■ 보안 솔루션, 많으면 많을수록 다다익선(多多益善)?   지난 해 인기리에 방영됐던 tvN 예능 프로그램 ‘알아두면 쓸데없는 신비한 잡학사전’은 분야를 넘나드는 잡학박사들이 국내를 여행하면서 다양한 관점으로 이야기를 전달하는 색다른 시도로 큰 화제가 된 바 있다. ‘잡학사전’이라는 이름에 걸맞게 프로그램에서 다뤄지는 주제는 정치, 과학, 철학, 역사 등 매우 다양했는데 인공지능, 사물인터넷, 빅데이터, 모바일을 기반으로 한 4차 산업혁명 또한 그 중 하나였다. 패널들은 4차 산업혁명이 도래함에 따라 모든 사물의 정보가 데이터화되고 인공지능을 토대로 저비용으로도 고속의 데이터 분석이 가능해지면서 야기되는 인간 노동력의 가치하락에 대해 이야기를 나눴다.   그러나 사실 4차 산업혁명이 수반하는 보다 큰 문제는 데이터화된 사물들의 ‘보안 위협’이다. 다양한 IT인프라 활용에 따라 정보에 대한 접근 방식이 다양해진만큼 공격자가 침투할 수 있는 경로도 한층 더 많아졌기 때문이다. 네트워크 프린터 기기 해킹을 통한 정보유출, 미라이 봇넷을 이용한 DDoS, 스마트 냉장고나 TV를 통한 도청, 라우터를 통한 악성코드 유포 등 멀티벡터 기반의 대규모 보안사고가 꾸준히 증가하면서 데이터화된 사물 정보는 우리가 기존에 경험하지 못했던 새로운 보안 위협으로 대두되고 있다.   이렇듯 빠르게 변화하는 IT환경에서 사이버 공격에 대응하기 위해 보안업체들은 다양한 솔루션을 속속 개발하고 있다. 그리고 기업은 각각의 환경에 맞는 솔루션을 도입하여 사이버공격에 대응하고 있으나 보안 솔루션의 역량과 한계에 대한 적절한 이해 없이 구색 맞추기 식 도입을 하거나 비슷한 형태의 솔루션을 도입하는 것은 오히려 대응 프로세스의 복잡성만 심화시키는 역효과를 초래하기 마련이다. 이에 다양한 보안 솔루션 적용으로 인해 발생되는 문제점을 도출해보고 직면한 보안 위협에 보다 효율적으로 대응할 수 있는 방안에 대해 살펴보는 시간을 가져보고자 한다.     ■ 보안 오케스트레이션과 자동화의 등장   기업은 보안 위협으로부터 기업의 소중한 정보자산 및 인프라를 보호하기 위해 실시간 감시 및 분석, 대응이 가능한 보안관제센터(Security Operation Center, SOC)를 구축하고 보안 솔루션을 도입하며 정보보안 인프라의 유지 및 관리를 위한 보안관제서비스(MSS)를 이용하고 있다.   그러나 최근 APT공격의 증가로 인해 타깃형 공격이나 파워셸, DDE(Dynamic Data Exchange)등 시그니처 기반의 탐지 방식에서 탐지하기 어려운 공격벡터가 증가하면서 새로운 탐지 방식이 필요하게 되었다. 또 기존의 네트워크나 엔드포인트 솔루션에서 주로 사용하던 시그니처 기반의 탐지방식 이외에 사용자 행위 분석(UBA)을 위한 엔드포인트 탐지 및 대응(EDR)기술이 각광받으면서 보안관제서비스 영역에서 모니터링 해야 하는 범위가 일반 사용자 단말부터 네트워크까지 확대되었다.   모니터링 대상의 증가는 다수의 보안 솔루션에서 탐지되는 탐지 이벤트의 증가로 이어졌다. 여기서 탐지 이벤트는 △실제 공격을 탐지하는 정탐, △ 정상 트래픽을 공격으로 오인하여 차단하는 오탐이 결합된 것을 의미하기 때문에 탐지 이벤트의 증가는 관제요원이 수동으로 정탐과 오탐을 구분하여 처리하는 시간이 증가하는 것을 의미하게 된다.   따라서 급변하는 보안 환경 속에서 보안관제센터(SOC)를 효율적으로 운영하기 위해서는 적절한 탐지 및 대응 관리(Managed Detection and Response, MDR)가 요구된다. 단순 모니터링 중심이었던 전통적인 보안관제서비스를 넘어 실시간으로 대응 및 조치를 수행하며 얼마나 빨리 공격을 탐지하고 대응하느냐에 중심을 둔 MDR 보안관제서비스의 필요성이 높아진 것이다. 그리고 신속한 탐지 및 대응을 위해서는 결국 사람, 프로세스, 기술의 3가지 요소가 잘 맞물려야 하며 이를 어떻게 운영하는가에 따라 서로 다른 결과가 도출될 수 있다.    

