• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 운영의 가장 최신 키워드, 효율성 2017.12.19

지금은 가장 비효율적인 워크플로우 가지고 있는 보안 업계
효율성 높이지 않으면, 유한한 자원으로 보안 성공 기대할 수 없어

[보안뉴스 문가용 기자] 난 쇼핑 나가기 전에 사야할 물건을 목록화 한다. 하지만 쇼핑을 실제로 하다보면 목록에 적힌 것보다 반드시 몇 개 더 사게 된다. 그래도 소위 말하는 ‘충동구매’로 분류할 만큼은 아니다. 어느 정도 계획했던 대로 쇼핑은 무사히(?) 끝난다. 아마 나만 그런 건 아닐 것이다. 목록화에 대한 수고를 아끼지 않음으로써 쇼핑의 효율성을 극대화시킬 수 있기 때문이다.

[이미지 = iclickart]


하지만 여기서 다른 방식의 쇼핑을 상상해보자. 매장 안에 들어간 당신은 한 종류에 하나씩 모든 물건들을 구매한다. 그리고 계산대에서 돈을 다 지불한 후, 그제야 구입한 물건을 살펴본다. 그리고 필요 없는 것들을 골라내 환불처리를 한다. 비효율적인 방법 같은가? 정말?

왜 보안 매체에서 난 쇼핑 이야기를 하고 있을까? 보안과 쇼핑 사이에 있는 그 공통점을 드러내기 위해서다. 그것은 바로 ‘과잉.’ 많은 보안 전문 업체들의 워크플로우를 살펴보면 방금 예시로 든 두 번째 쇼핑 방법처럼 일하고 있다. 첫 번째 쇼핑 예시에 부합하는 회사가 없지는 않으나 대부분은 두 번째에 가깝다. 즉, 비효율적이고 시간을 엄청나게 낭비하는 방법을 채용하고 있다는 것이다. 한 번 전형적인 보안 업체 워크플로우를 살펴보자.

1) 기업 곳곳에 센서 테크놀로지(네트워크 기반이거나 엔드포인트 기반이거나 인공지능 기반)를 심는다.
2) 탐지해야 할 시그니처와 탐지 알고리즘이 내부적으로 개발된다.
3) 그러면 그 시그니처와 알고리즘에 의해 하루에도 수백~수천 건의 경보가 울려대기 시작한다. 그 경보들은 전부 ‘처리해야 할 일’ 목록으로 편입된다.
4) 분석가들은 이 수백~수천 건의 경보들을 쭉 훑는다. 가장 신뢰할 만하거나 가장 위험해보이는 것을 골라낸다.
5) 그리고 대부분의 경보들은 다시 시스템 내부로 ‘환불처리’ 된다.
6) 1)~5)번을 매일 반복한다.

보안 업계에 어느 정도 종사한 사람들은 다 알겠지만, 이 방법은 정말 고통스럽고 지난하며 비효율적이란 단어를 가장 잘 설명한다. 이걸 어느 정도 계속 하다보면 경보가 환청처럼 들리기도 하고(물론 귀에 정말 들리는 건 아니지만), 조금 더 지나면 경보라는 것 자체에 무감각해진다. 보안 전문가로서의 중요한 감각 하나가 상실된다는 것이다.

그렇다면 이를 어떻게 바꿔야 할까? 조직이 전체적인 워크플로우를 바꿔야 한다. 두 번째 쇼핑 방식 이야기로 돌아가 설명을 다시 해보고자 한다.

두 번째 쇼핑 방법과 바로 위에 적힌 보안 워크플로우를 비교하면 한 가지 공통점이 있다는 걸 알 수 있다. 초반부가 아니라 끝부분에 주안점이 맞춰져 있다는 것이다. 초반부란, 그것이 어떤 프로세스이든, 참여자들이 집중하고, 결정하고, 계획할 수 있게 해준다. 즉 보안 담당자 및 데이터 분석가들이 어떤 데이터가 필요한지, 어떤 분석을 진행해야 하는지 결정하고 데이터 유형의 우선순위를 정해야 하는데, 그 부분이 부재하다. 쇼핑 목록을 만들지 않는다는 것이다.

그렇다면 어떻게 해야 초반부에 힘을 싣는 워크플로우를 도입할 수 있을까? 즉, ‘쇼핑 목록’을 가진 ‘보안 워크플로우’란 정확히 어떤 모양을 가지고 있을까? 그 예시는 다음과 같다.

1) 기업(조직)에게 가장 위험한 위험 요소들을 결정하고 우선순위를 정한다.
2) 기업(조직) 내 자산들을 다 파악하고 어떤 치명적인 영향력을 발휘할 수 있는지 평가한다.
3) 민감하고 치명적이며 재화의 가치를 가진 데이터가 어디에 물리적/논리적으로 저장되어 있는지 파악한다.
4) 이 결과를 바탕으로 어떤 악성 행위들이 일어날 수 있는지 논리적으로 시나리오를 결정하고, 그에 따른 경보 시스템을 설정한다.
5) 4)번에서 결정한 방식대로 경보가 울리면 위험성에 따라 치명도 점수를 매긴다.
6) 가장 높은 점수를 가진 경보를 배경 정보나 자산/데이터 정보와 함께 다음 단계로 보낸다.
7) 그 다음으로 중요한 경보들을 순서대로 처리한다.

이 목록은 얼른 봐도 위에서 예를 든 워크플로우보다 훨씬 효율적이다. 요는 워크플로우의 시작 부분에 힘을 주고 자원을 투자하는 것이 중요하다는 것이다. 또한 분석가들의 일을 보다 다이내믹하고 알차게 만들어줄 수도 있다. 심지어 돈도 절약된다. 왜냐면...

1) 몸값 높은 분석가들을 단순 업무가 아니라 진짜 ‘고차원적인’ 일에 활용할 수 있다.
2) 미리 계획을 하니 필요한 솔루션을 정확히 구매할 수 있다.
3) 하드웨어가 최적화된 워크플로우에 동원되니 장비 비용이 줄어든다.

그 어떤 기업이라도 무한한 자금력과 시간을 가지고 있지 않다. 그런데 보안을 잘 하려면 무한대의 돈과 시간이 필요하게끔 세상이 빠르게 변하고 있다. 그렇다면 ‘효율성’이 관건이 된다는 뜻으로 바꿔서 받아들여야 한다. 사람이 모자라고, 솔루션이 너무 비싼 문제에 대한 답은 효율성으로부터 나올 것이다.

글 : 조슈아 골드팝(Joshua Goldfarb), IDRRA

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>