오늘날 보안 환경이 전례 없이 빠른 속도로 변화함에 따라 보안 관리자들의 고민은 더욱 깊어지고 있다. 인터파크 개인정보 유출사고 등 최근 발생한 보안 사고에서 확인했듯이, 정교한 공격 방법으로 인프라와 조직의 약점을 파고드는 공격자들이 점점 늘어나고 있기 때문이다. 이들은 천천히 시간을 들여 모든 정보를 살펴보다가 개인정보, 특허 등 주요 정보를 유출시키거나 회사 시스템을 무력화시키는 등 기업과 기관의 경영 활동에 적지 않은 파장을 불러일으키고 있다.   고도화된 보안 위협이 지속적으로 등장함에 따라 기업의 공격 방어 및 관리 방식에도 변화가 일어나고 있다. 특히, 기업 및 기관의 내부 IT인프라가 보안 위협에 노출되지 않도록 지켜보고, 위험요소 발견 시 즉각 대처하는 보안관제 방법론 역시 변화하는 위협에 대응할 수 있도록 비약적인 발전을 거듭하고 있다. 이에 네트워크 경계 기반에 집중된 보안관제부터 인공지능을 접목시킨 보안관제까지 보안 위협과 함께 진화하는 보안관제의 발전 과정을 되짚어 보는 시간을 가져보고자 한다.   네트워크 경계 기반 보안관제 과거 공격자들이 기업 및 기관의 경계를 뚫고 외부에서 내부로 침입하는데 집중했던 만큼, 전통적인 방식의 보안관제는 기업 경계 방어에 중점을 두고 있었던 것이 사실이다. 방어자들은 방화벽, 침입방지/탐지시스템(IPS/IDS), 디도스(DDoS) 장비, L7 방화벽, 웹방화벽 등 네트워크 보안 장비 위주의 모니터링과 백신 사용을 통해 네트워크 경계를 넘어오려는 공격 시도를 탐지하고 알려진 공격을 막아내는데 주력해 왔다.   그러나 중앙집중적 컴퓨팅과 고립형 네트워크가 점차 개방적이고 분산적인 형태로 변화함에 따라 경계기반에 집중된 전통적인 보안 관리 방식은 서서히 한계점을 드러내기 시작했다. 인터넷에 연결된 기기와 앱, 인프라, 사용자가 기하급수적으로 증가하며 공격자들이 뚫고 들어올 수 있는 기회와 가능성이 더 많아졌기 때문이다. 소프트웨어 취약점에 대한 패치가 발표되기도 전에 이를 먼저 간파해 위협을 가하는 제로데이 공격이 그 대표적인 예다.   실제로 공격자들은 이전에 비해 다양한 방법을 동원해 지속적인 공격 전술을 펼치며 방어자를 압박하고 있다. 이제 공격자들은 PC는 물론 스마트폰, 이메일, 웹사이트 등 다양한 경로를 통해, 혹은 알려지지 않은 IT시스템의 취약점을 악용해 자동화된 탐지를 교묘하게 피하며 침투 성공률을 높이고 있다. 침입에 성공한 후에는 기업 내부 시스템을 옮겨 다니며 모든 정보를 살펴보다가 목표로 삼은 특정 정보를 유출시키거나, 회사 시스템 또는 보안 서비스를 무력화시키는 공격을 감행한다.   이와 같이 기술의 발전과 더불어 공격자가 비집고 들어올 수 있는 구멍이 점점 많아짐에 따라 방어자들은 네트워크 경계에서 더 나아가 기업 전반에서 일어나는 모든 사용자 행위와 이벤트를 모니터링하고 통합적으로 관리해야할 필요성을 실감하게 됐다. 이에 이기종의 보안 시스템을 단일한 관제 환경에서 관리하고, 다양한 보안 장비에서 생성되는 보안 데이터를 수집해 이를 연관 분석하는 ESM(Enterprise Security Management) 기반의 보안관제가 부각되기 시작했다.   ESM 기반의 보안관제…다양한 보안 시스템들의 상호 운용성, 관리성 및 보안성 극대화 우리가 흔히 하는 표현 중에 ‘장님이 코끼리 만지듯 한다’는 말이 있다. 코끼리의 덩치가 큰 까닭에 다리, 귀, 눈 등 일부 부위만 따로 봐서는 어떤 동물인지 쉽게 판별하기 어렵듯이, 일부 정보만 가지고 그것이 진실인 양 쉽게 판단해서는 안 된다는 의미다.   보안관제 역시 마찬가지다. 수많은 인프라에서 생성되는 정보를 한 곳에 모아 통합적 관점에서 살피지 않고 분산된 정보에만 의존한다면, 자칫 기업에 큰 위협을 초래할 수 있는 그릇된 판단을 내릴 수도 있기 때문이다.   이와 같이 ESM 기반의 보안관제는 다양한 보안 장비 간의 연관 분석을 통해 위협과 이상행위를 보다 빠르고 정확하게 탐지하는데 중점을 두고 있다. 기존 시스템 로그 중심 분석으로는 기업 인프라 내에서 어떤 이슈가 발생하고 있는지 확인하는데 한계가 있는 만큼 시스템, 보안장비, 네트워크 등 다양한 보안 장비에서 생성되는 모든 정보를 실시간으로 수집하고 다양한 통계 및 패턴 분석 도구를 통해 이를 연계 분석함으로써 오탐 없이 해당 행위의 중요성을 보다 정확하게 판별해내는 것이다.  