< 사람, 프로세스, 기술의 관계 >

      사람, 프로세스, 기술의 교차점이자 목표인 위협 인텔리전스를 향상시키기 위해 데이터를 수집하고 표준화를 통해 소모적인 작업의 자동화로 평균 해결 시간(MTTP)을 개선할 수 있는 프로세스나 플랫폼을 보안 오케스트레이션과 자동화(Security Orchestration and Automation, 이하 SOA)라고 부른다.   위키피디아에 따르면, 오케스트레이션을 ‘제어 이론 요소를 활용한 자동화 과정 또는 시스템에 나타날 수 있는 효과(Orchestration is largely the effect of automation or systems deploying elements of control theory)’라고 정의하고 있다. 즉, SOA는 보안에 오케스트레이션 개념을 접목시키면서 보안 프로세스의 자동화를 반영한 표현인 것이다. 앞서 언급했듯이 최근의 보안이 빠른 탐지와 대응에 초점을 맞추고 있는 만큼, 보안의 세부 기능들을 종합하여 표준화해 체계적으로 관리하고 자동화함으로써 효율성을 높여주는 SOA는 오늘날 직면한 보안 위협을 대응하기 위한 가장 효과적인 대안으로 떠오르고 있다.   SOA의 개념에 대해 살펴보다 보면, 기존의 통합보안관제솔루션인 SIEM과 다소 유사하다고 느껴질 수 있다. 그러나 2015년 가트너에서 발간한 ‘보안 운영, 분석 및 리포팅을 위한 혁신적인 기술 인사이트’보고서의 ‘보안 운영, 분석 및 리포팅 스택’을 보면 이 둘의 차이점을 명확하게 구분할 수 있다.   

 

 

< 보안 운영, 분석 및 보고 스택 / 출처: 가트너(Gartner) >

    일반적으로 SIEM이 빅데이터 수준의 데이터를 심층 분석하고 그 결과를 토대로 한 탐지를 수행하는 것이라고 한다면, SOA는 정책, 프로세스, 플레이북 등을 토대로 보안 프로세스의 절차를 개선하고 자동으로 수행하는 작업을 의미한다.   예를 들어 최근 한 달간 발생한 스캐닝 공격의 결과를 조회하려는 경우, SIEM에서는 검색 날짜를 한 달로 설정하고 스캐닝에 해당하는 공격 패턴을 선택하여 조회하는 과정을 거친다. 이 과정에서 내부적으로는 조회를 위한 쿼리가 동작하여 결과를 출력하게 된다. 반면 동일한 업무를 SOA관점에서는 다음과 같이 설명할 수 있다. 조회하고자 하는 기간, 스캐닝이라는 공격을 인지할 수 있는 보안 솔루션의 목록, 보안 솔루션에서 확인할 수 있는 정보, 도출된 정보를 바탕으로 결과물 확인 방법, 결과물을 토대로 한 대응 방안 등 특정 기간 동안 특정 공격에 관련된 조회 및 결과 도출에 대한 전반적인 절차를 프로세스화시킴으로써 자동화하는 것이다.      

< 보안 성숙도 모델 / 출처: 트러스트웨이브(Trustwave) >

    그렇기 때문에 보안 오케스트레이션의 범위는 다음과 같다. 로그와 이벤트 기반의 전통적인 보안관제서비스에서는 단일 장비의 로그를 관리하고 수집, 모니터링하여 자동으로 경보를 발생시키는 것이 전부였던 반해 MDR 보안관제서비스는 엔드포인트 기반의 데이터와 네트워크 기반의 데이터 수집을 통해 사용자의 행위를 분석할 수 있게 되었고 더 나아가 위협 사냥이 가능해졌다. 보다 넓은 범위의 데이터 수집을 기반으로 보안 오케스트레이션 영역이 생겨나게 된 것이다.     ■ 보안 오케스트레이션과 자동화 활용 사례   보안관제에 SOA를 활용하면, 보안 위협 분석의 자동화를 통한 관제 프로세스 내재화로 관제 역량의 향상, 방어 체계의 강화, 침해사고 대응능력 강화 등의 효과를 얻을 수 있다. SOA를 활용한 보안관제서비스의 자동화 및 효율성을 제고시킬 수 있는 세부 방안에 대해 함께 살펴보도록 하자.   SOA를 구성하기 위해서는 대시보드, 플레이북, 침해대응, 리포팅 등이 필요로 하게 된다. 그리고 그 가운데 가장 중요한 요소로 플레이북을 꼽을 수 있는데 여기서 말하는 플레이북이란 활용 사례, 순서도, 자동화, 과제 등으로 간단히 말하면 업무에 대한 프로세스 정리서라고 할 수 있다. 특정 사건이 발생했을 때를 가정하고 이에 대한 행동 수칙이나 수행 과제, 프로세스를 사전에 정리한 대응 가이드를 의미한다.   침해대응 과정에 SOA를 적용하기 위해 플레이북을 구성한 사례와 그 방법을 소개하고자 한다. 이글루시큐리티는 NIST의 ‘사이버시큐리티 프레임워크’를 차용하여 식별, 보호, 탐지, 대응, 복구의 5단계로 분류되는 보안관제센터(SOC)관점의 ‘사이버시큐리티 프레임워크’에 기반한 침해대응서비스를 제공하고 있다.  

