100% 침입 예방이 불가능하기 때문에 핵심 가치의 보호가 관건

내부자의 위협이 떠오르는 이유, 보안이 기동력 싸움이 된 이유

[보안뉴스 문가용] 현재 사이버 세상은 멀웨어가 중심이 된 정보보안 대처법으로 가득하다. 그게 아니라면 네트워크 트래픽, 페이로드, 엔드포인트 분석 셋 중에 하나다. 하지만 한 걸음 뒤에서 보면 대부분의 보안 툴이나 프레임워크가 목표로 하는 건 결국 다음 두 가지로 정리할 수 있다. 

 
1) 회사 및 조직의 네트워크 안으로 침투해 정보에 접근하려는 이들의 움직임을 탐지하거나 막거나

2) 회사 및 조직의 네트워크 안으로 침투에 정보를 훔친 이들이 훔친 정보를 자신들의 이익을 위해 사용하는 걸 막거나 탐지하거나.

일단 한 가지 염두에 두어야 할 건, 100% 침입 예방은 더 이상 가능하지 않다는 것이다. 그런 현실 속에서 보안이 추구해야 할 것은 탐지의 속도를 최대한으로 높이고 반응속도 또한 최대한으로 끌어올리는 것이다. 이는 시간을 최대한 효율적으로 사용할 때 빛을 발하는데 침입 예방이 더 이상 최우선의 가치가 아니라면 외곽 경계에 많은 시간을 할애할 이유가 없다. 금고에 더 많은 노력과 방비책을 쏟는 것이 보다 현명한 방법일 것이다. 그렇기 때문에 오늘날 내부자의 위협이 새로운 걱정거리로 급부상하고 있는 것이라고 볼 수 있다.

범죄의 원천

지적 재산의 도난이라는 건 전혀 새로운 종류의 범죄가 아니다. 2003년 게임 회사인 밸브(Valve)에서는 수천 만 달러의 손해를 입었는데, 실제 현금이 날아간 게 아니라 하프라이프2라는 대박 게임 콘텐츠의 소스코드가 도난당해 인터넷에 공개되었기 때문이다. 월가에서 활동하고 있는 골드만 삭스(Goldman Sachs)와 플로우 트레이더스 BV(Flow Traders BV)는 고속으로 주식 거래를 가능하게 해주는 컴퓨터 소스코드를 개발해 매년 부당 이득을 취해온 것이 드러났다. 2013년, 지적재산위원회에서는 당시 발생하는 지적재산의 피해액이 3천억 달러에 달한다는 보고서를 내놓은 바도 있다. 미국 내에서만 말이다.

결국 지적재산 자체가 범죄의 원천이라는 건데, 그렇다면 이를 방지하기 위해선 무엇보다 해당 재산이 어디에 위치해 있는지 파악하는 것이 중요하다. 특히 소프트웨어를 개발해서 파는 업을 가진 조직에서는 소스코드가 대단히 중요한 자산인데, 이런 기업들에서는 보통 소스 제어 관리(Source Control Managmenet) 시스템을 사용하며, 이 시스템에 소스코드뿐만 아니라 여러 가지 부차적인 산물들과 제품진행 상황 등 다양한 정보들을 저장하기 마련이다. SCM에 접근할 수 있다면 생각보다 많은 지점에 도달할 수 있게 된다.

데이터 도난범의 전형적인 행동 패턴

올해 진행된 RSA 컨퍼런스의 결론은 “어떤 수를 쓰더라도 결국 해커들은 침입에 성공한다”는 것이었다. 해커들의 침입은 ‘사실’이며 이미 이루어진 것이나 다름없는 일이다. 그렇다면 이 해커들은 그 다음에 어떤 행동을 취하는가? 네트워크를 돌아다니며 어디에 뭐가 있는지, 특히 중요한 정보가 어디에 있는지 파악한다. 여기에는 소스코드, 디자인 세부사항, 전략 및 기획 내용이 담긴 문서, 제품 상세 설계도, 공식 등이 있다. 이들이 이런 정보에 접근하는 시간은 보통 ‘이상한’ 시간이다. 즉 업무 시간 외에 이런 일이 발생할 확률이 높다는 것이다. 또한 접근 경로 역시 ‘이상할’ 확률이 높다. 예전에 폐기된 프로젝트 관련 계정이나 이미 나가서 회사를 차리고 사장이 된 옛 직원의 로그인 정보가 동원된다.

