보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[8월 설문] 팔로알토의 CSO, “사전예방이 맞다”

입력 : 2015-08-29 13:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

사후대처 위주의 보안이란 방어를 포기한 것이나 다름없어

공격 수없이 일어나지만 시나리오는 비교적 한정되어 있어

사전예방이든 사후대처든, 첩보의 공유는 반드시 필요


[보안뉴스 문가용] 햄릿이 현대에 태어나 컴공을 전공해 지금 한창 정보보안 업계에서 뛰고 있는 현역이라면 아마 이런 말을 트위터 같은 곳에 남겼을 것이다. “사전예방이냐 사후대처냐 그것이 문제로다.” 그의 이런 고뇌가 보안업계 인사들의 트윗을 돌고 돌아 팔로알토의 CSO인 릭 하워드(Rick Howard)의 SNS에 도착했다고 가정해보자. 그러면 그는 망설이지 않고 리트윗을 날렸을 것이다. “당연히 사전예방이죠. 사전예방은 얼마든지 가능합니다.”

 

▲ 사후대처가 불가능한 공격이 있다. 어쩌면 대부분일지도 모른다.


지난 26일 팔로알토 네트웍스 행사에 맞춰 방한한 릭 하워드 CSO는 행사장에서 일말의 흔들림도 없이 사전예방을 보안이 가야할 참 길이라고 못을 박았다. “실제 저희는 공격의 95%를 성공적으로 막아냅니다.” 그러나 이 수치가 정확한 사실이라고 하더라도 나머지 5%의 침투는 결국 발생한다는 뜻 아닌가. 그렇다면 그의 자신감 있는 발언은 사실 사후대처가 보다 안전한 선택이라고 말하고 있는 건 아닐는지. “물론 둘 중에 하나만을 극단적으로 선택해야 한다는 건 아닙니다. 둘은 반드시 공존해야 합니다. 다만 사후대처를 위주로 했을 때 더 불안전하다 걸 강조하고 싶은 거죠.”


사후대처가 더 불안전하다? “피해의 최소화(mitigation)를 위주로 방어 전략을 꾸민다는 건 침입을 인정한다는 겁니다. 그건 ‘방어’라는 개념의 본질에 해당하는 문제죠. 방어는 공격을 못하게 하는 건데, 어차피 당할 거라고 해커의 공격 성공과 우리의 방어 실패를 전제로 깐다는 건 방어를 포기한다는 것과 다름이 없다고 봅니다. 즉 사후대처가 중요하다고 하는 건 진정한 방어에 대해서는 아무 것도 하지 않을 것이라는 선포이며, 뒷수습에 급급한 건 결코 방어일 수 없습니다.”


이에 대해서는 본지 설문조사에 참여한 독자들 역시 대부분이 공감하는 것으로 드러났다. 이번 8월 한 달 동안 진행된 ‘사전예방이냐 사후대처냐’란 주제의 설문에 현 시점까지 참여한 455명의 응답자들 중 사전예방이 더 우선되어야 한다고 답한 이들이 237명으로 52%가 넘는 비율을 차지했기 때문이다. 나머지 48% 중 절반에 가까운 83명(전체 응답자의 18.24%)은 그나마도 정확한 50:50의 비율에 찬성한다고 해 결국 사후대처의 방어 전략이 중요하다고 한 응답자는 24%에 그쳤다.


하지만 사후대처를 강조하는 이들은 요즘 같은 시대에 사전예방에 초점을 맞춘다는 건 뜬구름 잡는 이야기일 뿐이라고 한다. 100% 방지할 수 있는 사람이나 기업은 어디에도 없다는 빼도 박도 못할 ‘진리’가 좋은 증거다. 릭 하워드 CSO는 이를 반박한다. “공격의 수가 늘어나고 경로가 계속해서 발생하기 때문에 온전히 방어할 수 없다는 말은 굉장히 그럴 듯 합니다. 100% 방어할 수 있는 능력이 우리에게 없다는 것 역시 사실입니다. 그러나 팔로알토에서 제가 운영하는 Unit 42라는 연구팀이 조사하고 있는 바 실제 공격이 이루어지는 ‘시나리오’ 자체는 그다지 많지 않습니다.”


공격 시나리오란 이를 테면 ‘표적 A를 정한다 -> 표적 A에게 피싱 메일을 보낸다 -> 악성링크를 삽입하거나 악성파일을 첨부한다 -> 멀웨어를 심는다 -> 정보를 빼돌린다’와 같은 침입부터 성공적인 공격 실행까지의 과정을 말하는 건데, 릭 하워드에 따르면 수백, 수천만 건의 공격이 불과 몇 가지 시나리오 안에서 그저 반복될 뿐이라는 것.


“현대 해커들의 공격 시나리오가 몇 개나 있을까요? 백만? 십만? 지금 이를 보다 정확히 조사 중에 있기 때문에 정확한 숫자를 알지는 못하지만 아마 500개 정도 되는 것으로 느껴집니다. 많아봐야 5000개 미만일 겁니다.” 이 5000이라는 숫자는 ‘요즘처럼 공격이 많이 일어나는 시대’라며 ‘불가능’을 언급하기에는 충분치 않다는 것. “엑셀만 조금 다룰 줄 알아도 한 사람이 5000개 공격 시나리오 관리하는 건 충분히 가능한 일이죠.”


그렇다면 어떻게 해야 릭 하워드 CSO나 보안뉴스 독자들이 선호하는 ‘사전예방’를 잘할 수 있을까? “예전에는 ‘심층방어’라고 해서 여러 다양한 방어용 애플리케이션들을 설치했습니다. 그런데요, 이건 과학적이거나 효율적인 것과는 거리가 멉니다. 덫을 여기 저기 깔아놓고 ‘걸려라, 걸려라’하고 희망하는 것뿐이기 때문입니다.” 그래서 그는 비슷하지만 조금 다른 방어법을 제안한다.

