Home > 전체기사
“보안도 이제 ‘민주화’가 되어야 하지 않을까요?”
  |  입력 : 2019-05-09 19:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
방한한 어택아이큐의 COO 칼 라이트와의 인터뷰...의외의 민주열사
블루 팀과 레드 팀은 머지 않아 퍼플 팀으로 바뀔 것...자가 보안 평가 더 중요


[보안뉴스 문가용 기자] 세계 보안 업계의 공통된 흐름은 ‘자율’이란 개념이 흐려지고 있다는 것이다. 그러면서 규정이 여러 가지로 강력해지고 있다. 조직들이 최소한 지켜야 할 보안 실천 사항이 의무화되어 가고 있다는 것인데, 그럴수록 보안은 ‘처벌’을 동반하게 된다. 최근 한 조사에서 소비자 편에서의 ‘보안 위생 습관’ 마저 점점 나빠지고 있다는 결과가 나온 만큼, 당분간 이 무서운 추세는 역전되기 힘들 것으로 보인다.

[이미지 = iclickart]


그렇다면 보안을 의무화 하려는 자, 보안을 지켜야만 하는 자, 보안의 노하우와 실전 지식(첩보 등)을 공유하려는 자 사이에서의 소통이 원활해져야만 한다. 그렇지 않으면 보안은 죄와 벌의 향연이 될 것이기 때문이다. 보안 업체 어택아이큐(AttackIQ)의 COO인 칼 라이트(Carl Wright)는 “보안 업계 내 정보 공유와 소통이 얼마나 중요한지 모두가 알지만, 그게 잘 안 되는 건 서로 구사하는 언어가 다르기 때문”이라고 말한다. “그런데 그걸 마이터 코퍼레이션(MITRE Corporation)이 어느 정도 해결했습니다.”

마이터 코퍼레이션의 보안 평가 시스템
보안뉴스 : 마이터 코퍼레이션이 보안을 평가하는 시스템을 공개하고 있다는 건 잘 알고 있다. 하지만 그것이 어떻게 ‘대화’ 문제를 해결했다는 것인가?
칼 라이트 : 사이버 위협을 묘사하는 건 생각보다 모호한 일이다. 첩보라는 것도 규격이 정해지지 않았다. 누군가는 ‘피싱 공격을 통해 랜섬웨어가 퍼지고 있다’는 것이 충분한 첩보이지만, 누군가는 ‘피싱 공격이 어떤 식으로 들어오는지, 랜섬웨어의 페이로드는 어떤 패밀리에 속해 있는지, 이걸 막으려면 어떤 조치를 취해야 하는지’까지 필요하다. 어떤 사람에겐 대단히 큰 위험이, 다른 조직에겐 그냥 흘려들어도 되는 사소한 일일 수도 있다. 그렇기 때문에 정보를 공평하게 공유한다고 해도 누군가는 주는 것에 비해 덜 받는다고 느낄 수밖에 없고, 그런 이질감이 공유를 방해한다.

마이터의 평가 시스템인 어택(ATT&CK)은 위협 요소를 11개 카테고리로 나누고, 그 안에 공격 시나리오들을 분류해 정리하고 있다. 각 항목은 공격자들이 구사하는 다양한 기술들로 구성되어 있고 말이다. 위협의 종류가 11개라는 게 아니라, 사이버 공격자들이 구사하는 전략을 11개로 분류했다고 볼 수 있다. 마이터의 이런 ‘문법’을 따라 공유할 정보를 구성하고 보안을 평가하는 게 점점 확산되고 있고 ‘공통어(common lexicon)’로 자리를 잡아가고 있는 중이다. 교육과 위협 사냥(threat hunting)에도 유용하게 사용되고 있을 정도다. 어택아이큐가 제공하는 바스(BAS) 솔루션은 이 마이터 어택 시스템을 기반으로 한 평가 플랫폼이다.

