​        ■ ‘Mirror Chess Problem’을 아시나요?   체스 용어 중 ‘Mirror Chess’라는 말이 있다. 이는 체스 게임을 할 때 상대방의 움직임을 마치 거울처럼 그대로 따라 플레이하는 방식을 의미한다. 상대방을 당황시키거나 상대방의 수를 파악하거나, 또는 초기 수를 놓기 어려울 때 흔히 사용되는 전술이지만 이러한 ‘Mirror Chess’에는 한 가지 치명적인 문제점(Problem)이 존재한다. 계속 뒤따라만 가다 보면 상대를 결코 앞지르지 못하고, 결국엔 패배할 수 밖에 없다는 사실이다. 승리를 위해서는 초반에 ‘Mirror Chess’를 두다가도 어느 정도 게임이 진행된 후에는 반드시 자신의 전략이 필요하다.   이러한 ‘Mirror Chess Problem’의 원리를 보안 분야에 적용하여 생각해보자. 공격자의 행위에 따라 수동적으로 대응을 한다는 것은 결국 질 수밖에 없는 게임을 하고 있는 것이다. 특히나 최근 4차 산업혁명 기반기술로 일컬어지는 인공지능(AI), 클라우드, 사물인터넷(IoT) 등이 보안 업계에 접목되면서 자동화된 대응이 대세를 이루고 있는 만큼, 역이용에 대한 우려의 목소리 또한 끊이지 않는 것도 같은 맥락이다. 공격자의 다양한 행동에 따른 대응을 자동화시키다 보면 공격에 대한 사후적 조치로서의 방어밖에 할 수 없기 때문이다.   그렇다면 과연 보안 전문가들은 공격자와의 싸움에서 이기기 위해 어떠한 대응을 해야 하는 것일까? 사이버 공격이 점차 다양해지고 정교해지고 있는 만큼 보안 전문가들이 염두하고 고려해야 할 것들은 날로 무궁무진해지고 있는 상황이다.  

 

 

< Mirror Chess Problem / 출처: Chess.com > 

    지난 4월 16일부터 20일까지 개최된 RSA Conference 2018은 전세계 정보보안 기업 및 전문가들이 참여하는 세계 최대 규모의 사이버보안 컨퍼런스이다. 매년 미국, 유럽, 아시아, 중동에서 개최되는데 미국 샌프란시스코 컨퍼런스는 그 중 제일 먼저 개최되어 보안 시장의 동향 및 업체들의 방향성을 읽는데 좋은 가이드라인이 되어 준다.   이번 RSA Conference 2018의 슬로건은 ‘Now Matters’로 현재 우리가 직면하고 있는 사이버 위협에 대한 해결방안을 지금 바로 힘 합쳐 모색해야 할 때임을 강조하였다. 이 슬로건의 의미는 지난 2년간의 RSA 키워드와 함께 보면 보다 잘 이해할 수 있는데, 2016년도의 키워드는 ‘100% 보안은 없다’, 2017년은 ‘혼자서 대응하는 것은 불가능하다’ 였다. 때문에 작년 컨퍼런스에서 MS는 디지털 제네바 조약을 이야기하였으며 McAfee에서는 사이버보안 드림팀 등 사이버 연맹의 필요성을 주장했다.   올해는 여기서 한 발짝 더 나아가 당면한 보안 문제를 바로, 그리고 함께 해결하기 위한 움직임을 보였다. 실제 34개의 세계 IT기업들이 모여 ‘사이버보안 기술 협정(Cybersecurity Tech Accord)’에 서명하며 시민과 사회를 사이버 위협으로부터 안전하게 보호하기 위한 힘을 모으겠다는 의지를 더욱 강조한 것이다. 이렇게 본다면 올해의 슬로건은 그 어느 때보다 아주 현실적인 동시에 도전적인 키워드라 할 수 있겠다.  

