“우린 정보와 기술, 공격, 그 어떤 것도 제대로 관리하고 있지 못하다”
근본부터 바뀌지 않으면 안 된다... 새로운 개념의 정보보안 필요

[보안뉴스 문가용] 가트너가 ‘고급 공격에 대한 조정형 보안 아키텍처 설계하기(Designing an Adaptive Security Architecture for Protection from Advanced Attacks)’라는 보고서를 발표한 이후로 ‘조정형 보안’ 혹은 ‘적응 보안’이라는 말이 유행하고 있다. 이를 이해하기 위해서는 먼저 해당 보고서의 핵심 문장 하나를 짚고 넘어가야 한다. “모든 조직들은 이제 지속적인 공격을 받고 있는 상태라고 봐도 무방하다.”


결국 현대의 공격자들은 우리가 어떤 방어막을 두르고 있든 얼마든지 뚫어낼 수 있다는 걸 반드시 이해해야 한다. 사실 우리의 보안기술은 그들보다 한 발 뒤처져 있다고 볼 수 있고, 이를 인정하는 순간 보안의 근본부터 변화가 가능해질 수 있다. 좀 더 구체적으로 이 이야기를 풀어보도록 하자.

먼저 개인적인 경험을 하나 나누고 싶다. 6년 전쯤, 나는 한 금융회사의 CSO로 근무하고 있었다. 그런데 그 회사에서 엄청난 정보 유출사고가 발생했다. 대출금을 수거하는 일을 담당하던 협력사가 먼저 해킹을 당했고, 해커들은 이 공격을 발판삼아 우리 회사로까지 침투에 성공한 것이었다. CSO로서 내가 할 일은 한 가지였다. 수사를 위해 보유하고 있던 툴들을 전부 찾아내는 것부터였다.

숨겨둔 무기를 찾아 나선 것인데 결국 손에 쥐어진 건 포스트잇 몇 장과 볼펜이 전부였다. 보안 때문에 분리된 네트워크의 특성상 한 시스템에서 정보를 모으고, 그걸 다른 시스템의 정보와 비교분석하고 무슨 일이 벌어지고 있는지 알아내려면 결국 포스트잇과 종이로 회귀할 수밖에 없었던 것이다.

그때 깨달았다. 보안을 위해 복잡한 네트워크와 체제를 분리해놓고 위협 데이터를 자동으로 공유할 수 있도록 하지 않으면 결국 시스템과 시스템의 연결은 사람이 해야 한다는 것을 말이다. 그런데 요즘처럼 자동화와 컴퓨터가 활성화된 환경에서 사람이 충분한 곳은 드물다. 그리고 사람은 실수투성이다. 데이터를 공유한다고 해도 그것을 전부 꼼꼼하게 살펴보는 건 거의 불가능하다. 애초에 시간도 없다. 공유된 데이터를 보안제품에 입력해 데이터가 가진 올바른 의미를 일일이 파악하는 건 물리적으로 말이 안 된다.

바로 이 시점에서 적응 보안 혹은 조정형 보안이라는 말이 나온다. 그것을 위해 현대 보안의 현실 두 가지를 짚고 넘어가고자 한다.

현실 하나 : 보안 인프라는 매우 복잡하고 분리되어 있다
공격 기술과 보안 기술이 너무나 빨리 변하고 있어서 임원진들은 사실 어느 부분에 얼마큼의 예산과 자산을 투자해야 좋을지 잘 모르고 있다. 또한 이것도 좋다 저것도 좋다 하는 보안의 다양한 기술들 중 어떤 것을 선별해서 적용해야 할지도 판단하기 난감해하고 있다. 이런 경우 반드시 기억해야 할 건, 만능 솔루션은 세상에 존재하지 않는다는 것이다. 하지만 너무 많은 업체들이 통제가 안 될 정도로 잡다한 제품들을 이것저것 끌어안고 있기만 하지 제대로 활용하고 있지 못하다. 유행이 되는 제품들을 자꾸만 더하다보면 어느 순간 관리라는 걸 포기하기에 이르기도 한다.