보안의 민주화
보안뉴스 : 그러면 그냥 마이터의 평가 기준을 다운로드 받아서 사용하면 되지, 굳이 돈을 주고 어택아이큐의 바스(BAS) 솔루션을 사용할 이유는 무엇인가?
칼 라이트 : 결국 구현(implementation)의 문제다. 마이터가 개념을 만들고, 우리가 그 개념을 상품화한 것이다. 솔직히 공격자의 전략에 대한 개념적인 정보만 가지고, 실제적인 보안 점검을 하기는 어렵다. 보안에 대한 전문성과 솔루션이 뒷받침되어야 한다. 하지만 이건 어택아이큐가 지향하는 것과 거리가 멀다. 우리는 보안을 ‘민주화’하고 싶다. 즉, 모두가 쉽게 보안을 배우고, 점검하고, 해결책을 강구할 수 있도록 하고 싶은 것이다.

그래서 우리는 솔루션을 통해 사용성이 높은 인터페이스를 제공하고자 애쓰고 있다. 예를 들어 권한 상승 공격에 대한 시스템 점검을 하고 싶다면, 간단히 해당 항목을 클릭함으로써 실험을 해볼 수 있는 것이다. 실험 결과는 각종 그래프 형태로 나타나 읽고 이해하기도 쉽고, 현재 설치되어 있는 제품들의 성적표도 나온다. 긴 기간 동안의 추이까지도 집계해서 나타내주며, 보고서 형태로 결과를 정리해주기도 한다.

보안뉴스 : 잠깐. 다른 솔루션들의 성적표가 나온다고? 그렇다면 업계 내 반발이 심하지 않은가?
칼 라이트 : 해당 솔루션이 이만큼 좋다거나 이만큼 나쁘다는 뜻의 성적표가 아니다. 평가를 진행하고 있는 사용자 기업이 해당 솔루션들을 얼마나 잘 활용하고 있느냐를 나타낸다. 보안 솔루션은 만드는 업체가 얼마나 잘 만드느냐에 따라 성능이 달라지기도 하지만, 사용자가 얼마나 잘 도입하고 설정을 잘 하느냐에 따라서 달라지기도 한다. 즉, 성능에 대한 성적표가 아니라, 사용 효율성에 대한 성적표라고 보면 된다. 이를 기업들도 이해하고 있고 사용자들도 잘 알고 있다. 실제로 우리 고객들은 이 성적표를 보고 솔루션을 폐기처분하는 게 아니라 ‘튜닝’을 한다. 또 더 정확하고 효율적인 투자계획을 세운다.

이것도 보안의 ‘민주화’와 관련이 깊다. 사용자 조직이 스스로 자기 장비의 효율을 높일 수 있게 해주는 것이니 말이다. 또한, 마이터의 11개 공격 전략을 다 시험해봄으로써, 실제 우리 조직이 가장 시급하게 대응해야 하는 위협이 어떤 것인지 확실하게 알게 된다. 이런 평가를 주기적으로 하지 않는다면, 대처가 막연해지고, 보안이 허술해지기 마련이다. 심지어 유명 해킹 단체의 공격 기법을 시뮬레이션 할 수도 있어 실질적이고 구체적인 결과를 받아볼 수 있다. 문제가 구체적일수록 대응도 선명해지게 된다.

미국의 경우 보안과 관련된 규정이 점점 더 엄격해지고 있는데, 그렇기 때문에 ‘실질적인 위협을 알아야 하겠다’는 요구가 임원진들 사이에서 높아지고 있다. 실제로 보안 사고가 터지면 CEO 등이 해고되는 사례가 늘어나고 있기도 하다. 자기를 실직할 수 있게 해주는 위협이 무엇인지 정확히 알고 싶어 하는 건 당연하고, 그 흐름을 타고 우리의 바스(BAS) 플랫폼이 확산되고 있는 중이다. 지금 바스 플랫폼은 CEO들의 생존 가방이나 다름이 없다.