 

    ▲ 최초 탐지부터 로그 패킷 분석까지 일원화된 관제 환경 구성 예시 (출처: 이글루시큐리티 SPiDER TM)

위협과 이상 행위를 탐지한 후에는 공격의 연결고리를 끊는 능동적인 대응에 나서야 한다. 이를 위해서는 보안 관리자들이 정확한 판단을 내릴 수 있도록 위험 요소를 체계적으로 식별할 수 있는 모든 정보와 위험관리 프로세스가 마련될 필요가 있다. 즉, 악성코드를 발견하는 것에서 더 나아가 이 악성코드가 어떤 데이터를 송수신하고 있는지, 이 악성코드에 감염된 다른 시스템은 없는지 등 해당 행위의 중요성을 쉽게 판별할 수 있는 가치 있는 정보가 뒷받침돼야 한다.   이러한 배경에서, 방대한 양의 보안 데이터를 최신 위협 정보와 연계해 빠른 시간 내 효율적으로 분석해낼 수 있는 빅데이터 분석 플랫폼이 조명을 받게 됐다. 매일 수만 건이 넘게 발생하는 대용량의 보안 데이터를 한정된 시간과 예산 내에서 빠르게 분석하고, 보안 시스템이 제공하는 정보에 기반해 공격의 존재와 활동 여부를 정확하게 파악함으로써 기업의 보안성을 유지할 수 있는 최선의 의사결정을 내리기 위해서다.   빅데이터 로그분석 기반 보안관제…방대한 보안 데이터를 보다 빠르게 연관 분석 최근 빅데이터가 IT분야의 주요 화두로 떠오르고 있다. 빅데이터는 기존의 데이터 관리 방법과 도구로는 수집, 저장, 분석이 어려운 대용량의 데이터 집합을 의미한다. 단 1분 동안 200만 건의 구글 검색이 이뤄지고 20만 건의 트윗이 생성될 정도로 기하급수적으로 증가하고 있다. 많은 기업들이 빅데이터로부터 의미 있는 가치를 추출하고자 활용에 박차를 가하고 있으며, 보안업계 역시 예외는 아니다. 방대한 보안 데이터를 보다 빠르고 정확하게 연계 분석하기 위해 빅데이터 분석 기술을 적극 받아들이고 있다.   보안 관리자가 보다 정확한 판단을 내리기 위해서는 다양한 보안 장비에서 실시간 수집되는 보안 데이터는 물론, 장기간 저장된 과거의 데이터와 최신 외부 위협 데이터를 연계해 분석할 필요가 있다. 하지만 현실적으로 사람이 많은 데이터를 수동적으로 분석하는 것은 불가능에 가까운 만큼, ESM 기반의 보안관제에서 한 단계 발전된 빅데이터 로그분석 기반으로 보안관제의 패러다임이 변화하게 됐다.   빅데이터 로그분석 기반 보안관제는 보다 빠르고 정확한 보안 데이터 연계 분석 수행을 위해 분산 기반의 데이터 저장 및 처리 기술을 활용한다. 병렬 컴퓨팅에 기반해 이기종의 보안 장비에서 생성되는 보안 데이터, 기업의 IT시스템 자산 정보 및 취약점 정보를 연계 분석함으로써 위협 및 이상 행위를 예측해내는 형태다. 또한, 침해사고 발생 시에도 공격 유입 경로, 공격 범위, 피해 상황 등을 종합적으로 빠르게 검색 및 분석함으로써, 공격의 연결고리를 끊는 능동적인 사고 대처를 할 수 있게 된다.  

     ▲ 빅데이터 기반의 고속파일 DB를 통한 효율적인 로그 분석 예시 (출처: 이글루시큐리티 SPiDER TM)

