보안 솔루션 구매한 후 설치로 끝나는 것 아냐...환경에 따른 미세 조정 필요해
설치 후 환경설정 바꾸지 않고 그대로 썼을 때의 결과...위협 대부분 놓치게 돼

[보안뉴스 문가용 기자] 사실 제대로 경보를 울리는 보안 솔루션은 극히 적다는 충격적인 연구 결과를 보안 업체 파이어아이(FireEye)가 발표했다. 이에 따르면 보안 애플리케이션을 설치한 덕분에 실제 공격 발생 시 경고가 울리거나, 침투가 제 때 탐지되는 사례는 아주 작은 일부일 뿐이라고 한다.


이 연구 결과를 담은 보고서는 2020 맨디언트 시큐리티 효율성 보고서(2020 Mandiant Security Effectiveness Report)로, 11개 분야의 기업 생산 환경에 실시한 가상 공격을 토대로 작성되었다. 총 123개의 보안 관련 기술들이 시험대에 올랐다. 현재 이 기술을 사용하는 고객들은 9억명이 넘는 것으로 알려져 있다.

실험 결과, 가상의 공격이 진행됨에 따라 적절한 경고를 사용자에게 내보낸 건 겨우 9%의 솔루션들에 불과했다. 침투에 성공해 네트워크에 머물러 있는데도 53%의 솔루션은 아무런 이상 현상을 탐지하지 못했다. 침투가 다 이뤄진 후에야 그나마 경고를 발생하는 솔루션은 25%를 약간 넘은 정도였다. 사전에 침해를 방어한 솔루션은 33%에 불과했다.

왜일까? 보안 솔루션 개발 업체가 세상을 속여 온 것일까? 파이어아이는 “사용 환경에 최적화 되어 있지 않아서”라고 말한다. “컴퓨터 환경은 무궁무진할 정도로 다양하며, 전부 제각각입니다. 보안 솔루션들도 이러한 환경의 차이에 영향을 받습니다. 최적의 성능을 발휘하려면, 환경에 꼭 맞게 설정이 되어야 합니다.”

그러면서 파이어아이는 다음과 같은 것들이 있다고 예시를 들었다.
1) 디폴트 설정 내용 변경하기
2) SIEM에 보안 이벤트들이 제대로 기록되도록 만들기
3) 인프라에서 예기치 않게 발생하는 변경 내용들을 기록하고 대응하기
4) 구축 후 환경에 맞게 미세 조정과 ‘튜닝’ 잊지 않기
5) 4)번 이후 충분한 실험을 통해 최적화 상태 찾기

이번 실험을 통해 파이어아이는 “현재 기업들이 장착하고 있는 각종 보안 솔루션들 중 공격자들의 정찰 단계에서부터 수상한 점을 발견하고 경고를 발생하는 건 4%뿐”임을 발견했다. 랜섬웨어 공격과 침투 시도를 실험했을 때 예방이나 탐지에 성공한 경우는 1/3도 되지 않았다. 경고가 울린 건 7%뿐이었다.

보안 정책을 우회하려는 시도를 예방하거나 탐지하는 데 실패한 경우는 65%에 달했고, 경고가 발생된 것도 15%뿐이었다. 악성 파일 전송이 시도되었을 때 탐지가 성공적으로 이뤄진 것은 29%였고, 예방까지 이른 건 37%였다. 경고 메시지가 나온 건 25%도 되지 않았다. C&C 활동에 대해 경고가 울린 건 단지 3%였다. 횡적 움직임을 시도했을 때의 결과도 비슷했다.

보고서를 통해 파이어아이는 한 사용자 기업의 실제 사례를 제시하기도 했다. 포춘 500대 기업에 선정되었을 정도로 큰 기업으로, 여기서는 여러 가지 보안 이벤트들이 잘 탐지되고 있기는 했다. 그러나 이 탐지 기록들이 SIEM으로 전달되지 않고 있었다. 데이터 전송에 TCP가 아니라 UDP를 활용하고 있었기 때문이다. 설정이 잘못된 부하 균등 장치가 모든 UDP 트래픽을 잘라내고 있었다. 보안 장치를 환경에 맞게 설정하지 못한 것에 대한 좋은 사례가 되었다. 한 보험 회사의 경우 보안 툴의 설정이 잘못 되어 악성 파일 전송 시도가 2/3밖에 탐지되지 않고 있었다. 경고는 한 번도 울리지 않았다고 한다.

“보안 솔루션을 설치하는 건, 그에 대한 가치를 얻어내기 위해서입니다. 그 가치란 건, 위협들을 방어할 수 있게 제 때 경고가 울리거나 사전에 예방이 되며, 그런 기록들이 어디엔가 남아서 사용자가 눈으로 확인할 수 있는 것을 말합니다.” 파이어아이 측의 설명이다. “하지만 이번 연구 결과를 통해 많은 사용자 기업들이 이를 얻어내지 못하고 있으며, 그 이유는 설치 그 자체만으로 끝이라고 생각하고 있기 때문이라는 것이 드러났습니다.”

보고서 요약문은 여기(https://content.fireeye.com/security-effectiveness)서 열람이 가능하다.
3줄 요약
1. 수상한 보안 이벤트를 탐지하고 사용자에게 경고를 보내는 건 극히 소수.
2. 수많은 사용자들의 환경에 제대로 조정되지 않았다면 기능 발휘 제대로 못함.
3. 보안 솔루션 설치하고 환경에 따라 미세한 조정과 ‘튜닝’하는 게 필수.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>