• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보안, 각개전투는 더 이상 통하지 않는다 2016.07.16

각자의 전문분야, 각자의 기능만 수행해서는 비효율적
다양한 상황정보 통해 큰 그림을 파악할 수 있어야

[보안뉴스 문가용] 최근 미국 국방부의 인사 몇몇을 대상으로 상황인식 보안에 대해 강연을 한 적이 있다. 그때도 그랬지만 글을 더 전개해가기 전에 상황인식 보안에 대한 정의부터 분명히 하고 싶다. 나는 가트너의 정의가 가장 옳다고 보고, 따라서 그것을 그대로 인용한다.

▲ 한 눈에 지형을 알게 해주는 기막힌 위치선정


“상황인식 보안(context aware security)이란 부차적인 정보를 활용해 보안과 관련된 결정력을 높이고(시간과 정확도 양면에서), 그에 따라 능동적인 사업 및 IT 환경에 적응할 수 있도록 하는 것”이 바로 가트너가 말하는 상황인식 보안이다.

현재 가장 많이 사용되고 있는 ‘상황 정보’란 위치와 시간처럼 주위 환경의 정보들이다. 그 외에 보안업계에서 흔히 ‘유용하다’고 하는 상황 정보들로는 IP 주소, 기기, URL, 애플리케이션 명성 등이 있다. 그밖에 사업의 가치 혹은 현 진행상황과 같은 것들도 보안에 유용한 상황 정보가 될 수 있으며 위협 상황 역시 보안 관련 결정을 내리는 데에 큰 도움을 주는 것으로 알려져 있다.

지금 산업 분야를 막론하고 모든 보안 담당자들의 미션은 ‘제때 공격을 탐지하고 대응하는 것’이다. 하지만 이는 너무나 어렵다. 대부분 기업 및 조직들은 다양한 솔루션을 한꺼번에 사용하거나 인터넷으로부터 아예 분리시키는 방법을 차용한다. 이 두 방법의 공통점은 ‘다양한 보안 제품들 사이의 통신이 발생하지 않는다’는 것이다. 여기에 전문가 부족과 자동화 기술의 부재를 끼얹으면 보안의 구멍이 탄생한다.

현존하는 보안 기반구조들 대부분은 감독, 첩보 수집, 분석, 수사가 따로따로 분리되어 있다. 전부 각자의 영역이고 분리된 일이다. 여기에서부터 출발한 것이 현대의 사이버 보안에서 말하는 탐지, 보호, 사건 대응이다. 이 역시 분리되어 있고, 전부 따로 노는 게 일반적이다.

일을 이루어가는 절차나 보안의 제품들이 각기 구분되지 말아야 하는 건 왜일까? 흔히들 말하는 ‘통합’의 장점이란 무엇일까? 먼저 효율이 크게 올라간다. 얼른 생각했을 때 수집 툴과 분석 툴이 데이터를 공유한다고 하면, 수집을 두 번할 필요가 없어진다. 보안 툴들마다 나름의 강점이 있고, 각 과정에 개입하는 보안 담당자들마다 장점이 있는데 이를 서로 활용하는 것이 좋지 않겠냐는 것이다.

현재 전통의 보안 기법, 구조, 방법론은 빠르게 무용지물이 되어가고 있다. 공격의 방식과 기술력을 도저히 쫓아가지 못하고 있기 때문이다. 소프트웨어나 사람이나, 현대 정보보안과 사이버 공격자들의 방식을 통합적으로 이해하지 못하고 자기 할 일에만 열심히 파묻혀 있는 건 더 이상 도움이 되질 않는다.

또한 사건의 발생부터 해결까지 이루어지는 모든 과정을 독립적으로 다루는 것보다 하나의 큰 과제로 봄으로써 쓸데없이 절차가 복잡해지고 다변화되는 것을 방지할 수도 있다. 대량생산이 미덕이라면 분업이 큰 효과를 발휘할 수 있지만 보안 사건의 해결은 대량생산이 아니다. 이 사람 저 사람이 각자의 데이터를 분석하고 각자의 해석을 가져오는 건 일만 복잡하게 만든다.

예를 들어 방화벽에서 블랙리스트 된 IP에서 들어오는 페이로드를 막아냈다고 하자. 이는 IP 정보에 기반한 방어였다. 즉, 같은 멀웨어가 정상적인 IP로부터 들어온다면 방화벽은 이를 막지 못한다는 것이다. 그런데 PC에 설치된 백신이 똑같은 원리로 멀웨어를 막는다면 어떨까? 별 효과도 없이 돈을 쓴 것이나 다름없다. 멀웨어는 여전히 침투에 성공할 것이다. 방화벽에서의 ‘방어’ 혹은 ‘침투’에 대해 인지하고 있다면(사람이든 백신이든) 다른 방법으로 멀웨어를 막아서는 것이 맞다. 통합이란 이런 것이다.

산업혁명 시대에서나 쓸모 있었던 분업 정신을 현대 보안에 접목시키는 건 대단히 어리석은 행위다. 효율성이 떨어지기 때문에 사람과 여러 툴들의 시간, 노력, 전문성을 허무하게 소모시킨다. 탐지의 시간이 오래 걸린다? 대응이 비효율적이다? 사람이 모자라다? 우리에게 필요한 건 보안의 풍경 전체를 바라보고자 하는 기본 사고의 틀 그 자체다. 그리고 그 전체를 파헤치게 하는 건 여러 가지 상황정보다.

글 : 네드 밀러(Ned Miller)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>