인공지능(AI)과 보안관제…인공지능 기술에 기반한 보안 인텔리전스 창출 최근 업계를 불문하고 가장 많은 사람들의 관심을 끌고 있는 이슈 중 하나로 단연 ‘인공지능’을 꼽을 수 있을 것이다. 바둑천재 이세돌 9단에게 압승을 거둔 인공지능 바둑 프로그램 ‘알파고’와 인공지능에 기반한 자율주행 자동차 기술, 방대한 양의 환자 정보 분석에 의거해 병명을 진단하고 치료법을 제안하는 인공지능 닥터 ‘왓슨’이 대표적인 예이다.   특히, 인공지능의 한 분야인 ‘머신러닝(기계학습)’을 활용하고자 하는 시도가 눈에 띈다. 머신러닝은 컴퓨터가 학습을 통해 인간의 인지, 추론, 학습 능력을 모방, 코드로 정의되지 않은 동작을 실행하고 별도의 개입 없이도 스스로 사고 능력을 지속적으로 발전시킬 수 있게 하는 알고리즘 및 기술을 의미한다.   정보보안 분야에 적용하면 각 기관 및 기업에서 수개월 또는 수년간 축적된 각종 보안 데이터를 토대로 정상적인 상황과 비정상적인 상황을 비(非)지도 학습하게 되고, 이러한 비지도 학습을 통해 각 기관 및 기업은 개별 기관과 기업에 최적화된 공격 탐지 시나리오를 적용하게 된다. 그리고 이러한 공격 탐지 시나리오는 각 기관 및 기업에 최적화된 형태로 다시 지속적인 업데이트를 진행하게 된다.   이에 보안관제 분야에도 머지않아 ‘머신러닝’ 알고리즘이 적극적으로 도입될 것으로 예상되고 있다. ESM과 빅데이터 분석 플랫폼을 통해 오랜 기간 방대한 데이터를 연계 분석해 온 인간의 경험과 지식을 기계가 학습하게 함으로써 모든 보안 데이터를 일일이 들여다봐야 했던 어려움을 해소하고, 알려지지 않은 혹은 기존 패턴을 벗어나는 새로운 유형의 보안 위협을 보다 효율적으로 탐지하기 위함이다.   예를 들어 머신러닝 기반 시스템이 보안관제 전문가의 경험과 지식에 대한 학습을 통해 각종 장비로부터 수집되는 로그를 분석하고 이 중 정상적인 90%의 이벤트를 걸러내게 된다면, 보안관제 전문가는 나머지 10%의 이벤트만 집중적으로 분석함으로써 보안관제의 효율성을 높일 수 있게 될 것이다. 이후 시스템은 보안관제 전문가가 분석한 내용을 다시 학습하는 과정을 되풀이함으로써 차츰 보안관제 전문가의 직관력에 맞먹는, 혹은 이를 뛰어넘는 결과물을 창출해내게 될 것이다.   하지만 머신러닝에 대한 기대에도 불구하고 아직 국내에서는 이렇다할만한 투자와 개발이 이뤄지지 않고 있다. 구글, IBM 등의 글로벌 기업들이 발 빠르게 머신러닝 기술을 보안 분야에 접목시킨 것과 대조적으로 인공지능에 대한 부작용이 논의되고 있는 상황이다. 날로 보안 위협이 지능화되고 또 방대하게 늘어나고 있는 만큼, 이러한 변화에 대한 심도 깊은 논의와 활용 방안 모색이 필요하다고 생각된다.   날로 지능화되는 보안 위협, 보안관제의 미래는? 지금까지 보안관제의 발전 과정에 대해 알아봤다. 네트워크 경계 기반 보안관제는 빅데이터, 클라우드, 모바일, 사물인터넷으로 대변되는 차세대 IT기술의 발전에 발맞춰 수많은 인프라에서 생성되는 정보를 통합적으로 연계 분석하는 ESM 기반 보안관제로 발전했다. 다양한 경로를 통해 은밀하게 침투하고 시간을 들여 기업 내부 시스템을 샅샅이 훑어보다가, 목표로 삼은 특정 정보를 유출시키거나 시스템 및 서비스를 무력화하는 지능화된 공격자에 맞서기 위해서다.   ESM 기반 보안관제는 빅데이터 분석 플랫폼을 갖춘 빅데이터 로그분석 기반 보안관제로 다시 변화를 거듭했다. 보안 관리자들이 한 곳에 통합적으로 수집해 처리하고 연계 분석해야 할 보안 데이터가 날이 갈수록 기하급수적으로 증가하고 있기 때문이다. 보안 관리자들은 빅데이터 로그분석 보안관제 체계에 기반해 매일 수만 건이 넘게 발생하는 대용량의 보안 데이터를 한정된 시간과 예산 내에서 보다 빠르게 분석하게 됐다.   빅데이터 로그분석 기반 보안관제는 머신러닝 기술과의 결합을 통해 또 다른 도약을 앞두고 있다. 머신러닝 알고리즘을 통해 학습한 IT시스템이 방대한 보안 데이터를 자동적으로 처리 및 분석하고 지속적으로 학습하게 만드는 개념이다. 이를 통해 한정된 시간과 자원 투입으로 어려움을 겪고 있는 보안 관리자들의 어려움을 해소하고, 더 나아가 지금까지 발생하지 않았던 새로운 유형의 위협도 선제적으로 탐지하고 대응할 수 있을 것으로 큰 기대를 모으고 있다.   지금까지 경험하지 못했던 정교하고 전략적인 보안 위협의 등장으로 오늘날 기업들은 그 어느 때 보다 위험한 상황에 직면하고 있다. 더 많은 기기와 인프라, 사용자가 인터넷을 통해 연결됨에 따라 기업과 기관, 개개인의 사용자를 노리는 보안 위협은 앞으로 더 증가할 전망이다. 기술 발전의 속도만큼 보안 위협의 종류와 공격 방식이 빠르게 진화하고 있기 때문에, 방대한 보안 데이터를 통합적으로 분석하고 선제적으로 대처할 수 있는 보안관제 체계 구축을 통해 기업의 보안성을 향상시켰으면 하는 바람이다. ​