• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

리스크의 우선순위 재정립해야 진짜 방어할 수 있다 2017.03.28

위협 요소들 따로따로 분석해봐야 현실과 동떨어져
공격자들은 위협 요소들 연쇄적으로 사용하는 게 보통

[보안뉴스 문가용 기자] 모두 한 번씩 본 적 있을 것이다. 어쩌면 지금 들여다 보고 있는지도 모르겠다. 빨간색, 초록색, 노란색으로 각종 리스크들이 표기, 분류된 엑셀 스프레드시트 말이다. 이 표를 바탕으로 당신은 잘 알려진 정석대로 공격하기 쉬운 것들을 재빨리 없애고, 보다 치명적이고 중요한 것들에 더 많은 자원을 투자할 생각이다.


안타깝지만 이런 방법은 적당하지 않다. 사이버 범죄자들의 대부분이 운에 의존한 공격을 하기 때문이다. 즉 그들 역시 엑셀표를 가지고 공략하기 쉬운 취약점과 그렇지 않은 취약점을 체계적으로 파악할 것 같지만, 실상은 전혀 그렇지 않다는 것이다. 우리는 한 가지 분류 체계를 사용하고, 그들은 다수의 변수를 대동해 누군가를 공격하는 게 보통이다.

또한 공격자들은 여러 리스크들을 조합해서 공략한다. 그다지 위험하지 않은 리스크를 통해 웹 서버나 데이터베이스를 슬쩍슬쩍 건드리면서 차츰 중요한 데이터로 올라간다. 사이버 보안에서의 리스크란 것이 낮은 것 두 개를 더한다고 한 개의 높은 리스크가 되는 건 아닌데, 공격자들에게는 이런 단순 도식이 꽤나 잘 통한다. 엑셀표는 이런 점에 대해서 완전한 까막눈이다. 엑셀이 ‘고위험’이라고 해서 현실 속 그 취약점이 ‘고위험’이 아니라는 거다.

그렇다면 어떻게 해야 리스크 우선순위를 현실과 최대한 비슷하게 만들 수 있을까? 위협 요소 하나하나가 아니라, 여러 위협의 연쇄작용을 염두에 두어야 한다. 회의실을 하나 예약해 따듯한 차와 간식을 준비하고, 조직 내 각 IT 전문가들(네트워크, 인프라, 애플리케이션 등등)을 불러 모으라. 위협 요소들의 목록을 나눠주고 네트워크의 조직도를 간략하게 도식화하라. 그런 다음 여러 위협 요소들을 가지고 가상의 공격 시나리오를 만들라.

예를 들면 리스크가 낮은 위협 요소를 통해 엔드포인트가 익스플로잇 되었다고 한 다음, 모아놓은 전문가들과 함께 그 다음에 있을 수 있는 영향, 피해, 접근 가능한 데이터 등을 연구하는 것이다. 또 파일 서버에 가해질 수 있는 중간 수준의 위협 요소에 대한 익스플로잇이 성공했다면, 직원들의 개인정보 중 어떤 것들이 노출되는지, 그로 인해 또 다시 가능해지는 공격에는 뭐가 있는지 같이 조사하고 아이디어를 모으는 것도 가능하다. 낮은 위협이라도 끝까지 추적해보라는 것이다.

이걸 하나 둘 하다보면 패턴이 드러나는 걸 느낄 수 있을 것이다. 특히 대부분의 공격 시나리오에 포함되는 위협 요소가 뭔지 알 수 있게 될 텐데, 바로 그 위협 요소가 진짜로 ‘위험한’ 위협인 것이다.

실제로 이런 작업을 수행했던 클라이언트 중 한 기업은 자신들의 조직에게 있어 NTLMv1이라는 오래된 MS 윈도우 프로토콜 취약점이 공격에 가장 많이 활용될 수 있다는 걸 파악했다. 이 취약점을 익스플로잇한 후 공격자들은 중간자 공격이나 브루트포스 공격을 하는 게 가능해진다는 것을 파악했다. 그렇지만 ‘엑셀표’에 따르면 NTLMv1은 ‘낮은 등급’의 취약점일 뿐이었다.

이 과정으로 새롭게 작성된 ‘위협 우선순위’를 더 정확히 만들고자 한다면, 각 단계마다 해당 위협 요소의 탐지가 얼마나 쉽고 간단한지 점수를 매기고(1~10점), 어느 정도 심각한 공격이나 피해로 이어질 수 있는지도 점수를 매긴다(1~10점). 예를 들어 중간 수준의 위협 요소가 파일 서버를 노린다는 시나리오에서, ‘누가’ 파일에 접근하는지 파악할 방법이 없다면 탐지가 매우 어려우므로 10점을 준다. 해당 파일 서버에 지적 재산 같은 게 저장되어 있다면, 이어질 수 있는 피해가 적어도 9점은 된다. 그래서 합산했을 때 높은 수치가 나오면 해당 연쇄 공격의 위험도는 ‘높은 수준’으로 판단할 수 있다.

이런 작업 과정이 복잡하거나 지난한 것이 아니다. 위협 지수 점수를 매기라고 했는데, 여기에 매우 복잡한 과학을 동원하라는 것도 아니다. 결국 잘 해봐야 엑셀표를 조금 다시 수정하라는 것이다. 그런데도 이는 꽤나 효과가 좋은 방법이다. 현실세계와의 갭을 크게 줄여주기 때문이다. 위협 하나하나를 단편적으로 연구하는 단계는 이제 넘어서야 할 때다.

글 : 마이클 데이비스(Michael Davis)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>