• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이젠 기존 보안팀 그 이상의 보안조직이 필요하다 2016.04.27

관찰, 감시를 주로 맡아 하는 보안팀 별도 운영 필요
경험과 지식, 윤리의 삼박자 고루 갖추는 것이 가장 이상적

[시큐리티월드 문가용] 보안 운영 프로그램을 평가하거나 새로 구축할 때 가장 먼저 하는 건 FNF가 제대로 작동하는지 확인하는 것이다. FNF란 ‘우리 네트워크 부대(Friendly Network Forces)’의 준말이다. 널리 퍼진 용어는 아니고, 나만 쓰는 말이니 굳이 기억하지 않아도 된다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
width=500
▲ 겹겹이 쌓일수록 맛있는 칼로리처럼

FNF는 쉽게 말해 내부 침투 테스트 팀이다. 하지만 그것만이 전부는 아니다. FNF가 수행하는 임무는 다음과 같다.
- 내부 및 외부 침투 테스트를 하며 보안 구멍을 찾아낸다.
- 고차원적인 위협 행위자들이 사용할 법한 치명적인 취약 부분을 감독한다. 단지 기술적인 부분만을 말하는 게 아니다.
- 보안 통제 장치, 정책, 기기 등을 반복적으로 ‘흔들어 보고’ 제대로 작동하는지 확인해본다.
- 제로데이 취약점이나 대중적으로 널리 알려진 취약점들에 대한 POC(proof of concepts)를 진행한다.
- 내부자 위협에 대한 검사를 진행한다.

이런 다양한 일들을 제대로 수행하려면 특정 기술과 지식이 필요하다. 먼저 기업 환경이 어떤 식으로 설계되어 있는지는 기본적으로 이해하고 있어야 한다. 이는 어떤 식으로 작동하는지에 대한 이해는 물론 어디가 약한지를 아는 것까지도 포함한다. 내가 아는 기업들 중 FNF팀에 회사 초창기 멤버를 투입하는 곳들도 적지 않다. 말년 병장들이 작업을 피하기 위해 부대 내에 여러 은신처를 마련하는 것처럼, 그런 병장들을 잡아내려는 주임원사들 역시 모르는 척 그런 은닉처들을 다 꿰고 있는 것처럼 내가 처한 환경을 샅샅이 아는 건 매우 중요하다.

이것이 전제로 깔렸다면 사이버 범죄자들이 실제로 어떻게 공격하는지 알아야 한다. 이는 여러 인터넷 소스나 보안 관련 매체, 다양한 교육 과정 등을 통하여 제공된다. 조금만 시간을 투자하면 얼마든지 익힐 수 있는 정보인 것이다. 팀 내 스터디를 진행하는 것도 좋은 방법이다.

이렇게 적도 알고 나를 아는 지식이 쌓였다면, 그 지식을 현장에 실제로 투입해야 한다. 사실 여기가 진짜 어려운 부분이다. 왜냐하면 이런 지식을 발현시키려면 대부분의 경우 법 혹은 윤리적인 충돌이 일어나기 때문이다. 그래서 현장의 경험 역시 대단히 중요하다. 국가 첩보 기관이나 보안 상담업체에서 근무했던 사람 등 비밀리에 원격에서 침투 테스트를 하던 인물들과 사건 대응 팀 혹은 포렌식 수사 경험이 풍부한 사람들이 이 분야에서 잘 나가는 이유다.

또한 FNF의 구성원들에게는 건전한 윤리관 역시 필수다. 고리타분하게 들릴 수도 있고, 뻔한 소리라고 말할 수도 있는데, 그렇게 흘려 듣는 마음들 사이로 가장 쉽게 잊히는 주요 요소 중 하나다. FNF가 해야 하는 감시, 관찰 등의 활동은 굉장히 민감한 부분이기 때문이며 신뢰가 가는 사람들에게만 맡길 수 있기 때문이다. 아무리 기술력이 뛰어나도 윤리관이 엉망이면 신뢰를 주기가 어렵다.

FNF는 사실상 모든 사람을 지켜보고 있다. 특히 조금이라도 정상의 범주에서 벗어나는 일이 있으면 모든 신경을 집중할 것이다. 데스크 관리자에서부터 CSO, 심지어 CEO들도 이들의 관찰 대상이다. 그러므로 IT 부서가 아니라 인사과에 배속되어도 괜찮다. 내부자 위협 문제를 미연에 방지하려면 어차피 인사 정보도 가지고 있어야 한다.

FNF는 기존의 보안팀하고는 다르며, 또 단순 침투 테스터도 아니다. 회사 전반을 끊임없이 살피고 관리하는 ‘엄마’같은 존재여야 한다. 엄마에겐 권한도 있고 사랑도 있다. 현대 네트워크 환경에서는 기존의 사이버 보안팀 그 이상의 것이 필요하다. 각종 보안 사고가 증명하듯이 아주 작은 구멍에서 모든 불행은 비롯된다. 보안 솔루션만 멀티레이어가 아니라 조직적으로도 여러 겹이 필요하다.
글 : 제프 실링(Jeff Schilling)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 국제부 문가용 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>