물리보안과 사이버 보안의 가장 큰 차이는 악성 행위자들이 머무는 시간
경호원들에게 경호만 맡기든 보안 전문가에게 전문적인 일만 맡겨야

[보안뉴스 문가용 기자] 그 삼엄하다는 백악관도 사실은 그렇게까지 난공불락의 요새는 아닌가 보다. 지난 3월만 해도 누군가 가볍게 담장을 넘어 풀밭을 무단으로 한참을 거닐다가 잡힌 일이 있었다. 그 사람은 특수 훈련을 받은 사람도 아니었다. 그럼에도 백악관 정도면 세상에서 가장 침투하기 힘든 공간이긴 하다. 잔디밭 정도 침투를 당하긴 했지만, 아무도 백악관에 앉아 있는 대통령을 저격하는 데 성공한 적이 없으니까 말이다.


오늘날 우리가 보호한다고 하는 데이터센터의 현재 상황은 어떤가? 사이버 보안 산업의 규모가 75조원에 이른다고 하는데, 우리를 노리는 침입자들은 담을 넘고 들어와 수개월에서 수년까지 숨어 있는 데에 성공하고, 대통령인 데이터는 저격당한다. 최근까지 밝혀진 바 공격자들이 네트워크에 침투해 숨어 있는 기간은 평균 146일이라고 한다. 위에서 말한 백악관 침입 사건은 17분 만에 진압됐다.

우리 네트워크의 보안이 얼마나 강력한가는 공격자가 얼마나 오랫동안 숨어 머무르냐와 밀접한 관계에 있다. 오래 머무르면 머무를수록 공격자가 핵심 데이터를 찾아낼 가능성이 높아지기 때문이다. 따라서 그 피해의 정도도 숨어있는 시간이 늘어날수록 커진다. 또한 이 ‘시간’이 물리보안과 사이버 보안의 가장 큰 차이점이기도 하다. 물리보안에서 범인이 범행 장소에 오래 머무른다는 대범성은 상상하기 힘들기도 하거니와, 늘 어딘가 배치되어 있는 안전요원들이 기가 막히게 빠르게 움직이기 때문이기도 하다.

최근의 침해 사건들은 대부분 침투한 자들을 탐지해내는 기술들이 도입되어 있지 않거나 지나치게 많은 경보 때문에 도입된 탐지 기술이 제대로 작동하지 않아서 발생했다. 이 문제를 보안 업계도 충분히 인지하고 있어 탐지 기술과 지나치게 많은 경보라도 분석해낼 수 있는 분석 기술이 최고의 현안으로 떠오르고 있다. 올바른 방향이다. 탐지 기술과 분석 기술은 향상되어야만 한다. 하지만 이 둘에만 지나치게 매몰되어 있다는 생각도 든다. 왜냐하면 ‘탐지가 제대로 되지 않는다’는 문제의 본질은 ‘그들이 우리보다 우리 네트워크를 더 잘 이해하고 있다’는 것이기 때문이다.

그들이 더 잘 알고 있다?
역사를 통틀어 방어자가 공격자에 비해 가지고 있었던 장점은 흔히 말하는 ‘홈그라운드’였다. 자신들에게 친숙하고 통제가 가능한 구역에서 싸울 수 있다는 것이다. 이것이 백악관 경비 및 대통령 경호원들의 강점이기도 하다. 이들은 대통령의 동선과 행동반경, 백악관의 구조를 ‘빠삭하게’ 파악하고 있다. 이것이 무서워 침투자들이 오랜 기간 머무를 수 없는 것이고, 오래 머물 가능성을 아예 배재하면서 공격을 계획한다.

그런데 네트워크 환경에 와서는 그러한 원리가 딱히 적용되지 않는다. 자기 네트워크 구조를 샅샅이 파악하지 않는다는 게 첫 번째 이유다. 게다가 네트워크 구조를 이해한다는 게 말처럼 쉬운 것도 아니다. 그러나 아는 만큼 보안을 강화할 수 있다는 사실은 변하지 않는다. 즉 인프라에 대한 이해도가 높으면 높을수록 보안 전략을 운영하기가 좋고 효율도 높아진다는 것이다.

그렇다면 왜 보안 담당자들의 네트워크 파악 정도가 갈수록 낮아질까? 일단 백악관 지형 파악하는 것과는 비교도 할 수 없을 만큼 어렵고 복잡한 일이다. 게다가 변화가 끝이 없다. 그러나 물리 환경에 비해 ‘관찰하기’는 훨씬 더 쉽다. 그렇기에 인공지능, 머신 러닝 등의 신기술들을 계속해서 적용해보고자 하는 것이다. 하지만 대부분은 ‘탐지’ 그 자체를 바라면서 신기술을 도입하지, 네트워크 자체를 이해하기 위한 것은 아니다.