 

 

< RSA Conference 2018 슬로건 및 Word Clouds / 출처: RSA Conference 2018 >

    이에 RSA Conference 2018에서 위협을 대하는 자세 또한 조금 더 현실적이며 적극적인 모습을 보였다. 로힛 가이 RSA 회장은 첫 기조연설에서 최신 기술을 쫓기보다 디지털 위험을 관리하는 비즈니스 중심의 보안 접근 방식에 주력해야 한다 강조했다. 이는 ‘보안’을 대하는 주체가 보안 담당자뿐 아니라 모든 사용자로 확대되어야 하며 적을 제압할 수 있는 완벽한 수단과 방어책은 존재하지 않으니 매일 매일 조금 더 나아지고 조금씩 더 안전해지는 지금을 만드는데 집중해야 한다는 의미이다.    이렇듯 올해 컨퍼런스에서는 지금 당면한 현안들을 해결을 위한 여러 현실적인 방법론들이 제시되었다. 그 중 비중 높게 다뤄졌던 ▷ 위협 인텔리전스(Threat Intelligence) ▷SOC(Security Operation Center) 그리고 ▷AI(Artificial Intelligence)에 대해 보다 자세히 살펴보는 시간을 가져보고자 한다.     ​■ ​지금 필요한 것은 ‘Real Threat Intelligence’이다.   위협 인텔리전스에 대한 관심은 그 어느 때보다 뜨거웠다. 작년 83개 정도의 참가 업체가 위협 인텔리전스를 활용한다고 했다면 올해에는 134개의 업체가 이에 대해 이야기하였다. 위협 인텔리전스의 확보 및 활용 필요성에 대한 공감대가 형성되어 이미 전세계적인 핵심 트렌드로 자리잡은 것이다.   시장조사업체 가트너는 위협 인텔리전스를 기존에 있었거나 새롭게 부상하는 위협에 대해 알려주는 증거 기반의 지식으로서 해당 위협에 대해 반응하는 의사결정에 활용되는 요소라 정의한 바 있다. 이렇듯 위협 인텔리전스라 하면 흔히 위협 정보를 제공해주는 피드를 떠올리기 쉽지만, 위협 인텔리전스 시장은 데이터를 제공하는 Providers, 데이터를 수집저장분류하는 Platform, 관련된 정보를 통해 분석하는 Enrichment, 그리고 SIEM 및 타 보안장비와의 연계를 수행하는 Integration의 4가지로 분류된다.      

<위협 인텔리전스 시장의 분류 / 출처: RSA Conference 2017>

    위협 인텔리전스라는 개념이 처음 등장했을 당시 이뤄졌던 대부분의 논의는 Providers를 통해 수집되는 데이터의 양에 관련된 것이었다. 그러나 웹루트(Webroot)의 최고기술책임자(CTO) 할 로나스는 OSINT, Sandboxs, Crawlers, Honeypot 등 다양한 피드와 검증되지 않은 소스로부터 수집된 무분별한 데이터는 오히려 보안 분석가들에게 업무를 과중시키는 결과를 초래한다고 말하며 OODA(Observe, Orient, Decide, Act) 루프를 통해 최적화되는 과정을 거쳐야 한다고 주장했다. OODA 루프는 관찰하고(Observe), 방향을 설정하고(Orient), 결정하고(Decide), 실행하는(Act) 일련의 프로세스를 칭하는데 이를 통해 수집된 데이터가 제공되고 활용되는 곳에 최적화되면서 단순히 참고할만한 위협 정보 리스트로서의 위협 인텔리전스가 아닌, 실제적 장비에서 수집되고 분석되어 활용할 수 있는 ‘Real Threat Intelligence’로 거듭날 수 있다.   2017년에 비해 위협 인텔리전스 데이터를 수집하고 저장분류하는 Platform 업체들은 큰 발전을 보이고 있다. 클라우드를 통해 수집된 데이터를 효율적으로 저장하고, 머신러닝을 통해 가산화(Scoring) 및 분류의 과정을 거치며 이를 표현하는 대시보드 역시 안정적인 수준에 도달했다. Enrichment 분야는 도메인툴즈(Domaintools), 바이러스토탈(Virustotal), 멀웨어바이트(Malwarebytes) 등 관련 업체들의 지속적인 성장과 RestFul API 등장 등을 통해 더욱더 정확한 분석이 가능하게 되었으며 Integration 전문 업체들은 위협 인텔리전스가 어떻게 활용될 것인가를 보여주며 이전에는 선택 사항이었던 타 보안 솔루션 및 장비와의 연계가 현재는 필수 항목이 될 정도로 실제 적용되어 활용되고 있음을 증명하였다. 이렇듯 어느덧 위협 인텔리전스는 기업의 가치를 높이는 하나의 영역으로 자리잡았으며 이제는 데이터에 대한 양보다는 질과 현재 사이트에 적용 가능한 효율적인 USE CASE 가 필요할 때이다.     ​■ ​SOC (Security Operation Center)는 변하고 있다: 이제는 솔루션이 아닌 서비스를 이야기 한다.   SOC(Security Operation Center)는 사이버상에서 발생하는 이상 현상을 사전에 탐색하고 침해 사고에 대응하는 사람(People), 프로세스(Process), 기술(Technology)로 구성된 센터를 의미한다. 우리나라에서는 보안관제센터, 사이버안전센터, 통합보안관제센터 등 다양한 이름으로 불리고 있다.    

