보안 전문가, 해킹당해 해고되는 건 아닌지 어디까지 막아야 할지 전전긍긍
부정하고 분노하다 인정하는 단계까지... 더 좋은 보안 전문가로 성장할 수 있어

[보안뉴스 오다인 기자] 기업 보안에 있어 공격자는 늘 우위에 선다. 방어하는 사람은 공격당할 수 있는 모든 부분을 다 막아야 하지만, 공격자는 네트워크를 뚫는 데 필요한 딱 하나의 매개만 찾으면 되기 때문이다.


공격 매개로 활용될 수 있는 것은 무궁무진하다. 불완전한 인증 메커니즘, 경계 네트워크 사이의 빈틈, 래거시 애플리케이션, 인간 행동 등은 몇 가지 사례에 불과하다. 안타깝게도 기업의 보안 전담 부서는 얼마 안 되는 정보보안 영역에만 집중하는 경향을 보인다. 인증, 패치 관리 및 제로데이 위협, 멀웨어 및 엔드포인트 보호, 네트워크 보안 등에만 치중하는 것이다.

“네트워크 보안”은 “경계 보안”과 동의어처럼 생각돼왔다. 경계를 보호하는 것은 데이터센터 내의 모든 자료를 깊은 신뢰의 바탕에서 사용하는 것이라고 생각해온 것이다. 여기에 강력한 인증 메커니즘까지 구비하면 편안하면서도 유지에 힘을 덜 써도 되는 상황을 구축할 수 있었으며, 인터넷과 접촉하는 시스템만 보호하는 게 데이터센터 내 수천 대의 서버를 보호하는 것보다 훨씬 더 쉬운 일이기도 했다.

불행한 일이지만 여기서의 경계는 공격 매개 수천 가지 중 하나에 불과했다. 침해 사건이 잇따라 발생함에 따라, 보안 전문가들은 경계를 보호하는 것만이 결코 충분치 않다는 걸 깨닫게 됐다. 이런 깨달음을 얻으며 보안 전문가들은 서서히 다섯 단계의 보안 시름(security grief)을 경험하는 중이다.

1단계: 부정
보안 전문가인 당신은 자신이 공격에 당했다는 걸 믿을 수 없다. 경계는 단단히 봉쇄됐고, 이해관계자들도 당신의 정책을 준수했다. 침입 탐지 시스템을 두어 개 구입하기도 했다. 그러니까, 지금까지 당신의 업무는 꽤 쉬웠다고 할 수 있다. 방화벽을 최신으로 업데이트하고, 매일 아침 경고들을 확인하며, 때때로 멀웨어에 감염되면 이를 격리시킨 다음, 밤에 두 발 뻗고 잘 자왔다. 다른 기업들은 공격당하고 있었든지 말든지 별로 신경 쓰지 않았다. 도대체 보안 전문가라는 사람들이 뭘 하고 있는 거야? 당신은 묻곤 했다. 아마 침입 탐지 시스템(IDS: Intrusion Detection System)을 안 썼을 것이라고 짐작하곤 했을 것이다.

2단계: 분노
천천히, 불편한 현실을 직시하게 된다. 기업이 침해를 탐지하는 데 평균적으로 걸리는 시간은 대략 4개월 정도다. 새로운 공격 매개가 최신 뉴스의 헤드라인에 등장한다. 경계가 안전하게 보호됐을지라도, 당신의 하청업체나 사업 파트너들이 당신의 네트워크에 접근할 수 있었을 것이다. 그런 업체들이 안전한 만큼 당신도 안전했던 것이다. 당신이 가장 좋아하는 식당, 백화점, 다국적 은행이 해킹당하고 나면, 당신은 새로 발급한 신용카드에 결제정보를 입력하느라 어느 날 오후 시간을 다 보내야 할지도 모른다. 한편, 아직까지 가장 강력한 멀웨어 운송 매개는 피싱 이메일이다.

3단계: 협상
답을 구하던 당신은 뜨고 있는 정보보안 산업에 눈을 돌리게 된다. 시중엔 정말 많은 제품이 나와 있다. 당신은 그 많은 제품들을 모두 사들인다. 피해 입은 금액은 이미 당신의 저축액을 훨씬 초과한 뒤다. 딱 하나의 제품만 샀어도 이런 침해를 막을 수 있었을 텐데 후회하면서 말이다. 당신은 가능한 한 최대로 엔드포인트 보호 기능을 켜둔다. 모든 곳에서 자동 로그인하지 않고 직접 로그인한다. 당신의 SIEM(Security Information & Event Management)이 보안 이벤트 정보로 넘친다. 당신은 매일 수천 건의 경고를 받는다. 얼마 뒤에 당신을 경고를 일일이 확인하는 걸 멈추기 시작한다.