그래도 좋은 소식이 있다면, 네트워크를 이해한다는 게 불가능한 수준의 난이도를 띄지는 않는다는 것이다. 포인트는 인간이 이해해야 할 부분과 기계가 맡아야 할 부분을 구분하는 것이다. 여기서도 다시 이야기를 백악관으로 돌려보자. 대통령의 경호를 맡는 사람들은 다년 간 혹독한 훈련을 받은 사람들이다. 그저 맷집이 좋다거나 골목에서 주먹 좀 써봤다고 등용되는 경우는 거의 없다.

그 훈련의 핵심은 싸움을 잘 한다거나 총알을 피할 줄 아는 게 아니라 ‘문제의 해결’이다. 그래서 이들은 군중 속에 숨어 품속에서 총을 꺼내려는 사람과 핸드폰을 꺼내려는 사람을 구분해낸다. 암살 동기가 있을 법한 사람을 최대한 빠르게 찾아내고, 심상치 않은 분위기를 풍기는 인물이 보이면 그 정보를 다른 경호원들과 공유한다. 그렇다고 1인 시위를 하느라 목소리를 크게 내고 있는 시민을 덮치지는 않는다.

물론 그들이 실패를 모르는 건 아니다. 다만 우리가 흔히 아는, 단순히 신체능력이 뛰어난 사람들이 경호원이 되는 건 아니라는 것이다. 이들은 분명히 비싼 훈련 과정을 긴 세월 거친다. 그만큼 한 사람 한 사람이 중요한 자산이 된다. 그렇기에 경호원에게 하찮은 일거리를 맡기지 않는다. 어린 아이가 백악관 철장을 잡고 있다고 해서 사이렌이 울리고 헬기가 뜨고 경호원이 사방에서 호출되지 않는다는 것이다. 경호원은 대통령과 백악관을 지키는 데에 필요한 어렵고 전문적인 일에만 집중한다.

그렇다면 데이터의 경호원인 보안 팀의 사정은 어떤가? 보안 전문가들도 다년간의 학습과 연구, 현장 경험을 쌓은 이들인데, 사실 이 전문가들은 가장 어려운 일은 물론 자잘한 일거리들도 처리해야 한다. 자잘한 일거리들이라고 하면 네트워크 마다에 존재하는 모든 서버, 모든 가상기기, 모든 클라우드 인스턴스, 모든 기기들에 달려 있는 모든 센서들로부터 오는 정보들을 뜻한다. 이 정보들 자체가 쓸모없다는 게 아니다. 이 정보들을 활용해 공격을 막고 해커들을 잡아내는 게 아니라 단순히 오보와 경보를 구분해내는 것만으로도 하루가 간다는 것이다. 백악관 경비대에게 근처 지역 교통정리까지 시키는 꼴이다.

보안 전문가들을 제대로 활용하려면 자동화 시스템이 필수적이다. 여기에 더해 – 각 솔루션들이 난립하고 있으므로 – 오케스트레이션 기술도 점점 ‘필수’로 자리 잡고 있다. 컴퓨터가 할 일은 컴퓨터에게 맡기고, 전문가들의 훈련을 낭비시키지 않아야 한다. 이미 공격자들은 그렇게 하고 있다. 너무 많은 데이터가 존재하고, 그 데이터들의 양 때문에 분석가들이 제대로 된 정보 활용을 못하고 있다는 것 자체가 우리가 배우고 고쳐야 할 교훈이다.

백악관 담장을 넘은 사람은 단 17분 영내에 머물 수 있었다. 침투 자체를 허락하지 않았어야 했지만, 17분 만에 내쫓을 수 있었다는 것은 칭찬받을 만하다. 게다가 그 17분 사이에는 이미 대통령 보호를 위한 모든 메커니즘이 발동되어 있었다. 백악관 경비원들이 한 번 실수는 했을지언정(최초 침투), 만회를 빨리 했다는 건 대단한 의미를 가지고 있다. 보안에도 실수가 당연히 존재한다. 문제는 실수가 반복되지 않도록 하고, 빨리 무마될 수 있어야 한다는 것이다.

글 : 나다니엘 글레이처(Nathaniel Gleicher)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>