보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
RSA Conference 2018을 통해 본 위협의 변화 – 현 보안에서 가장 중요한 것은 ‘Now’ 이다.
2018.06.27
6,399
< Mirror Chess Problem / 출처: Chess.com >
< RSA Conference 2018 슬로건 및 Word Clouds / 출처: RSA Conference 2018 >
이에 RSA Conference 2018에서 위협을 대하는 자세 또한 조금 더 현실적이며 적극적인 모습을 보였다. 로힛 가이 RSA 회장은 첫 기조연설에서 최신 기술을 쫓기보다 디지털 위험을 관리하는 비즈니스 중심의 보안 접근 방식에 주력해야 한다 강조했다. 이는 ‘보안’을 대하는 주체가 보안 담당자뿐 아니라 모든 사용자로 확대되어야 하며 적을 제압할 수 있는 완벽한 수단과 방어책은 존재하지 않으니 매일 매일 조금 더 나아지고 조금씩 더 안전해지는 지금을 만드는데 집중해야 한다는 의미이다. 이렇듯 올해 컨퍼런스에서는 지금 당면한 현안들을 해결을 위한 여러 현실적인 방법론들이 제시되었다. 그 중 비중 높게 다뤄졌던 ▷ 위협 인텔리전스(Threat Intelligence) ▷SOC(Security Operation Center) 그리고 ▷AI(Artificial Intelligence)에 대해 보다 자세히 살펴보는 시간을 가져보고자 한다. ■ 지금 필요한 것은 ‘Real Threat Intelligence’이다. 위협 인텔리전스에 대한 관심은 그 어느 때보다 뜨거웠다. 작년 83개 정도의 참가 업체가 위협 인텔리전스를 활용한다고 했다면 올해에는 134개의 업체가 이에 대해 이야기하였다. 위협 인텔리전스의 확보 및 활용 필요성에 대한 공감대가 형성되어 이미 전세계적인 핵심 트렌드로 자리잡은 것이다. 시장조사업체 가트너는 위협 인텔리전스를 기존에 있었거나 새롭게 부상하는 위협에 대해 알려주는 증거 기반의 지식으로서 해당 위협에 대해 반응하는 의사결정에 활용되는 요소라 정의한 바 있다. 이렇듯 위협 인텔리전스라 하면 흔히 위협 정보를 제공해주는 피드를 떠올리기 쉽지만, 위협 인텔리전스 시장은 데이터를 제공하는 Providers, 데이터를 수집저장분류하는 Platform, 관련된 정보를 통해 분석하는 Enrichment, 그리고 SIEM 및 타 보안장비와의 연계를 수행하는 Integration의 4가지로 분류된다.<위협 인텔리전스 시장의 분류 / 출처: RSA Conference 2017>
위협 인텔리전스라는 개념이 처음 등장했을 당시 이뤄졌던 대부분의 논의는 Providers를 통해 수집되는 데이터의 양에 관련된 것이었다. 그러나 웹루트(Webroot)의 최고기술책임자(CTO) 할 로나스는 OSINT, Sandboxs, Crawlers, Honeypot 등 다양한 피드와 검증되지 않은 소스로부터 수집된 무분별한 데이터는 오히려 보안 분석가들에게 업무를 과중시키는 결과를 초래한다고 말하며 OODA(Observe, Orient, Decide, Act) 루프를 통해 최적화되는 과정을 거쳐야 한다고 주장했다. OODA 루프는 관찰하고(Observe), 방향을 설정하고(Orient), 결정하고(Decide), 실행하는(Act) 일련의 프로세스를 칭하는데 이를 통해 수집된 데이터가 제공되고 활용되는 곳에 최적화되면서 단순히 참고할만한 위협 정보 리스트로서의 위협 인텔리전스가 아닌, 실제적 장비에서 수집되고 분석되어 활용할 수 있는 ‘Real Threat Intelligence’로 거듭날 수 있다. 2017년에 비해 위협 인텔리전스 데이터를 수집하고 저장분류하는 Platform 업체들은 큰 발전을 보이고 있다. 클라우드를 통해 수집된 데이터를 효율적으로 저장하고, 머신러닝을 통해 가산화(Scoring) 및 분류의 과정을 거치며 이를 표현하는 대시보드 역시 안정적인 수준에 도달했다. Enrichment 분야는 도메인툴즈(Domaintools), 바이러스토탈(Virustotal), 멀웨어바이트(Malwarebytes) 등 관련 업체들의 지속적인 성장과 RestFul API 등장 등을 통해 더욱더 정확한 분석이 가능하게 되었으며 Integration 전문 업체들은 위협 인텔리전스가 어떻게 활용될 것인가를 보여주며 이전에는 선택 사항이었던 타 보안 솔루션 및 장비와의 연계가 현재는 필수 항목이 될 정도로 실제 적용되어 활용되고 있음을 증명하였다. 이렇듯 어느덧 위협 인텔리전스는 기업의 가치를 높이는 하나의 영역으로 자리잡았으며 이제는 데이터에 대한 양보다는 질과 현재 사이트에 적용 가능한 효율적인 USE CASE 가 필요할 때이다. ■ SOC (Security Operation Center)는 변하고 있다: 이제는 솔루션이 아닌 서비스를 이야기 한다. SOC(Security Operation Center)는 사이버상에서 발생하는 이상 현상을 사전에 탐색하고 침해 사고에 대응하는 사람(People), 프로세스(Process), 기술(Technology)로 구성된 센터를 의미한다. 우리나라에서는 보안관제센터, 사이버안전센터, 통합보안관제센터 등 다양한 이름으로 불리고 있다.