 

< RSA Security Operation Center >

    RSA Conference 2018에서도 RSA SOC를 만나 볼 수 있었는데 이는 컨퍼런스장의 여러 이슈를 사전에 탐지하고 지정된 시간마다 현황 및 대응 방안에 대해 설명해주는 매우 색다른 시도였다. SOC가 운영되는 것도 중요하지만 이제는 여기서 더 나아가 해당 SOC의 현황을 다 함께 공유하고, 관련 담당자와 해결 방안을 찾아나가는 것에 대한 중요성이 한층 높아졌음을 드러낸 사례로 보여진다.   데이브 호그 미국 국가안보국(NSA) 기술책임자 또한 국가간의 사이버 전쟁이 날로 증가하는 추세 속에 이에 따른 대응 방안도 변화해야 한다고 말하며, 실제 수행 가능한 SOC 5가지 원칙을 제시했다.  

1. Establish a defendable perimeter. (방어할 수 있는 경계선을 수립하라.)

2. Ensure visibility across the network. (네트워크 전반에 대한 가시성을 확보하라.)

3. Harden to best practices. (모범 규준을 강화하라.)

4. Use comprehensive threat intelligence and machine learning. (위협 인텔리전스와 머신러닝을 활용하라.)

5. Create a culture of curiosity. (호기심 문화를 만들어라.)

  이러한 원칙들이 특별하고 새로운 진리를 담고 있는 것은 아니지만, 많은 SOC가 운영되면서 초기에 세웠던 나름의 규율을 잊어버리게 되기 때문에 주기적으로 점검하고 체크하는 프로세스가 요구되는 것은 사실이다. 핵심 인프라의 리스크 관리 및 보안 역량을 평가하는 ‘사이버 보안 프레임워크’의 필요성이 부각되는 것도 이 때문인데 미국의 경우, 미 상무부 산하 기관인 국립표준기술연구소(NIST)가 2014년 초 개발한 NIST 사이버 프레임워크를 미 주요 시설에 적극 활용하고 있으며 현재까지도 지속적으로 업그레이드하고 있다. SOC를 바라보는 관점이 SOC를 구성하고 있는 보안 솔루션 및 장비에서 운영자적인 측면의 서비스로 점차 변화하고 있는 것이다.  

 

 

< NSA Cyber Security Threat Operations Center / 출처: RSA Conference 2018 > 

    또한 이번 RSA Conference 2018에서는 공격에 효율적으로 대응하기 위한 조금 더 적극적인 방안도 제시되었는데, 팔로알토의 케리마트레는 SOC 2030을 제시하면서 ‘SOCS ARE BROKEN, LET’S FIX THEM’이라는 자극적인 멘트를 사용하였다. 그리고 그 방안으로 이전 수동적인 대응에서 벗어난 적극적인 ‘Prevention 기반 아키텍처’를 제시하며 현재 탐지(Identify), 완화(Mitigate)가 중시 되는 환경에서 향후에는 조사(Investigate)에 대한 비중을 높여 나가야 한다고 주장했다. 잠재적 위협요인을 능동적으로 탐지해 제거하는 위협 사냥(Threat Hunting)의 개념을 아키텍처에 녹여놓은 것과 유사한 맥락으로 보여지며 공격이 일어난 후 행동을 취하는 것이 아니라 예방적 차원으로 대응하는 SOC가 되어야 한다는 것이다.    

