 그저 더 많은 칼과 방패를 만드는 데만 급급한 것이다. 칼과 방패를 사용하는 훈련은 전혀 고려하지 않은 채 말이다. 솔직히 요즘 보안 툴은 너무도 복잡해서 제대로 훈련된 전문보안팀만이 사용할 수 있는 것들이 대부분이다. 제 아무리 훌륭한 검을 갖고 있어도 훈련이 되어 있지 않으면 절대 상대를 앞설 수는 없다는 말이다.

너무 늦기 전에 사물인터넷을 대비해야

그래서 필자가 말하고자 하는 가장 심각한 문제는 대부분의 보안팀들이 전략의 ‘코어’를 비껴가고 있다는 것이다. 그들은 단지 수많은 칼, 창, 방패들을 남발하면서 위협이 줄어들 것을 기대하고 있다. 그야말로 이상일 뿐.

그렇다면 그 ‘코어’란 무엇일까? 최근 네트워크 환경은 점점 방어가 불가능한 모양새로 변하고 있다는 것이다. 즉, 지킬 수 없는 걸 지키려하기 때문에 문제가 발생할 수밖에 없다는 뜻이다. 1980년대 등장한 TCP/IP 기반 네트워크 환경에서는 무기만 잔뜩 늘어놔도 공격이 들어오는 지점이 한정되어 있기 때문에 무기 숙련도가 크게 문제되지 않았다. 하지만 최근 네트워크 환경은 접근 지점이 너무나 많이 존재하기 때문에 무기의 순수 물량 자체로는 방어를 꿈도 못 꾼다. 그러니 숙련도 문제가 떠오르기 시작하는 것이다.

그리고 감히 말하지만 보안담당자들이 가장 숙련시켜야 할 무기는 UTM이나 여러 다양한 툴들이 아니라 바로 사물인터넷이다. 무슨 엉뚱한 소리냐고?

사물인터넷을 위한 4가지 단계

위에 말했다시피 네트워크의 구조 자체가 근본적으로 바뀌고 있기 때문에 우리는 네트워크 중심의 모델에서 벗어나 데이터 중심의 모델로 나아가야 한다. 사용자들은 네트워크나 컴퓨터 위치를 의식하지 않고 장소에 상관없이 자유롭게 네트워크에 접속할 수 있는 정보통신 환경에 놓여 있다. 애플리케이션을 통해서 말이다. 그렇기에 애플리케이션과 데이터 사이의 상호작용에 유의해야 한다. 그리고 사물인터넷 기기들이 늘어남에 따라 애플리케이션 사용도 훨씬 더 활발해질 것은 자명하다.

또한 사정이 이렇다보니 사용자의 기기 자체에 저장되는 정보도 점점 줄어들 것이다. 클라우드 등에 저장해놓고 애플리케이션을 통해 접속만 하면 되기 때문이다. 이말은 해커 입장에서 네트워크를 뚫어봐야 영양가도 없다는 뜻이 된다. 데이터를 다루고 처리하는 방식 자체가 달라지는 때에 그 달라지는 흐름의 한 가운데에 선 사물인터넷을 선점하는 자가 유리한 고지에 올라설 수 있다.

보안 및 기술 업체들이 해커들보다 먼저 사물인터넷의 고지에 오르려면 아래의 4가지에 집중해야 한다.

1. 애플리케이션 및 데이터 접속 관리 시스템의 미덕은 확장성과 사용 편리성에 있다. 애플리케이션을 자꾸 설치하고 데이터가 갈수록 늘어나도 별 영향을 받지 않으면서 IT 전문지식이 없더라도 사용하는 데에 무리가 없어야 한다. 그래야 더 많은 사람들을 ‘보안의 편’으로 끌어올 수 있다.

2. 데이터 암호화에 깊이감을 더해야 한다. 단순히 ID와 암호만 입력해 인증을 받는다고 해서 모든 데이터에 접근할 수 있게 한다는 건 대단히 순진한 조치이다. 사용자 인증단계를 거치고 나서라도 데이터에 따라 추가로 암호화키를 제공해야만 접근을 가능케 하는 등의 꼼꼼함이 필요하다.

3. 애초에 애플리케이션이 샌드박스에서 구동되도록 설계하는 것도 중요하다. 그러면 기기에 멀웨어가 심겨진 경우라 하더라도 비교적 안전하게 애플리케이션을 사용하는 게 가능해지기 때문이다.

4. 애플리케이션과 서버 사이에서 이루어지는 통신 자체를 가로채는 공격이 있을 수 있다. 중간자 공격이 대표적인데, 이걸 막으려면 애플리케이션과 서버 사이의 통신에 다른 행위자가 개입할 수 없을 정도로 탄탄한 응답확인 방식과 실시간 암호화 기술을 개발할 필요가 있다.

네트워크 중심의 예전 방식에서 벗어나 새롭게 떠오르는 사물인터넷 프레임워크를 좀 더 이해한다면 지금보다 더 많은 보안향상 기회가 생길 것이다. 이제 사물인터넷이라는 새로운 보안시대를 맞이해야 한다. 네트워크 중심의 아키텍처인 보안기술로는 부족하다. 사물인터넷은 더 이상 보호 대상이 아니라 앞으로도 계속될 해커와의 전쟁에서 반드시 지켜내야 할 요충지다. 한 번 차지하기만 하면 믿음직한 무기가 될 것이다. 그 요충지를 대장장이에게 맡길 것인가 아니면 기사에게 맡길 것인가.

글 : 제프 쉴링(Jeff Schilling)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>