지금으로부터 약 1년 전 시작된 코로나19(COVID-19)의 여파로, 전 세계는 예상치 못한 위험에 빠졌다. 세계를 강타한 이 원인 불명의 바이러스는 개인, 기업, 국가를 불문하고 사회 전체에 영향을 주었으며 많은 변화를 야기했다. 특히 개인위생 관리를 위한 마스크 착용이 의무화되었고, 전염 및 확산 방지를 위해 생활 속에서의 모임 최소화 등 사회적 거리 두기가 일상화됐다. 그뿐만 아니라 업무 환경에서도 인원 밀집을 최소화하기 위해 비대면 근무가 적극 권고되었으며 이에 따라 재택근무, 원격 지원 등 비대면 업무 환경으로의 전환이 가속화되었다.   이렇듯 직면하게 된 갑작스러운 사회 변화는 정보 보안 담당자들로 하여금 새로운 도전에 마주하도록 했다. 대표적으로 비대면 업무 환경이 보편화됨에 따라 이에 맞는 솔루션 도입과 보안 정책의 수립, 그리고 취약점 조치 등 변화된 환경에 발맞춘 통합보안관제체계를 새로이 수립해야 하는 계기를 던져주었다. 이에 코로나19가 야기한 변화를 정보 보안 관점에서 살펴보고, 앞으로의 언택트 근무 시대에 맞는 통합보안관제체계에 대해 논의하는 시간을 가져보고자 한다.    

[그림 1] WHO Covid-19 대시보드 (출처: WHO)

    01. 언택트 시대에 맞춰 변화하는 보안체계   코로나19 이전의 보안관제체계는 기본적으로 내가 가지고 있는 자산을 목록화하고, 그에 따른 네트워크 시스템과 보안 시스템을 구축하여 구역을 정하고, 중요 자산에 대해서는 그에 맞는 호스트 보안 시스템을 구축해 각 자산 성격에 알맞은 대응을 해나가는 것이 가장 일반적인 모델이었다. 그러나 코로나19라는 특수한 상황을 계기로 업무 환경이 크게 변화하면서 외부에서 내부로의 인바운드(inbound) 관제와 내부에서 외부로의 아웃바운드(outbound) 관제의 접근 방법이 달라지게 되었다.   그 대표적인 예로 업종을 불문하고 재택근무가 확대되면서 오늘날 가상사설망(VPN)이 필수 보안 솔루션으로 자리 잡게 되었다. 그리고 VPN은 외부에서도 회사 내부 인트라넷이나 데이터베이스 등에 접근 가능하도록 하기 때문에, VPN을 통한 인바운드(inbound) 트래픽의 24시간 모니터링은 언택트 시대의 통합보안관제체계에서 필수불가결한 요소가 되었다.  

  

[그림 2] 이글루시큐리티 SPiDER TM V5.0 VPN 통합 대시보드

  더불어 정보 보안 담당자들은 재택근무와 원격 지원 업무에 맞는 보안 솔루션을 새로이 도입해야 하고 모호해진 내외부 경계에 대한 보안을 보다 철저히 하기 위해 SIEM과 같은 빅데이터 기반 통합보안관제시스템으로 모니터링, 경보 설정, 분석, 대응 등의 관제 업무를 한층 강화하여 수행해야 할 필요가 생겼다. 또 장비별 이상 행위를 통합적으로 모니터링할 수 있는 SIEM 맟춤형 통합대시보드 등을 활용하여 내외부 사용자의 이상 징후를 그룹화해 분석하는 등 종합적인 분석도 요구된다.         한편 과학기술정보통신부는 ‘2020년 재택근무 시 지켜야 할 정보보호 6대 실천 수칙’을 발표하고 각 사용자 및 보안 관리자에게 언택트 근무 환경에 맞는 실천 사항들을 권고한 바 있다. 코로나19가 장기화됨에 따라 각 기업 및 기관의 보안 담당자들은 반드시 준수해야 할 기본 사항들을 다시 한번 확인하고, 이를 지원하는 보안 솔루션을 갖추고 있는지 점검해야 할 것이다.  