보안 툴에 따라 모니터링이나 네트워크 로그 데이터 및 엔드포인트 데이터를 조합해주는 기능에 특화되어 있고, 이 특화된 기능으로 이상한 행동이나 접근 시간을 파악해낸다. 하지만 이렇게 하려면 환경설정이나 정책 반영을 일일이 사전에 해야 한다. 제대로 하지 않으면 잘못된 경보가 빈번히 울리며, 아니면 전혀 울지 않는 경보 시스템을 갖게 된다. 그렇다고 너무 간단한 툴을 사용하면 ‘정상적인 행동 및 접근이 무엇인가’ 정의할 수 없게 되고, 심지어 그저 파일 다운로드 수를 카운트 하는 기능만 가진 툴도 사용되고 있는 게 실정이다. 이렇게 해서는 제대로 이상 현상을 파악해낼 수 없다.

누군가 마음먹고 매주 조금씩 소스코드를 떼어내 간다면, 예를 들어 정상 파일 전송 용량을 정해놓은 것에서 그친 파일 툴로는 탐지가 불가능하다. 즉 정책 상 ‘한 번에 1GB 이상의 정보를 다운로드 받으면 비정상’이라고 정해놓고, 1GB의 데이터 흐름만을 감지하도록 설정하면 매일 100MB씩 정보를 훔치는 이들을 잡아낼 수 없다는 것이다. 하지만 이 사용자가 언제 어디서 어떤 방식으로 접속하는지 패턴을 저장하고 이와 비교하면 매주 조금씩 정보가 흘러나가고 있다는 걸 파악할 수 있다.

현대의 정보보안 해결책 : 행동 분석과 SCM 로그의 결합

대형 회사에서 소프트웨어 개발을 위주로 한 프로젝트를 진행할 때는 정말 많은 수의 개발자들이 동원된다. 그리고 한 번에 하나를 진행하지도 않을뿐더러 보통은 수년 동안 진행된다. 또한 요즘에는 동영상, 그래픽, 오디오 등 다양한 요소들이 짜깁기한 것처럼 들어간다. 이런 복잡한 과정을 관리해주는 게 바로 SCM 툴들이며, 과정 뿐 아니라 여러 자산들까지도 트래킹해준다. 그렇기 때문에 누군가 이상 행동을 보이거나 이상한 접근을 하면 곧바로 알아챌 수 있다.

그러므로 보안팀의 목표는 탐지보다 상황 발생 시 데이터와 치명적인 지적 재산이 있는 곳으로 빠르게 움직이는 것이다. 머신 러닝이라든가 고도화된 행동 분석 모델을 활용해 로그를 분석하면 더 빠르게 움직일 수 있다. 그래서 그런 기술이 요즘 각광받고 있는 것이다. 어느덧 정보보안은 기동력 싸움이 되어버렸다.

보다 나은 기동력을 위해 다음 다섯 가지 실천사항은 다음과 같다.

 1) 가장 중요한 지적 재산이 무엇인지 파악하고 어떤 사람/팀에서 접근 및 관리가 가능한지 지정해둔다.

 2) 인증 시스템은 최소 2중으로 해야 한다. 또한 정보 접근 통제를 세분화하는 것도 필수사항이다. 암호는 강력하게 만들고, 자산의 종류에 따라 보안 통제를 강화하거나 약화시킨다.

 3) 데이터 암호화를 생활화한다. 회사의 명운을 좌지우지 할 정보인데 암호화를 하지 않는 편이 더 이상하다.

 4) 데이터 접근 상황을 항상 모니터링한다. 상황을 모니터링하는 만큼 로그 파일에 대한 관리도 주도면밀해야 한다.

 5) 행동 분석 모델을 로그 파일 분석에 적용시킬 수 있는 보안 플랫폼을 마련하고 회사에 적용한다. 기동력을 높이는 데 큰 도움이 된다.

글 : 안나 치앙(Anna Chiang)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>