• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 담당자들의 가장 큰 난제는? 98%가 “사건 대응” 2016.10.07

처리해야 할 첩보 및 경보, 머릿수로 감당할 수 없는 수준
네트워크 환경의 급격한 변화로 가시성 확보 어려운 것도 큰 이유

[보안뉴스 문가용 기자] IT 보안 전문가들 중 98%가 제일 어려워하는 일은 ‘사건 대응’이다. IT 보안 전문가들 중 71%가 가뜩이나 어려운 이 ‘사건 대응’이 지난 2년 간 더 어려워지기까지 했다고 말했다. 보안 탐지 시스템 전문 업체인 헥사다이트(Hexadite)의 연구 결과다.


“사건 대응을 어렵게 만드는 요인은 여러 가지가 있습니다만, 가장 큰 이유는 모든 경보를 하나하나 빠짐없이 수사할 수 없다는 겁니다.” 헥사다이트의 부회장인 네이선 버크(Nathan Burke)의 설명이다. “공격의 양은 계속해서 늘어나고 있고, 이러면 경보도 당연히 증가할 수밖에 없는데, 이제 물리적으로 다룰 수 없는 수준에까지 이른 것이죠. 한 달 동안에만 수천에서 수만 개의 경보가 울리는데, 전문가를 아무리 많이 고용해도 해결이 안 됩니다.”

또, 해당 연구에 참여한 응답자의 91%가 ‘매뉴얼대로 대응하다보니 시간과 노력이 낭비되는 일이 많다’며 효율 문제를 제기했다. 그래서 이에 대해 어떤 해결책을 도입하고 있는가 물었더니 97%가 이미 자동화 및 새로운 대응 체계를 일부 도입했거나 도입 중에 있다고 답했다. 자동화를 이미 성숙한 단계로까지 활용하고 있다고 답한 사람이 1/3이나 되기도 했다.

“위협을 분류해서 우선순위 등급을 매기고, 그에 따라 아래 등급에 놓인 위협들은 무시하는 게 지금의 사건 대응 방법인데, 이건 어쩔 수 없어서 택한 것일뿐 좋은 방법은 아닙니다. 솔직히 어떤 위협이 어떤 식으로 실제 위험이 될지 어떻게 압니까? 거의 도박이죠. 정말 안전하려면 모든 위협을 수사할 수 있어야 하고, 그러려면 자동화만이 지금 우리가 가진 유일한 답입니다.”

실제 정보보안 현장에서 자동화 도입의 가장 큰 이유는 ‘수사의 폭을 넓히기 위해서’이기도 하다. 이번 설문에서 46%가 ‘위협 첩보 데이터양을 감당할 수가 없다’고 답했을 정도로 처리해야 할 데이터양에 대한 압박이 큰 것이 사실이다. 헥사다이트의 보고서에서는 “첩보 공유 자체가 활발해졌기 때문” 혹은 “공유되는 첩보가 쉽게 사용될 수 있도록 도와주는 표준화의 부재”를 그 이유로 꼽았다.

한편 응답자의 38%가 사건 대응에 투자하는 시간이 늘어났다고 답하기도 했다. 대부분은 처리해야 할 정보가 늘어나서였다. 이 ‘정보’란 무엇일까? 42%가 수집된 사건 대응 데이터가 늘어났다고 답했으며, 39%가 보안 경보의 볼륨이 증가했다고 답했고, 38%는 위협 탐지 툴의 개수 자체가 불었다고 답했다. 그렇다면 각종 툴과 솔루션이 너무 많아서 정보의 중복이 발생하는 걸까? 툴들마다 민감도가 달라서 잘못된 경보를 발생시키는 걸까? 아니면 담당자의 실력 부족인 걸까? 아니면 이런 문제들이 혼재해 있는가?

“일단 탐지 툴이 잘못된 경보를 만들어낼 가능성은 낮습니다. 툴의 작동원리상 민감할 수밖에 없고, 그래서 모든 가능성에 대해 경보를 울릴 수밖에 없어요. 툴은 자기 할 일을 하는 거 뿐입니다. 잘 하고 있고요. ‘잘못된 경보’란 사람이 시간이 없어서든 인력이 부족해서든 기술이 모자라서든 아무튼 처리할 수 없기 때문에 붙은 이름입니다. 보안 업계의 핑계 같은 것이죠.” 버크의 설명이다.

이런 어려움 외에도 사건 대응 체제를 바꾸게 하는 요인들이 있다는 사실도 이번 조사를 통해 드러났다. 사물인터넷 때문에 IT 환경이 바뀌면서 덩달아 사건 대응 시스템도 바뀌었기 때문이라는 응답자가 44%, 보안 부서와 IT 부서가 공동으로 사건 대응을 맡게 되었기 때문이라는 응답자가 40%, 사건 대응을 위한 교육 프로그램이 늘어났기 때문이라는 응답자가 38%였다.

보고서에 따르면 “기술의 급격한 변화에 따라 가시성 확보가 제대로 되고 있지 않다는 걸 많은 관계자들이 인지하기 시작했고, 이에 사건 대응 팀이 IT 팀과 협조할 수밖에 없도록 환경이 변하고 있으며, 가시성을 어느 정도 확보한다고 해도 새로운 유형의 데이터가 등장하고 있어 분석과 포렌식이 어려워져서 ‘사건 대응’에 대한 새로운 대책이 마련되고 있는 것”이라고 한다.

이번 연구에서 91%의 응답자가 사건 대응 예산을 늘릴 계획이라고 답했으며, 91%는 직원 채용을 추가로 진행할 예정이라고 답했다. “암울한 현실에 대한 결과들이 나온 설문이었지만, 크게 보면 좋은 소식입니다. 일단 보안의 어떤 부분에 정확히 문제가 있는지 다들 인지하고 있다는 것만으로도 의미가 있습니다. 게다가 변화의 흐름까지 발견되었으니까요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>