“공격의 라이프사이클을 이해하고, 그에 기반을 둔 방어모델을 구축할 필요가 있습니다. 아까 시나리오 이야기를 잠깐 했는데요, 그 시나리오를 이해하면 공격의 기술이나 멀웨어가 새로운 것이라고 하더라도 어느 지점에 어떤 방식으로 침투시도가 있을 것인지 이해할 수 있게 됩니다.”


이는 현대 보안체제의 가장 큰 고질병 중 하나인 ‘새로운 공격에 무력하다’는 것에 대한 해법이 될 수도 있다. 한 번도 경험하지 못한 새로운 멀웨어의 작동 원리를 몰라서 쩔쩔매는 게 아니라, 좀 더 큰 그림을 보고, 특히 멀웨어를 운영하는 사람의 심리를 계산에 넣어 방어의 성공률을 높인다는 것인데 그렇기 때문에 팔로알토는 “새로운 공격 유형을 발견하더라도 이에 대한 첩보를 고객들에게 날리는 데 걸리는 시간은 길어야 15분이며 지금은 이를 5분 이하로 떨어트리려고 노력 중”일 수 있는 것이라고 하워드는 말한다. 


그러나 이 시간을 줄인다는 게 여간 어려운 게 아니다. 4G니 5G니, 회선 속도를 높이는 것과는 다른 문제이기 때문이다. “공격을 탐지하고 방어한 후 필요한 사람들에게 알려 2차 피해를 막는 데 걸리는 시간을 줄이려면 분석 기술을 높이거나 하드웨어를 최신식으로 교체하는 게 아니라 보다 많은 사람들과 첩보와 정보를 공유하는 것이 답이더군요. 사이버 보안이라는 같은 배를 탄 이들과 함께 위협 지표 정보를 공유하는 게 매우 중요하다는 게 자연스럽게 부각되었습니다.”


그래서 팔로알토는 포티넷(Fortinet), 인텔, 시만텍 등의 굵직한 보안 관련 업체와 사이버 위협 동맹(Cyber Threat Alliance, CTA)이라는 걸 만들었다. 뿐만 아니라 해외에서는 같은 산업 내에서 위협 정보를 공유하는 ISAC들이 우후죽순 생겨나기도 했다. 그러나 여태 따로 지내왔던, 어떻게 보면 ‘경쟁사’이기도 한 이들과 첩보를 공유한다는 게 단박에 이뤄질 리가 없다. “가장 큰 걸림돌이 뭔지 아세요? 표준이에요, 표준. 어떤 방식, 어떤 포맷으로 어디서부터 어디까지 나눠야 할지 아무도 정해주거나 동의하지 못했다는 겁니다. 물론 STIX나 TAXII 같은 유명 표준이 있긴 하지만 이 둘만으로 모든 공유 문제가 해결되는 건 아닙니다.”


또한 ‘공유가 필요하다’는 걸 설득하는 것도 생각보다 힘들다고 그는 토로했다. “저희 CTA 안에서야 정보를 공유한다는 게 보안에 얼마나 중요한지 잘 이해하고 있고, 그렇기 때문에 공유를 활발하게 할 수 있습니다. 하지만 처음 CTA에 가입했거나 들어오려고 하는 업체들은 저희만큼 이 사안에 대해 공감하고 있지 않습니다. 큰 방향은 맞으나 정도에서 차이를 보이는 것이죠.”


재미있는 건 사전 예방이 아니라 사후 대처를 주장하는 이들도 ‘정보 공유’에 대해서만큼은 한 목소리를 내고 있다는 것. “그럴 수밖에 없는 게, 사전예방나 사후대처나 모두 ‘내가 미처 몰랐던 정보(수단, 방법, 기술 등등)’를 빨리 아는 게 중요하거든요. 요즘 어떤 공격이 유행하는지 알아야 사전 예방의 확률이 높아지고, 그 공격에 대해서 어떤 식으로 대처해야 피해완화를 꾀할 수 있는 것이죠. 결국 이러나 저러나 첩보의 공유는 어쩔 수 없이 추구해야 할 방향입니다.”


그러나 보안업체들마다 ‘세계 곳곳에서 일어나는 각종 사이버 공격에 대한 첩보’를 서비스로 제공하고 이를 경쟁력의 일부로 삼고 있는 상태에서 온전한 공유가 가능할까? 동맹이라고는 하지만 그 안에서는 남모르는 암투가 일어나고 그 과정에서 살아남은 누군가 독점권을 행사하게 되지는 않을까? 이에 릭 하워드 CSO는 살짝 웃으며 말문을 열었다.


“(정보를 공유하고 서로가 공감대를 가진다고는 하지만) 무한정 서로를 아끼고 좋아하는 건 아니죠. 서로 공유한 첩보를 가지고 각자가 나름의 서비스나 제품을 개발해 시장에 내놓는 식으로 저희는 여전히 경쟁하고 있습니다. 같은 재료를 쓴다고 모두 같은 결과물을 내놓는 건 아니죠? 첩보 공유라는 재료의 경우 저희는 서로 가진 재료를 합할 때 더 좋은 재료가 발생한다는 사실을 깨달았기 때문에 기꺼이 나눌 걸 나눈다고도 볼 수 있습니다.”

* 주장의 균형을 맞추기 위해 사후 대처가 맞다는 입장의 기고문을 내일 자 헤드라인에 기재할 예정입니다.


[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)