Home > 전체기사
[글로벌 인터뷰] EDR & 첩보분석 전문업체 크라우드스트라이크의 스콧 자코프
  |  입력 : 2019-06-26 11:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“짚더미에서 바늘을 찾는 것, 우리에게는 할리우드 액션 신”
첩보를 분석한다는 건, 미싱 링크를 매일처럼 찾아다니는 것...예술성도 필요


[보안뉴스 문가용 기자] 누구나 마음 한 구석에 예술가를 숨겨 두고 있다. 누구나 마음 한 구석에 거대한 역사를 꿰뚫는 현인을 숨겨 두고 있다. 그리고 누구나 마음 한 구석에 신을 닮고자 하는 선인을 숨겨 두고 있다. EDR과 첩보 분석을 전문으로 하는 업체인 크라우드스트라이크(CrowdStrike)의 스콧 자코프(Scott Jarkoff) 위협 첩보 고문과 함께 우리 안의 모습들을 발굴해 보았다.

[이미지 = iclickart]


보안뉴스 : 크라우드스트라이크는 사이버전 수행 부대를 추적하는 것으로 유명한 기업 아닌가?
스콧 자코프 : 그런 쪽으로 보고서를 많이 내고 있어서 그런 인상이 있다. 하지만 우리는 사이버 범죄 집단과 핵티비스트들을 추적하는 것에도 능한 회사다.

보안뉴스 : 요즘은 사이버전 단체와 사이버 범죄 집단 사이의 경계가 흐려지고 있는데, 다 비슷비슷한 거 아닌가?
자코프 : 서로 비슷한 기술과 도구를 사용하고, 오픈소스를 적극 활용하는 등 사이버전 단체와 범죄 집단 사이의 차별점이 흐려지고 있는 게 사실이긴 하다. 그러나 둘 사이에는 영원히 좁혀질 수 없는 차이가 존재한다. 바로 동기다. 사이버전 단체는 상대 국가에 대한 정찰을 하기 위해 활동하고, 범죄자들은 돈을 벌기 위해 활동한다. 이 차이점을 이해하는 건 보안 책임자들에게 있어 대단히 중요한 일이다. 동기를 파악해야 방어 전략이 수립되기 때문이다.

물론 공격자가 어떤 기술과 수법, 도구를 사용하는지 파악하고, 그에 맞는 방어 전략을 세울 수 있다. 그러나 기술에 대한 대응은 진정한 전략이 되지 못한다. 그 때 그 때 상황만 틀어막는 임시방편일 뿐이다. 동기를 이해할 수 있어야 큰 그림을 보고 보다 능동적이고 선제적인 방어 전략을 마련할 수 있다. 사이버전 단체와 사이버 범죄 집단을 추적할 줄 안다는 건, 다양한 공격 동기들을 꿰뚫어보고 전략 마련에 대한 통찰을 제공할 수 있다는 뜻이다.

보안뉴스 : 해커들을 추적한다니, 사무실 혹은 연구실 분위기가 스릴 넘치거나 역동적일 거 같다.
자코프 : 스릴이 넘치거나 역동적이라는 게 할리우드 영화의 추격 장면이나 스파이들의 잠입 액션을 말하는 거면, 아니라고 확실하게 말할 수 있다. 우리의 일은 차라리 짚더미 속에서 바늘을 찾는 것의 연속이다. 사람에 따라 이걸 재미없고 지루하다고 느낄 수도 있지만, 우리에겐 충분히 역동적이고 스릴 넘치는 일이다.

보안뉴스 : 조금 더 설명해 달라.
자코프 : 크라우드스트라이크는 보안 솔루션 측면에서 엔드포인트 탐지 및 대응(EDR) 제품으로 유명한 회사다. 전 세계 곳곳에 고객들이 있고, 우리 EDR이 있다. 한국도 마찬가지다. 또한 이 EDR은 클라우드를 기반으로 하고 있어, 자연스럽게 전 세계 구석구석에서 벌어지는 ‘디지털 사건’들에 대한 데이터가 모인다. 일주일에 평균 1조 5천억 건이 수집된다.