색을 섞고 경계를 흐리다
보안뉴스 : 레드 팀, 블루 팀 기반의 보안 평가를 대체하는 건가?
칼 라이트 : 요즘 떠오르고 있는 ‘퍼플 팀’이다. 전통적 개념의 레드 팀과 블루 팀이 실험해볼 수 있는 영역은 매우 한정적이다. 광범위한 실험을 할 수도 없고, 주기적으로 할 수도 없다. 그래서 요즘은 자동화 기술을 기반으로 한 퍼플 팀이 떠오르고 있다. 솔루션과 사람이 조합하여 블루 팀과 레드 팀의 임무를 보다 빠른 시간 안에 모두 수행하는 것이다. 보다 많은 영역을, 보다 주기적으로, 보다 쉽게 점검할 수 있다. 우리 솔루션이 아니더라도 레드 팀과 블루 팀 기반의 침투 테스트는 지금과 많이 달라질 것으로 예상한다.

보안뉴스 : 그레이소스라는 개념도 접목했다고 들었다. 무슨 뜻인가?
칼 라이트 : 바스는 누구나 사용할 수 있게 해주는 오픈소스와 값을 지불해야만 하는 클로즈드 소스의 중간 단계다. 바스를 통해 보안 평가를 하려는 사용자는 1,300여개의 공격 시나리오 라이브러리를 선택할 수 있는데, 각 시나리오는 쉬운 명령어를 사용하여 수정할 수 있다. 파이선으로 코드로 구성되어 있는데, 이는 사용자가 자기 환경에 맞게 얼마든지 자유롭게 편집할 수 있다. 더 구체적으로 자기 상황에 맞게 맞춤형 점검을 하라는 것이다. 이 라이브러리와, 마이터의 공격 시나리오 항목은 주기적으로 업데이트 되며, 바스에도 곧바로 적용된다. 작년 초 멜트다운(Meltdown) 취약점이 발견됐을 때, 멜트다운 공격 시나리오를 바스 플랫폼에서 시험해볼 수 있게 업데이트하는 데 딱 8시간이 걸렸다.

보안뉴스 : 8시간이면 상당히 짧은 시간이다. 비결은 무엇인가?
칼 라이트 : 사람이다. 바스 개발을 전담하는 팀이 두 개고, 총 54명이다. 올해 안에 110명으로 늘어날 계획이다. 이들은 다른 게 아니라 바스에 새로운 공격 시나리오를 구현해 넣는 것에만 집중한다.

▲ 칼 라이트 [이미지 = 어택아이큐]

보안뉴스 : 인재난이 전 세계적으로 심각한데, 어떻게 그렇게 사람을 구하는가?
칼 라이트 : 개발의 속성을 가진 IT 인재나 보안 인재는 돈만 보지 않는다고 생각한다. 그들이 페이스북이나 구글에 입사하고 싶어 하는 이유는 단지 연봉이 높아서만은 아니다. 멋진 프로젝트에 참여할 수 있기 때문이다. 그들이 느끼기에 멋지고 신나는 일을 할 수 있다면 개발자들은 기꺼이 그 기회를 잡는 편이다. 개발자나 보안 인력을 잡을 수 없다는 건, 비용도 그렇지만 일단 시키는 일이 지루하고 재미없다는 뜻일 수 있다. 바스는 각종 유명 해커들의 공격 기법을 구현하는 프로젝트들로 대부분 구성된다. 그들 입장에서 재미없을 수가 없다.

보안뉴스 : 한국에서도 바스를 접함으로써 보안의 민주화를 꿈꿀 수 있는가?
칼 라이트 : 그렇다. 한국에서는 소프트와이드시큐리티와 파트너십을 맺고 있다. 아직은 자동으로 완성되는 보고서가 영문으로 나오는데, 추후 한글화를 진행할 계획을 갖고 있다. 그 전까지는 한국의 파트너들이 보고서의 이해를 도울 것이다.

3줄 요약
1. 가볍고 빠른 ‘레드 팀 vs. 블루 팀’ 대행 솔루션 바스. 마이터의 평가 시스템을 기반으로 하고 있음.
2. 이 솔루션의 궁극적인 목표는 ‘보안의 민주화.’ 누구나 쉽게 보안을 점검하고 위험에 대응할 수 있게 한다는 것.
3. 라이브러리 일부는 파이선으로 구성되어 있고, 사용자가 맞춤형으로 편집할 수 있게 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향