Home > 전체기사
사이버 보안 첩보에 대한 3가지 오해와 진실
  |  입력 : 2019-12-03 14:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 첩보, 없어서 문제가 아니라 활용할 줄 몰라서 문제…활용 못하면 소용없어
첩보 입수했다면 방어의 기본 원리 점검할 게 아니라 탐지 활동부터 펼쳐야


[보안뉴스 문가용 기자] 데이터 침해 사고에 대한 소식은 끝없이 보도되고 있다. 2019년 1~3 사분기에만 1152건의 데이터 침해 사고가 발표됐다고 하고, 1억 6천만 건의 기록이 기업들로부터 새나간 것으로 집계된다. 은행, 병원, 소셜 미디어 사이트, 식당 등 피해를 입은 기업의 종류도 다양하다.

[이미지 = iclickart]


물론 침해 사고에 대한 소식이 끝도 없이 전파되고 있는 게 새삼스러운 일은 아니다. 그러나 같은 침해 소식이라도 최근의 것들이 더 심각한 건, 우리가 보안에 대한 투자를 크게 늘린 후이기 때문이다. 예전에는 보안에 신경을 쓰지 않아서 당했다면, 지금은 보안에 집중해도 당하고 있다.

뭐가 잘못된 것일까? 필자는 이것이 ‘위협’에 대해 학습하는 방법부터가 잘못되었다고 보고 있다. 위협 소식을 접하고는 대응을 할 줄 모르고, 따라서 ‘어어’ 하다가 당하고만 있는 것이다. ‘적을 알아야 방어할 수 있다’는 명제에 동의하지 않는 보안 전문가는 없지만, 사실 이를 제대로 실천하고 있는 전문가는 극히 적은 게 우리의 취약점이다.

지난 8년 동안 사이버 보안 분석가로 근무하면서 나는 이러한 문제점을 숱하게 목격해왔다. 첩보는 있는데, 그걸 가지고 가치를 창출하지 못하는 것 말이다. 위협 첩보의 문제는 더 이상 ‘소식이 없다’거나 ‘첩보를 어디서 얻어야 할 지 모르겠다’는 차원에서 발생하지 않는다. 오히려 너무 많은 소식을 어떻게 활용할지 모르는 게 문제가 되고 있다. 현장에서 가장 흔하게 접할 수 있는 문제 세 가지를 정리해보면 다음과 같다.

오해 1 : 위협 첩보는 썩지 않는다?
위협 첩보를 입수한 보안 담당자들은, 그걸 가지고 사고 예방 활동에 주력한다. 하지만 대부분 정적으로 활용하려는 경향을 보이며, 따라서 첩보의 불완전성을 제대로 해결하지 못한다. 즉, 첩보를 추상적으로 혹은 너무나 광범위하고 포괄적으로 적용하려고 한다. 그래서 노력한 것이 무용지물로 귀결되는 경우가 많다. 차라리 입수한 첩보를 가지고 탐지 활동과 가시성 확보에 ‘능동적으로’ 사용하는 게 훨씬 효과적이다. 새로운 뭔가를 관찰할 때 확대경을 가져다 대는 게 효과적이지, 그 새로운 걸 가지고 처음부터 벽을 쌓을 수 없는 노릇이다.

정적 방어라는 건, 예방이라는 목적을 달성하는 데 있어서 꽤나 효과적일 수 있다. 예를 들어 애플리케이션 화이트리스팅이나 네트워크 접근 제어 장치가 마련되어 있다면, 그러한 사실을 인지하지 못한 공격자들을 효과적으로 차단할 수 있다.

하지만 이런 정적인 방어 체계는 위협 첩보의 가치를 최대한으로 끌어올린 형태의 활용법이라고 말하기 어렵다. 첩보는 ‘시기성’을 가진 것이 대부분이며, 따라서 재빠르고 유연하게 활용해야 알맞다. 유통기간이라는 속성이 있는 재료를 영구히 활용할 수 없다는 뜻이다. 따라서 첩보 하나로 영구적이고 포괄적인 방어벽을 치고 공격이 들어오기를 기다리는 게 아니라, 첩보에 알맞은 탐지 활동을 능동적으로 펼치고, 그에 따른 경보 체계를 수립하고, 사건 대응의 채비를 갖춰야 한다.

