Home > 전체기사
데이터 기반 보안 위한 전략과 실행방안 3가지
  |  입력 : 2018-02-19 17:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 데이터의 정확한 분석 위한 3가지 시사점
새로운 문화형성 위한 변화관리 관점에서 접근해야


[보안뉴스= 김정덕 중앙대학교 산업보안학과 교수] 대부분 조직의 보안관리자가 직면하는 문제 중 하나는 ‘현재 우리 조직의 보안상태는 어떠한가?’라는 질문에 답하는 것이다. 사실 이 문제는 지난 10년 전부터 언급되어 왔던 이슈로서 아직도 적절한 답을 찾기는 쉽지 않은 것 같다. ESM, SIEM 등 몇 가지 보안 솔루션이 보안현황을 보여주고 있으나 비교적 제한적인 범위의 뷰를 제공하고 있는데다가 대응적인 활동에는 어느 정도 효과가 있으나 큰 그림을 보여주면서 사전적 활동을 하기에는 한계가 있다.

[이미지=김정덕 교수]


보안 데이터를 제대로 분석하기 위해서는 다양한 소스로부터 보안 데이터를 수집하고 분석할 뿐만 아니라, 보안 프로세스를 상당부분 자동화할 수 있는 기능이 필요하다. 즉, 단순히 실시간으로 보안 활동이나 이벤트를 평가하고 탐지하는 것에 그치지 않고, 위험수준을 측정하고 정보에 기반을 둔 의사결정과 자동화된 대응활동이 가능해야 한다. 이는 단순 관제(monitor)가 아니라 측정(measure)을 기반으로 현재의 보안상태에 대한 ‘정확한’ 분석과 ‘신속한’ 의사결정이 수행될 수 있어야 한다는 얘기다.

과거 발생한 보안사고를 살펴보면, 보안 솔루션을 도입했지만 보안 로그를 단순히 저장만 하고 있거나 정교하지 못한 시나리오를 적용하여 오탐이 발생하는 등 구축된 인프라에 비해 활용이 미흡한 경우가 많아 문제가 돼 왔다. 기업보안의 최근 동향 중 주목할 것은 바로 빅데이터 기술을 보안에 적용함으로써 실시간 분석 및 탐지 뿐만 아니라 자동화된 대응까지 가능하게 하는 데이터 기반 보안(Data-Driven Security) 전략이라고 할 수 있다. 즉 APT, 소셜 엔지니어링, 내부 유출 등의 고도화된 위협에 대응하기 위해서는 정형·비정형 데이터의 상관관계 분석, 머신 러닝 등의 방법을 통해 외부에서의 침투 또는 내부 유출 징후를 탐지하는 것에서 나아가 사전에 예측할 수 있는 첨단분석(Advanced Analytics)이 요구된다.

보안분석이 적용될 수 있는 분야는 크게 보안사고 대응, 위협 및 취약점 관리, 그리고 보안운영 자동화로 구분할 수 있다. 이 가운데 보안사고 대응과 위협 및 취약점 관리 분야에 우선적으로 적용되고 있으며, 보안운영 자동화 및 집행력 강화 분야는 아직 초기단계로 머신러닝 등 관련 기술의 발전에 따라 적용이 확대될 것으로 예상된다. 또한, 전사적 보안 인텔리전스(ESI : Enterprise Security Intelligence)라는 개념이 최근 언급되고 있다.

ESI는 조직에서 보안 및 위험관리를 위한 전략적 목표로서 명확한 산출물을 제공하고자 한다. ESI를 가능하기 위해서는 보안 솔루션으로부터 수집된 데이터 뿐만 아니라 비즈니스 데이터까지 분석의 범위를 확대하고, 통합적인 관점에서 상관관계 분석을 통해 정확성을 제고하여 최적의 보안 위험관리를 수행할 수 있어야 한다.

데이터 기반의 보안전략을 수행하기 위해서는 분석과 관련된 다음과 같은 3가지 시사점에 주목할 필요가 있다. 첫째, 보안 데이터 분석을 위해서는 적절한 분석 알고리즘 선택을 위한 데이터 과학(data science) 지식도 중요하지만, 데이터 분석 목적 달성을 위한 필요 데이터 수집과 데이터 준비 작업이 더 중요하다고 할 수 있다. 예를 들면, 내부 정보유출 탐지를 위해서 어떠한 사용자 행위 데이터를 수집할 것인가를 결정하는 것이 우선되어야 한다. 해당 데이터를 분석에 적합하도록 정리하는 작업이 더 어렵고 시간이 소요되는 작업이기 때문이다. 또한, 외부 전문기관에서의 보안 인텔리전스 데이터도 보다 적극적으로 활용할 필요도 있다.

둘째, 효과적인 보안 데이터 분석을 위해서는 단순히 보안 솔루션에 나오는 이벤트 데이터(event data)만 사용하는 것이 아니라, 인사부서나 마케팅부서 등 현업부서에서의 상태 데이터(state data)도 사용해야 할 필요가 있다. 상태 데이터는 보안운영 활동의 우선순위를 결정하는데 필요한 환경정보를 제공하고, 이벤트 데이터와 결합했을 때 분석의 정확성을 확보할 수 있다. 이를 위해서는 데이터의 생성, 확인, 조정 등의 제반 활동에서의 책임 문제를 해결할 수 있는 데이터 거버넌스 체계가 수립되어야 한다.

[사진=중앙대학교 산업보안학과 김정덕 교수]

셋째, 보안데이터 분석은 일종의 새로운 문화형성을 위한 변화관리 관점에서 접근해야 한다. 현업부서에서의 참여가 절대적이며, 보안분석의 가치를 명확히 측정할 수 있는 성과지표를 개발하여 보안분석의 효과를 제시할 수 있어야 한다. 또한, 테스트를 통한 학습 문화가 조성돼 있어야 한다. 샌드박스 접근법을 통해 룰이나 시나리오 등을 쉽게 만들고 허물 수 있는 환경을 조성하여 분석 역량을 강화해야 한다. 단순히 보안 솔루션에 의존하거나, 관리자의 직감과 경험에 의존하기엔 보안위험이 너무 복잡하고 크다.

이러한 데이터 기반 보안전략을 위해서는 무엇보다도 새로운 도전을 두려워하지 않는 절실함(urgency)과 민첩한 대응(agility) 역량이 필요하다. 큰 물고기가 작은 물고기를 잡아먹는 시대는 지났다. 빠른 물고기가 느린 물고기를 먹는 시대이기 때문이다.
[글_ 김정덕 중앙대학교 산업보안학과 교수(jdkimcau@gmail.com>jdkimcau@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)