4단계: 우울
또 다른 침해 사건이 뉴스를 장식한다. 당신이 이용하는 업체 중 한 곳은 자사 제품이 이번 침해에 대해 경고했음을 자랑스럽게 알린다. 공격자가 요새에서 데이터를 빼돌린 지 이미 4개월 후까지 어떤 것도 탐지하지 못했으면서 말이다. 당신은 엄청난 돈을 투자한 이 업체에 대해 생각한다. 이 업체가 나의 침해를 사전에 탐지할 수 있을까? 당신은 해킹당한 회사에 대해서도 생각한다. 당신이라면 그들보다 더 잘 대처할 수 있었을까? 이런 상황에서 잘 한다는 게 가능키나 한 일일까? 어떤 것 하나라도 잘 할 수 있을까? 생각이 꼬리에 꼬리를 물던 당신은 그냥 술이나 마셔야겠다고 생각한다.

5단계: 인정
다음 날 아침, 당신은 숙취로 머리가 아프다. 책상에 앉아 컴퓨터를 켠다. 그러다 문득 생각한다. 이건 내가 해킹되느냐 아니냐에 대한 문제가 아니다. 언제 해킹되느냐에 대한 문제도 아니다. 당신은 깨닫는다. 당신의 네트워크를 지금 이 순간 활보하는 공격자가 있을지도 모른다고. 그리고 당신이 이에 대해 수개월 동안 모르고 있었을지도 모른다고.

자, 그렇다면 다음 단계는 뭘까?
일어날 수 있는 것 중에서 최악은 뭘까, 당신은 생각한다. 그건 당신이 해고되는 것이다. 하지만 아주 작은 침해도 포착되도록 기준을 낮춰두면 다른 사람들보다 빠르게 침해를 탐지하고 대처하는 일만 남는다는 점을 깨닫게 된다.

당신은 깊은 수준에서 방어를 공부하기 시작한다. 당신은 데이터센터 수준의 가시성을 확보한다. 당신은 DNS 침입, SSL 침입, HTTPS 침입을 감시한다. 당신은 변칙을 탐지하기 위해 머신 러닝을 도입한다. 당신은 파트너사의 보안 실태를 감시한 뒤, 해당 업체의 네트워크를 차단한다. 한 번에 모든 걸 해결할 방법은 없다. 당신은 경고들은 무시하고 위협을 찾아 나서기 시작한다.

당신은 아직까지 침해된 적이 없을지 몰라도, 수많은 종류의 문제들을 만나게 될 것이다. 에드웨어는 도처에 널려있다. 당신의 네트워크 영역은 너무 넓어서 이리 저리 움직일 여지가 많다. 소프트웨어 개발자들은 특권이 부여된 크리덴셜을 사용해서 생산 데이터베이스에 접속한다. 당신의 내부 방화벽은 모든 종류의 트래픽을 통과시킨다. 거의 모든 사람들이 스토리지 시스템에 접근할 수 있다.

마침내 당신은 데이터를 쓸 수 있다. 당신은 내부 공격 매개를 하나씩 하나씩 차단시킨다. 당신은 애플리케이션을 최소한으로 구분한 다음, 가장 유망한 방화벽을 데이터센터 내에 배치시킨다. 당신은 이중인증을 실행시키고 지속적으로 컴플라이언스를 감시한다. 당신은 화이트보드에 포스트잇으로 세 가지 기둥을 세운다. 1) 당신의 회사가 필요한 보안 조치들 2) 현재 실행 중인 보안 조치들 3) 당신이 지켜보고 있는 보안 조치들 등으로 말이다. 점차적으로, 포스트잇은 오른쪽으로 움직이게 될 것이다.

당신은 네트워크를 위협하는 것들을 계속 찾아 나선다. 또 다른 침해 사건이 뉴스에 등장한다. 공격자들은 3년 동안이나 네트워크에 숨어있었다고 한다. 당신은 그 회사의 보안 전담부서에 대해 생각한다. 당신은 그들보다 더 낫다고 할 수 있나? 그리고 당신은 받아들인다. 당연하게도 당신이 더 좋은 보안 전문가라고.

글 : 에릭 토마스(Eric Thomas)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>