담당자들 역시 마찬가지다. 뭔가 잔뜩 주어졌는데, 하나하나 활용법을 터득할 시간이 없다. 관리 콘솔과 인터페이스는 제품마다 다양해 버튼이 뭐가 뭔지 다 파악하기도 힘들다. 제품의 기능만 활용 못하면 그나마 다행이다. 보안 제품들 모두 데이터를 엄청나게 쏟아내는데, 그 데이터들의 관리는 뒷전이 되고, 뒷전이 된 데이터들은 매일 쌓여만 간다.

이런 혼잡스러운 상황 속에서 개인이 아무리 성실하게 노력하고 애를 써도 사각지대가 있을 수밖에 없다. 탐지가 채 안 되고, 공격이 슬쩍 비집고 들어온다. 애초에 이렇게 복잡한 상황 속에서 가시성을 논한다는 것 자체가 말이 안 된다. 한 눈에 내가 관리할 영역을 파악하지 못하고, 그러므로 이해도 못하고 있는데, 첩보를 공유한다는 게 무슨 의미를 가지고 있을까?

현실 둘 : 데이터는 너무 많고 시간은 너무 없고
이미 살짝 언급하긴 했지만, 보안제품들이 만드는 데이터는 눈사태와 같다. 정보가 많으면 많을수록 좋지, 라고 처음엔 생각하고 팔을 걷어붙였다가도 막상 뛰어들면 데이터들이 목을 옥죄어온다. 상황과 조직의 특성마다 반드시 필요한 데이터가 있고, 꼭 그렇지 않은 것들이 있는 법인데, 이것을 상황별로 혹은 조직별로 제대로 구분해주는 툴을 때 마침 가지고 있는 경우가 매우 드물기 때문이다. 툴만 모자라면 다행인데, 조직마다 유능한 데이터 분석가를 보유하고 있는 것도 아니다.

시대는 데이터의 빠른 분석과 적용 및 활용을 원하는데 툴은 없고, 그렇다고 값이 싼 것도 아닌 여러 분석 툴을 구매하는 결정이 빨리 빨리 내려지는 것도 아니다. 여러 결재선을 거치면 이미 데이터는 태산만큼 쌓여있다. 사람? 고용이 어디 하루아침에 뚝딱 되는 것인가? 데이터가 쌓이는 속도는 대부분의 경우 한계를 넘어서고 있다. 이는 결국 시간의 부족으로 귀결된다. 제대로 된 툴이나 사람이 제 때 제 자리에 있지 않는다면 시간의 손실로 이어질 수밖에 없다.

아무도 직접 언급하고 있지 않지만, 현대 조직들의 정보보안 상태는 매우 혼란스럽고 복잡하며, 그것이 해결되지 않은 상태로 문제만 산적해가고 있어 언제 어떻게 무너져 내려도 이상하지 않을 정도로 위태한 상태다. 사실 개인적으로 난 그런 무너져 내림이 곧 있을 것이라고 예상하고 있다. 진짜 문제는 그 이후인데, 정보보안에 대한 개념과 생각, 인식 자체가 완전히 바뀌지 않는다면 우린 아무 것도 배우지 못한 채 더 큰 혼란에 빠지게 될 것이기 때문이다.

앞으로 몇 차례에 걸쳐 조정형 보안 혹은 적응 보안(adaptive security)에 대한 기고를 이어갈 예정인데, 내가 아무리 유려한 글과 획기적인 생각을 적어낸다 하더라도 근본부터 바뀌어야 한다는 인식이 없다면, 결국 메아리에 그칠 뿐이다. 정보보안 종사자로서 위에서 짚어낸 암울한 현실 상태를 인정하기 싫겠지만, 어쩔 수 없다. 난 누군가 해야 할 말을 했을 뿐이다. 우린 지금 벼랑 끝에 몰려 있다.

글 : 브렛 케슬리(Brett Kesley)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>