막연한 질문 받는 보안담당자들, 데이터 전문가와 해답 찾아야
데이터 분석, 진짜 필요한 의미를 찾기 위해 맞춤형으로 진행

[보안뉴스 국제부] 오늘날 CISO와 그 수하의 팀원들은 위기에 관한 많은 질문을 받고 있다. 이러한 질문에 답하기 위해서 보안 전문가들은 다양한 경로에서 입수되는 가공되지 않은 데이터를 확보하고, 분석해야 할 뿐만 아니라, 보안 전문가가 아닌 사람들이 알아들을 수 있는 방법으로 표현해 주어야 한다. 질문한 사람이 알아듣지 못한 답은 의미가 없으니까.


그러려면 데이터를 수집하고 분석할 줄도 알아야 하지만, 질문자가 ‘위험’에 관해서 왜 물었는지, 정말 알고 싶은 게 무엇인지도 파악해서, 위기에 대해 실제적인 대처를 할 수 있도록 도와야 한다. 데이터 파악은 물론 질문자의 상황에 대한 파악도 있어야 한다는 거다.

보안 분석과 의사소통이라는 막중한 과제
먼저 CISO에게 질문을 주로 하는 사람들을 꼽아보자. 기획 및 경영팀, 법무 및 정책팀, 리스크 관리팀 등이 얼른 생각난다. 이들이 알고 싶어 하는 정보는 일반적인 보안 툴을 들여다본다고 해서 나오지 않는다. 왜냐하면 보안 툴들은 ‘위기’와 관련된 앞뒤 맥락을 파악하지 않고, ‘멀웨어를 탐지하라’거나 ‘이상 현상을 보고하라’와 같은 단편적인 문제만 해결할 수 있기 때문이다.

그 결과 CISO 및 그 휘하 팀원들은 몬스터와 같은 어마어마한 데이터의 더미로 용맹하게 달려들고, 제압해, 분석 툴(보통은 엑셀이다, 철장 같이 생긴 그거)에 낑낑대며 끼워 넣고는, 답을 내놓으라고 내놓으라고 주리를 틀어댄다. 게다가 시간이 갈수록 이 데이터 더미는 더 복잡하고 커지기 때문에 이 고문과 같은 작업을 빨리빨리 해내야 한다.

그래서 답은 데이터 과학
가공되지 않은 데이터는 그 출처가 딱 하나더라도 분석이 매우 어렵다. 그도 그럴 수밖에 없는 것이, 가공되지 않았기 때문에 툴에서 나오는 데이터가 ‘답’으로서 유효한지 아니면 쓸모가 없는지 일일이 판단해야 하기 때문이다. 그래서 데이터 과학에서는 최초의 준비과정을 매우 중요하게 생각한다. 이 과정을 무사히 넘기려면, 해당 툴 및 데이터 더미에서 어떤 답이 나올 수 있는지 이해하고 있어야 하고, 해당 데이터 더미가 가지고 있는 한계점이 무엇인지도 파악하고 있어야 하며(어떤 정보가 빠져 있는지 혹은 잘못된 정보인지 알아야 한다는 의미다), 충분치 않았을 때 더 넣어야 할 다른 데이터가 어디에 있는지도 미리 알고 있어야 한다.

그 다음은 현재 갖고 있는 질문에 대답할 수 있는 가장 적절한 분석 방법을 선택하는 일이다. 데이터 전문가들은 그간 데이터로부터 다양한 정보를 추출할 수 있는 다양한 방법들을 고안해냈다. 같은 데이터지만 이 방법을 사용하느냐 저 방법을 사용하느냐에 따라 다양한 정보와 의미를 끌어낼 수 있는데, CISO들이 보안 비전문가들이 묻는 말에 답하기 위해서 어떤 방법으로 데이터에 접근해야 하는가는 매우 중요한 문제다.

그러기 위해선 다음과 같은 질문들을 해야 한다. “이 주제에 대해 우린 지금 얼마나 알고 있나?” “질문자들은 이 분석 결과를 통해 진짜 뭘 알고 싶은 걸까?” 이 고민으로부터 나온 답은 그 다음 분석 과정의 기준이 된다. 이 ‘다음 분석 과정’이란 보통 훨씬 더 복잡해지기 때문에 기준을 명확하게 세우는 건 선결과제다. 여기서 고민해야 할 건 속도와 정확도의 균형이다. 당연히 시간이 많으면 보다 정확한 분석을 할 수 있게 되지만, 그렇다고 마냥 시간을 늘린다고 100%에 가까운 정확도가 나오지는 않는다.

그 다음은 표현이다. 데이터를 모아서 분석할 것들만 골라냈고, 상고 끝에 고른 방법들로 처리된 데이터를 이리 쑤시고 저리 쑤셔 분석까지 했다. 그렇다면 이제 이걸 표현해야 한다. “이 데이터의 어떤 면을 알고 싶은 걸까?”를 정확히 파고드는 표현방법을 골라야 한다. 예를 들어 분기별로 열리는 전체 전략회의에서 발표할 사람과 네트워크를 항시 모니터링해서 문제를 빨리 발견해 고쳐야 하는 사람은 같은 취약점 정보라 하더라도 그 속에서 다른 의미를 찾아 나선다. 그 점을 꿰뚫어줘야 한다.

데이터 과학 응용하기
데이터 전문가들은 보안팀과 떨어져서 밀실에서 일할 수도 없고 또 그렇게 해서도 안 된다. 둘은 함께 있을 때 더 많은 효과를 일으킨다. 이 때 유념해야 할 것이 세 가지 있다.

1. 시간: 다양한 데이터를 이해하고 가장 적절한 분석 기술을 적용하는 것, 그리고 의미 있는 통찰력을 제공하는 것은 하룻밤에 일어나지 않는다. 시간이 걸리는 작업이다.

2. 분야 전문성: 당신의 데이터 전문가와 보안팀 사이에 지식의 격차가 있을 것이다. 친밀한 파트너십 속에서 일하는 것이 중요하다. 당신이 가지고 있는 데이터에서 데이터 전문가가 발견해낸 제약점들에 당신이 익숙해져 가듯이, 무엇이 가능한지를 알기 위한 노력 속에서 당신의 데이터 전문가도 새롭고 통상 복잡한 로그 포맷을 이해하기 시작하는 것이다.

3. 진짜 필요: 데이터로부터 얻은 통찰력을 적절한 표현으로 전달하고 시각화하기 위해서는 해당 정보를 받을 사람이 누구인지를 알아야 한다. 즉, 정보 요구자(혹은 정보 수신자)의 질문에 따른 맞춤형 대답을 제공해야 한다는 것이다. 데이터 전문가와 보안전문가의 서로 다른 시각과 견해는 이 공통 지점을 기준으로 맞춰져야 한다.

글 : 닉 휫필드(Nik Whitfield)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>