< RSA Security Operation Center >
RSA Conference 2018에서도 RSA SOC를 만나 볼 수 있었는데 이는 컨퍼런스장의 여러 이슈를 사전에 탐지하고 지정된 시간마다 현황 및 대응 방안에 대해 설명해주는 매우 색다른 시도였다. SOC가 운영되는 것도 중요하지만 이제는 여기서 더 나아가 해당 SOC의 현황을 다 함께 공유하고, 관련 담당자와 해결 방안을 찾아나가는 것에 대한 중요성이 한층 높아졌음을 드러낸 사례로 보여진다. 데이브 호그 미국 국가안보국(NSA) 기술책임자 또한 국가간의 사이버 전쟁이 날로 증가하는 추세 속에 이에 따른 대응 방안도 변화해야 한다고 말하며, 실제 수행 가능한 SOC 5가지 원칙을 제시했다.1. Establish a defendable perimeter. (방어할 수 있는 경계선을 수립하라.)
2. Ensure visibility across the network. (네트워크 전반에 대한 가시성을 확보하라.)
3. Harden to best practices. (모범 규준을 강화하라.)
4. Use comprehensive threat intelligence and machine learning. (위협 인텔리전스와 머신러닝을 활용하라.)
5. Create a culture of curiosity. (호기심 문화를 만들어라.)
이러한 원칙들이 특별하고 새로운 진리를 담고 있는 것은 아니지만, 많은 SOC가 운영되면서 초기에 세웠던 나름의 규율을 잊어버리게 되기 때문에 주기적으로 점검하고 체크하는 프로세스가 요구되는 것은 사실이다. 핵심 인프라의 리스크 관리 및 보안 역량을 평가하는 ‘사이버 보안 프레임워크’의 필요성이 부각되는 것도 이 때문인데 미국의 경우, 미 상무부 산하 기관인 국립표준기술연구소(NIST)가 2014년 초 개발한 NIST 사이버 프레임워크를 미 주요 시설에 적극 활용하고 있으며 현재까지도 지속적으로 업그레이드하고 있다. SOC를 바라보는 관점이 SOC를 구성하고 있는 보안 솔루션 및 장비에서 운영자적인 측면의 서비스로 점차 변화하고 있는 것이다.
< NSA Cyber Security Threat Operations Center / 출처: RSA Conference 2018 >
< Prevention-based Architecture / 출처: RSA Conference 2018 >
■ 모두가 이야기하고 있다. 이에 대한 해결책으로 완전하지는 않지만, AI 를 말한다. RSA Conference 2018의 세션발표에 머신러닝 세션이 새롭게 형성될 정도로 이제 보안과 AI는 떼려야 뗄 수 없는 사이가 되었다. 현실적으로는 인간의 손과 발이 많이 요구되는 부분을 보완하는 수준에 불과하며 정보보안 이슈에 대한 본질적인 해결책이 되어주지는 못하지만, 보안 분야 속 AI의 필요성이나 중요성에 대해서는 이미 전세계적인 공감대가 형성 된지 오래이다. 대다수의 보안 기업들은 자원 및 시간의 효율적인 사용을 위해 인공지능을 활용하여 기존의 보안 시스템을 강화시키고 있으며 컨퍼런스 마지막 기조연설로 RSA의 휴 톰슨이 인공지능 분야의 전문가 3인을 초청하여 마무리함으로써 쉽게 식지 않을 AI의 중요성을 다시금 강조하였다. ■ 하인리히 법칙을 통한 대응 단계도 변하고 있다. 미국의 보험회사 직원이었던 허버트 하인리히는 수많은 산업재해 분석을 통해 큰 사고는 우연히, 또는 어느 순간 갑작스럽게 발생하는 것이 아니라 반드시 이를 암시하는 전조 현상이 일어났다는 사실을 발견해냈다. 이를 1:29:300 법칙 또는 하인리히(Heinrich) 법칙이라고 칭하는데, 이 원리는 정보보안 분야에도 적용될 수 있다. 사이버 공격이 한층 정교해지고 그 범위 또한 확대되고 있는 만큼, 1건의 이상 징후를 놓치는 것만으로도 사회기반시설 및 서비스 인프라가 다운되거나 기업의 주요 정보가 유출되는 등의 대형 보안 사고로 이어질 수 있기 때문이다.