  

 

< 이글루 사이버시큐리티 프레임워크 >

    5단계의 ‘사이버시큐리티 프레임워크’를 SOA에 적용하기 위해서는 카테고리 별로 상세 업무 프로세스를 업무 흐름도 형식으로 도식화하는 과정이 필요하다. IACD(Integrated Adaptive Cyber Defense)에서는 입력 데이터에 의해 하나 이상의 이벤트로 인해 촉발되는 하나 이상의 동작을 설명하는 규칙의 집합으로 플레이북을 정의하고 있다.   플레이북의 구성요소로 △ 시작조건, △ 프로세스 단계, △ 모범사례 및 개별정책, △ 최종 상태, △ 거버넌스 및 규제요구사항 관련을 들 수 있는데, 이와 같은 구성요소를 모두 포함하여 보안관제센터(SOC)운영 시에 탐지 이벤트가 발생하였을 경우 침해여부를 인지하고 처리하는 과정을 플레이북으로 구성해보도록 하자.  

 

 

< 침해사고 대응 프로세스를 포함한 보안관제 모니터링 >

    먼저 침해사고 대응은 다음의 7단계 프로세스(△ 보안관제 모니터링, 위협 인텔리전스, 침해사고 대응, 위협 헌팅을 통한 이벤트 탐지, △ 이벤트 위험도 산정, △ 침해대응 프로세스로 전달, △ 침해사고 분석 및 대응, △ 개선방안 수립, △ 상황전파, △ 보고서 작성)로 분류할 수 있다. 그리고 플레이북의 요소 관점에서 ‘침해사고 분석 및 대응’단계를 공격 유형별로 세분화할 필요가 있는데 이는 ‘Incident response playbooks contest’에 제출된 아이디어 중 IOC지표를 활용하여 피싱 메일을 탐지할 수 있도록 한 우승 사례를 바탕으로 이야기해보고자 한다.  

  

 < 피싱 플레이북 by nihalpasham / 출처: Secopshub >

    기본적인 구성은 <이미지5>에서와 같이 피싱 메일 탐지를 위한 전체 프로세스에 대하여 단계화를 거치는 작업이다. 그러나 여기서 강조되어야 하는 점은 각 단계에서 해당 업무를 수행해야 하는 프로그램(안티-바이러스, 방화벽, IDS/IPS, 웹방화벽, EDR등)의 수행 업무에 대해서도 상세히 명시되어야 한다는 것이다. ‘Incident response playbooks contest’에 닉네임 ‘nihalpasham’이 제출한 피싱 플레이북을 보면 동작 단계를 크게 3가지(△1단계: 이벤트 내에 파일 해쉬 값이 존재하는지 확인, △2단계: 파일 해쉬 값을 바이러스토털, 쓰렛익스퍼트 등의 평판조회 정보와 비교, △3단계: 조회결과가 있는 경우 결과 통보 또는 조회결과가 없는 경우 샌드박스 기반의 분석 수행 후 결과 통보)로 분류하였으며 각 단계별로 수행되어야 하는 업무들 역시 세세하게 기재하였다.     ■ SOC에서 효율적인 SOA를 사용하기 위해서는?   미국의 전설적인 해커이자 보안 컨설턴트인 케빈 미트닉(Kevin Mitnick)은 ‘보안은 상품이 아니다. 그것은 사람, 정책 그리고 기술로 구성된다(Security is not a product, consists of policies, people and technology)’라고 말했다. 이는 보안위협 대응 프로세스를 구축하는데 있어 솔루션은 보조하는 역할에 지나지 않으며 실질적으로 탐지하고 대응수준을 결정하는 것은 보안관제를 운영하고 있는 보안 전문가의 지식과 기술력에 기반한다는 것을 시사한다.   보안관제센터(SOC)에 보안 오케스트레이션을 적용시키고자 할 때 역시 마찬가지다. 효율적인 SOA활용을 위해서는 기업의 비즈니스 분석, 적용되어 있는 보안 솔루션 목록 및 기능, 운영 프로세스 등의 현행화가 선행되어야 하며 이를 토대로 자동화된 탐지 및 대응 프로세스 적용이 가능하다. 결국 보다 신속한 대응을 위하여 보안관제 서비스 행위 자체는 자동화할 수 있지만 그것과 관련된 수많은 결정은 여전히 보안 전문가의 몫이라는 사실을 잊지 않았으면 하는 바램이다.