또한 크라우드스트라이크는 각종 사건에 대한 대응을 하기도 한다. 사건 대응은 ‘사건이 터지고 나서 하는 일’이라는 인식이 있는데, 첩보 수집이라는 측면에서 굉장히 중요한 일이다. 사건에 대응해야 공격자의 툴과 전략을 마주할 수 있고, 그들의 ‘디지털 채취’를 느낄 수 있게 된다. 그러면서 공격자의 동기가 파악되고, 배후 세력을 짐작할 수 있다.

첩보 수집과 분석을 전문으로 하는 회사로서 크라우드스트라이크는 이런 데이터들 속으로 다이빙해서 퍼즐 조각들을 찾아낸다. 그리고 맞춘다. 그림을 완성시켜 간다. 때론 반복적이고 지겨운 일의 연속이기도 하지만, 커다란 퍼즐을 하나하나 맞춰가는 즐거움이 있다. 그러면서 물리적 세상이 기록해가는 역사와 다른 측면 혹은 그 역사적 사실들을 뒷받침해줄 수 있는 큰 그림을 우리 나름 꿰맞춰 가는 것이다. 매일이 이른바 ‘미싱 링크’를 찾기 위해 투자된다.

보안뉴스 : 할리우드 액션을 기대했더니, 고고학 현장에 온 느낌이다.
자코프 : 그러고 보니 고고학과 비슷한 거 같기도 하다. 각종 먼지와 흙을 한 층 한 층 제거하고, 그 속에서 아티팩트(artifact)를 찾는 것과 우리가 하는 일은 다르지 않다. 크라우드스트라이크의 다른 직원들이 어떤지는 모르겠는데, 나는 개인적으로 우리가 하는 일에 예술적 속성이 있다고 느낀다. 사이버 보안과 첩보 분석이라고 해서 과학만 있는 건 아니다.

보안뉴스 : 예술적 속성? ‘Art’라는 말, 보안 취재하면서 처음 듣는다.
자코프 : 앞서 ‘동기’를 언급한 부분과 연결된 부분이다. 사건이 터지거나 첩보가 들어왔을 때, 관련 데이터를 수집하고, 공격 도구를 분석하며, 패턴을 파악하는 건 과학과 기술의 영역이 맞다. 하지만 그런 사실들을 나열하는 것만이 첩보 전문가들의 역할이 아니다. 과학으로부터 얻어낸 결과물을 가지고 해석해야 하는 것까지도 우리의 몫이다.

자의적으로 소설을 쓴다는 게 아니다. 그 동안 우리가 쌓아왔던 지식, 계속해서 맞춰왔던 퍼즐, 현재 세계의 정세 등 수많은 요소들을 종합적으로 고려해 지금 확보되어 있는 데이터를 바라보고, 그 뒤에 있는 공격자의 정체와 동기를 파악해 우리의 첩보를 소비하는 사람들이 보다 나은 방어 전략을 구축할 수 있도록 돕는다는 것이다. 이런 면에서는 예술적인 기능이 필요하다.

보안뉴스 : 즉 공격자를 지목하는 게 가능하다는 말인가? 그 동안 보안 사건은 그 특성상 범행에 대한 정확한 증거를 확보하지 못한다는 게 정설 아니었나?
자코프 : 사이버 보안 사건에서 범인을 알아내는 건 꽤나 가능한 일(quite possible)이다. 남의 도구를 끌어다 쓰고, 오픈소스를 사용해도, 결국 공격의 프로세스 가운데 공격자들만의 독특한 DNA가 드러나기 마련이다. 다만 그것을 언급하느냐 마느냐는 전략의 차원에서 결정하는 문제다. 역시 일종의 예술성이 가미된 부분이라고 할 수 있겠다.

예를 들어 최근 미국 정부가 북한이나 중국, 이란에서부터 시작되는 사이버 공격에 대해 보다 대담하게 언급하기 시작했다. 예전에는 민간 업체들이 ‘누구로 의심되지만 정확하지는 않다’는 식으로만 보고서를 내는 게 끝이었는데, 지금은 정부가 나서서 ‘중국, 난 네가 한 일을 알고 있어’라고 경고한다. 그러면 중국은 매체를 통해서는 부인하지만, 미국이 어떤 대응을 할지 몰라 공격을 중단한다거나, 전략을 바꾼다. 미국이 물리적 군사 행위를 할 수 있다는 가능성을 염두에 둘 수밖에 없기 때문이다. 범인을 언급한다는 건 전략적이고 정치적인 사안이다.