  

[그림 4] 재택·원격근무 시 지켜야 할 정보보호 수칙 (출처: 과학기술정보통신부)

    다시 말해 코로나19로 인해 촉발된 언택트 시대는, 조직 내부를 신뢰할 수 있는 공간으로 조직 외부는 신뢰할 수 없는 공간으로 구분하는 경계형 보안의 한계를 실감케해준 것과 동시에 제로 트러스트(Zero Trust)라는 새로운 보안 전략으로의 전환 필요성을 다시금 부각시키는 계기가 되어주었다. 제로 트러스트 전략은 모든 접근이 잠재적 보안 위협이라는 것, 결국 아무도 신뢰해서는 안 된다는 것을 기본 전제로 한다. 접근 및 제어에서부터 보안 정책까지, 이제는 내부와 외부를 따로 구분하지 않고 데이터를 중심으로 모든 사용자를 의심하고 검증해나가야 한다.     02. 언택트 시대와 인공지능(AI)   인공지능(AI)이 보안업계의 화두로 부상한지는 많은 시간이 흘렀지만, 언택트 시대 그리고 제로 트러스트 기반의 보안체계 구축을 위한 주요 요소 중 하나로 그 중요도는 더욱 강조될 것으로 보인다.   보편적으로 오늘날 보안업계 속 인공지능 기술은 알고리즘을 바탕으로 한 지도학습 예측이나 비지도 학습 예측 등으로 관제 업무에 적용돼 활용되는 모습을 보이고 있다. 다시 말해 데이터 분석 전문가에 의해 레이블 된 데이터로 공격 유형이나 공격 요인 등을 사전에 학습해 이벤트의 예측이 가능하도록 하거나, 사전 레이블 된 데이터 없이 학습 데이터의 숨겨진 구조 및 특징을 발견해내는 비지도 학습으로 심각한 위협으로 발전할 수 있는 변칙 활동과 이상 행위를 탐지해내는데 활용된다.   빅데이터 기반의 SIEM이 수집할 수 있는 모든 데이터의 저장 및 검색, 분석에 초점을 맞추고 있다면 인공지능을 활용한 보안관제는 조금 더 정밀하게 적용 범위를 정하고 그에 맞는 지도학습 또는 비지도 학습 알고리즘을 적용하는 것이 핵심이라 할 수 있다.   예를 들어 인공지능 기술의 적용 범위가 홈페이지 해킹과 같은 외부 서비스 구간 대상의 외부 위협이라면 IPS, WAF와 같은 룰 기반 탐지형 이벤트를 기준으로 데이터 분석 전문가의 사전 레이블 된 데이터를 학습시켜 공격의 예측 정확도를 높이는 지도 학습 알고리즘을 1차적으로 활용해볼 수 있다. 그리고 이와 더불어 방화벽 로그와 같은 네트워크 접속 이벤트와 웹 접속 로그와 같은 홈페이지 접속 이벤트에는 비지도 학습 알고리즘을 적용해 기계적으로 인식하는 이상 행위를 찾아 위협 여부를 검증하는 방안 또한 실현 가능하다.   더욱이 최근에는 재택근무를 통한 VPN 접속 이벤트나 내부 중요 정보의 외부 유출 등 변화된 업무 환경으로 인해 야기되는 새로운 보안 위협들도 인공지능 기술 적용 범위로 점차 확대되는 추세를 보이고 있다. 내부 중요 정보 유출 관련 DRM, NAC, 개인정보탐지 등의 이벤트에는 지도학습 알고리즘을 적용하여 오탐률을 낮추고 VPN 접속 이벤트, 망간 자료 전송 시스템 이벤트, 메일 전송 이벤트 등에는 비지도 학습 알고리즘을 적용하여 미탐의 발생을 줄여나간다면, 언택트 근무 시대에 알맞은 통합보안관제체계를 갖춰나갈 수 있을 것이다.    

[그림 5] 이글루시큐리티 AI & SOAR를 활용한 대응 아키텍쳐

    03. 변화하는 환경에 따라 보안도 달라져야 한다   코로나19 팬데믹 상황으로 디지털 전환이 가속화되고 있다. 오프라인으로 진행되던 업무들이 온라인을 통해 이루어지게 되었고, 이에 보다 복잡해진 IT 환경 속에 그 빈틈을 노리는 새로운 사이버 공격이 등장하게 되는 것은 어떻게 보면 지극히 예정된 수순이나 다름없었다. 그리고 현 사태가 종식된 이후에도 세계는 이전 환경으로 돌아가지 않을 것이라는 게 많은 전문가들의 공통된 의견임에 따라, 우리는 변화한 환경에 발맞춘 새로운 보안 전략에 대해 고민해야 할 필요가 생겼다.   그리고 그 해답은 앞으로의 인공지능에 달려있다고 예상된다. 특히 인공지능 알고리즘 기반의 지도학습 결과와 비지도 학습 결과를 SIEM의 수집 이벤트와 상관 분석함으로써 보다 종합적인 예측 데이터를 얻을 수 있고, 더 나아가 SOAR를 통한 보안관제 자동화에도 인공지능이 큰 역할을 하게 될 것으로 예상된다. 다시 말해 보안업계 속 인공지능 기술은, 초반 제한적이었던 적용 범위를 넘어서 점차 영역이 확대되고 있다. 이에 따라 예측 결과도 한층 정확해지면서 새로운 환경에 맞는 통합보안관제를 위한 필수적인 기술로 자리매김할 것으로 기대된다.