오해 2 : 첩보는 많으면 많을수록 좋다?
위에서도 언급했지만 첩보의 가치를 제대로 살릴 줄 아는 조직들은 많지 않다. 단순 사이버 첩보만을 말하는 게 아니다. 하루에도 수백~수천 건씩 적립되는 정보가 가치 있게 환산되는 경우가 얼마나 있는가? 그 비율이 어느 정도인가? 이를 생각해보면 수긍이 갈 것이다. 그러므로 정보란 것이 그 자체로 조직이나 사람을 유익하게 하지는 않는다. 정보를 활용할 수 있어야 정보는 가치를 갖게 된다.

동네에 강도가 출현한다는 소식이 들려왔다. 당신은 어떤 행동을 취할 것인가? 흘려 넘기면 그 첩보는 아무런 가치를 발휘하지 못한다. 그러나 문을 잠그고, 귀중품을 좀 더 깊숙한 곳에 보관하고, 당분간 친척 집이나 친구 집에서 지내기로 한다면? 그 때서야 첩보가 가진 가치가 발휘되기 시작한다. 물론 이 모든 조치들이 100% 안전을 보장하지는 않지만 말이다.

강도 소식에 있어서 우리 대부분은 해야 할 일을 알고 있다. 사이버 첩보의 경우 이런 식의 ‘대응법’을 즉각 떠올리지 못하는 조직이 아직도 수두룩하다. 현장에서 목격한 바 빠르고 민첩한 대응을 하는 기업들은 주로 다음과 같은 순서로 일을 한다는 걸 알 수 있었다.
1) 첩보를 가지고 탐지 활동을 시작한다.
2) 첩보에 따라 알맞은 도구를 선별해 활동한다.
3) 특정 단체가 공격 준비를 하고 있다는 걸 알아냈다면 그에 따라 네트워크 구성이나 환경설정을 조정해 방어력을 높인다.

여기서 제일 중요한 건 3)번이다. 첩보에 따라 인프라를 조정하지 못한다면, 첩보를 가지고 탐지 활동을 하고 추가 공격 정황을 밝혀낸다 하더라도 아무런 소용이 없다. 행동하지 않으면 첩보가 낭비되는 것이다.

한 기업의 경우, 운영하고 있던 전자상거래 웹사이트가 공격 당하기 직전이라는 첩보를 입수했다. 하룻밤 만에 호스팅 업체를 바꿀 수도 없었고, 그렇다고 사이트를 닫을 수도 없었기에 이 기업은 방어를 위해 아무 것도 하지 못했다. 그 결과 공격은 실제 벌어졌고, 기업은 사이트를 잠시 닫아두고 보안을 강화하는 것보다 더 큰 손해를 봤다. 게다가 고객의 신뢰도 크게 떨어졌다. 첩보를 가지고 사이트 설정을 조정한다거나 호스팅 업체와 연락해서 몇 가지 환경 옵션만 바꿨어도 피해를 최소화 할 수 있었다는 걸 이 기업은 나중에 알았다.

오해 3 : 첩보는 누구에게나 필요하다?
위첩 첩보는 꽤나 유익하며, 첩보를 가지고 있는 순간 보안 담당자의 가치는 한껏 올라간다. 그러나 이 첩보의 활용도를 하룻밤만에 높일 수 있는 방법은 존재하지 않는다. 어떤 조직도 이전까지 대수롭지 않게 여겼던 첩보를 갑자기 귀하게 모실 수 없다. 첩보 활용 문화나 업무 프로세스가 정립되어 있지 않기 때문이다.

그럼에도 첩보가 좋다고 마구 수집하다가는 오히려 아무 것도 처리하지 못하고 정보의 소화불량에 걸리고 만다. 걱정만 쌓이고 불안만 늘어난다. 잠이 줄어들고, 식욕도 줄어든다. 처리하고 다룰 수 없는 첩보는 오히려 보안 담당자 혹은 보안 팀에 짐만 된다. 첩보를 처리할 프로세스가 마련되어 있지 않은 조직이라면 차라리 기본 보안 실천 사항을 강화하는 편이 낫다. 관리자 권한을 축소시키거나, 권한을 가진 사람을 줄이고, 애플리케이션 화이트리스팅을 보다 꼼꼼하게 진행하는 등을 하라는 것이다.

글 : 안톤 추바킨(Anton Chuvakin), Chronicle
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제