보안뉴스 : APT 그룹들이나 일개 사이버 범죄자 단체나, 대부분의 공격은 피싱으로 시작한다. 그들을 추적하는 행위는 입체적이고 예술적으로, 또한 역사의 거대한 퍼즐 안에서 이뤄지고 있는데, 현실 속 사건의 현장은 단순하기 짝이 없다.
자코프 : 맞는 말이다. 인간 안에, 사라질 수 없는 본성을 건드리는 공격이 피싱이기 때문이다. 범죄자들이 어떤 시설 내로 가장 간단하게 침투하는 방법이 무엇인 줄 아는가? 아름다운 여성으로 위장하는 것이다. 여성이 커다란 짐을 들고 문을 열지 못해 낑낑대고 있으면 수많은 사람들이 자발적으로 도와준다. 자신이 위협 요소를 건물 안으로 들일 수 있다는 자각은 없다. SNS에서도 매력적인 프로필 사진을 붙이고 활동하는 사이버 테러리스트들이 많다.

피싱은 누군가를 돕고자 하고, 뭔가를 궁금해 하고, 친구를 만들려고 하는 인간의 본성이 완전히 사라지지 않는 한 사라지지 않을 공격 기술이다. 또한 누군가는 반드시 규칙을 어기거나 예외적인 행동을 한다. 인간의 인간됨을 철저히 익스플로잇 하는 방식이고, 그렇기에 통하며, 앞으로도 발전할 전망이다. 여기에 대한 만병통치약은 있을 수 없다. 다만 조금씩 개선시킬 수는 있다.

[이미지 = 보안뉴스]

보안뉴스 : 조금은 다른 공격이 나타나긴 했다. 가짜뉴스 혹은 허위 정보 유포와 같은 행위다. 러시아의 트롤링 말이다. 가짜뉴스를 걸러내는 것도 보안의 책임일까?
자코프 : 개인적인 의견이지만, 가짜뉴스는 보안의 과제가 아니라고 생각한다. 우리가 필터 장치를 개발해 가짜뉴스를 골라내서 모든 사람들이 진짜 뉴스만 접하게 하는 건 보안보다 더 높은 단계에서 논해야 할 사회적 이슈다. 다만 해당 뉴스를 만든 사람들이 이전에 어떤 뉴스를 만들어왔고, 트롤링 행위로 의심될 만한 일을 한 적이 있다는 것은, 보안 업계가 조사해 밝힐 책임을 가지고는 있다. 선택은 읽는 사람들이 직접 하도록 해야 한다고 본다. 판단을 강제할 수 없다.

보안뉴스 : 크라우드스트라이크처럼 첩보 분석을 예술적으로 해서 큰 그림을 자기 손으로 맞춰가고 싶은 새내기들이 있다면 어떤 공부를 해야 할까?
자코프 : 네트워크의 구성 원리가 가장 기본이다. TCP/IP를 이해하고, 그 외 다양한 프로토콜을 숙지해야 한다. 그러면서 포렌식에 관심을 갖는 편이 도움이 될 것이다. 멀웨어 분석력을 갖추고 있어도 도움이 된다. 위협 사냥(threat hunting), 사건 대응, 군 첩보 기관에서의 근무 경험이 있다면 어느 첩보 회사에서든 선호 받을 수 있을 것이다.

또 하나 중요한 건 언어 능력이다. 여태까지 만난 수많은 첩보 전문가와 데이터 분석가들 중 현장에서 뛰어나게 기능을 발휘하는 사람들 대다수는 적어도 2개 국어에 능통했다. 자기가 일하고 싶은 회사가 어느 나라 회사이든 상관없이, 첩보를 다루고 능숙하게 분석하며, 이 계통에서 선후배들과 다양한 통찰을 공유하고자 한다면 외국어를 습득하는 건 기본이다.

3줄 요약
1. 사이버전 부대와 사이버 범죄 조직 간에는 ‘동기’라는 큰 차이가 존재함. 동기는 방어 전략 구축에 절대적 요소.
2. 첩보 수집과 분석은 할리우드 액션을 방불케 하지는 않지만, 커다란 퍼즐을 맞춰가고 고고학 발굴을 해나가는 것 같은 즐거움을 줌.
3. 첩보 전문가가 되려면, 네트워크 원리를 이해하고, 적어도 2개 언어를 구사할 줄 아는 것이 유리함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제