< Prevention-based Architecture / 출처: RSA Conference 2018 > 

    ​■ ​모두가 이야기하고 있다. 이에 대한 해결책으로 완전하지는 않지만, AI 를 말한다.   RSA Conference 2018의 세션발표에 머신러닝 세션이 새롭게 형성될 정도로 이제 보안과 AI는 떼려야 뗄 수 없는 사이가 되었다. 현실적으로는 인간의 손과 발이 많이 요구되는 부분을 보완하는 수준에 불과하며 정보보안 이슈에 대한 본질적인 해결책이 되어주지는 못하지만, 보안 분야 속 AI의 필요성이나 중요성에 대해서는 이미 전세계적인 공감대가 형성 된지 오래이다. 대다수의 보안 기업들은 자원 및 시간의 효율적인 사용을 위해 인공지능을 활용하여 기존의 보안 시스템을 강화시키고 있으며 컨퍼런스 마지막 기조연설로 RSA의 휴 톰슨이 인공지능 분야의 전문가 3인을 초청하여 마무리함으로써 쉽게 식지 않을 AI의 중요성을 다시금 강조하였다.     ​■ ​하인리히 법칙을 통한 대응 단계도 변하고 있다.    미국의 보험회사 직원이었던 허버트 하인리히는 수많은 산업재해 분석을 통해 큰 사고는 우연히, 또는 어느 순간 갑작스럽게 발생하는 것이 아니라 반드시 이를 암시하는 전조 현상이 일어났다는 사실을 발견해냈다. 이를 1:29:300 법칙 또는 하인리히(Heinrich) 법칙이라고 칭하는데, 이 원리는 정보보안 분야에도 적용될 수 있다. 사이버 공격이 한층 정교해지고 그 범위 또한 확대되고 있는 만큼, 1건의 이상 징후를 놓치는 것만으로도 사회기반시설 및 서비스 인프라가 다운되거나 기업의 주요 정보가 유출되는 등의 대형 보안 사고로 이어질 수 있기 때문이다.           그렇기에 과거 보안 전문가들은 기업에서 발생하는 300회의 사소한 징후에 대해 샅샅이 살펴보고 처리하도록 요구되었다. 잠재적인 위험성을 모두 차단하여 작은 사고 조차 일어나지 못하도록 하는 것이 가장 확실한 해결책으로 여겨졌기 때문이다. 하지만 빅데이터 시대에 접어들며 데이터의 양이 폭발적으로 증가하고 관련된 인프라도 크게 늘어나게 되면서, 발생하는 여러 이벤트의 사소한 징후에 모두 대응하는 것은 사실상 불가능한 일이 되었다. 이제는 모든 것을 하나하나 점검하며 양으로 승부하는 것이 아니라 단계별 명확한 역할분담 및 사이트 규모에 맞는 강화 포인트, 목표 등을 확실히 정해 관제의 질로 승부해야 할 때 인 것이다.          보안 위협에 대한 상황은 계속해서 변화하고 있다. 과거의 전망들이 하나 둘 현실화되고 있으며 변화에 대한 대응은 더 이상 늦출 수 없게 되었다. 그 언제보다, 그 무엇보다 지금(Now)이 중요해진 것이다. 그리고 앞서 이야기했듯이 이에 맞춰 보안업계 역시 변화하고 있다. 사이버 위협을 경계에서만 바라보는 것이 아니라 내부에 대한 명확한 식별 및 관리, 위협 인텔리전스를 통한 신속한 공유 등 다각적인 방향에서 살펴보기 시작했고 이 과정에서 불필요한 몸집을 없애는 등 능동적인 자세를 취하고 있다.   서두에서 이야기한 ‘Mirror Chess Problem’이 가장 많이 발생할 수 있는 시점은 지금(Now)이 아닐까? 이번 RSA Conference 2018의 키 메시지를 살펴보면 ‘모든 문제를 한번에 해결할 수 있는 혁신적인 솔루션은 없으며 보안위협에 대응하기 위해 지금 힘을 합쳐 대응해야 한다.’고 말하고 있으니 말이다.   창조적 혁신은 수많은 실패와 노력에 의해 탄생한다. ‘Mirror Chess Problem’을 해결하기 위한 창조적 혁신을 위해 기존 것에 대한 완성도를 높여나가며 현재에 대응하는 것이 결국은 다가올 미래의 위협을 준비하는 가장 현명한 길이 될 것이다.