Home > 전체기사
사이버 보안 첩보에 대한 3가지 오해와 진실
  |  입력 : 2019-12-03 14:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 첩보, 없어서 문제가 아니라 활용할 줄 몰라서 문제…활용 못하면 소용없어
첩보 입수했다면 방어의 기본 원리 점검할 게 아니라 탐지 활동부터 펼쳐야


[보안뉴스 문가용 기자] 데이터 침해 사고에 대한 소식은 끝없이 보도되고 있다. 2019년 1~3 사분기에만 1152건의 데이터 침해 사고가 발표됐다고 하고, 1억 6천만 건의 기록이 기업들로부터 새나간 것으로 집계된다. 은행, 병원, 소셜 미디어 사이트, 식당 등 피해를 입은 기업의 종류도 다양하다.

[이미지 = iclickart]


물론 침해 사고에 대한 소식이 끝도 없이 전파되고 있는 게 새삼스러운 일은 아니다. 그러나 같은 침해 소식이라도 최근의 것들이 더 심각한 건, 우리가 보안에 대한 투자를 크게 늘린 후이기 때문이다. 예전에는 보안에 신경을 쓰지 않아서 당했다면, 지금은 보안에 집중해도 당하고 있다.

뭐가 잘못된 것일까? 필자는 이것이 ‘위협’에 대해 학습하는 방법부터가 잘못되었다고 보고 있다. 위협 소식을 접하고는 대응을 할 줄 모르고, 따라서 ‘어어’ 하다가 당하고만 있는 것이다. ‘적을 알아야 방어할 수 있다’는 명제에 동의하지 않는 보안 전문가는 없지만, 사실 이를 제대로 실천하고 있는 전문가는 극히 적은 게 우리의 취약점이다.

지난 8년 동안 사이버 보안 분석가로 근무하면서 나는 이러한 문제점을 숱하게 목격해왔다. 첩보는 있는데, 그걸 가지고 가치를 창출하지 못하는 것 말이다. 위협 첩보의 문제는 더 이상 ‘소식이 없다’거나 ‘첩보를 어디서 얻어야 할 지 모르겠다’는 차원에서 발생하지 않는다. 오히려 너무 많은 소식을 어떻게 활용할지 모르는 게 문제가 되고 있다. 현장에서 가장 흔하게 접할 수 있는 문제 세 가지를 정리해보면 다음과 같다.

오해 1 : 위협 첩보는 썩지 않는다?
위협 첩보를 입수한 보안 담당자들은, 그걸 가지고 사고 예방 활동에 주력한다. 하지만 대부분 정적으로 활용하려는 경향을 보이며, 따라서 첩보의 불완전성을 제대로 해결하지 못한다. 즉, 첩보를 추상적으로 혹은 너무나 광범위하고 포괄적으로 적용하려고 한다. 그래서 노력한 것이 무용지물로 귀결되는 경우가 많다. 차라리 입수한 첩보를 가지고 탐지 활동과 가시성 확보에 ‘능동적으로’ 사용하는 게 훨씬 효과적이다. 새로운 뭔가를 관찰할 때 확대경을 가져다 대는 게 효과적이지, 그 새로운 걸 가지고 처음부터 벽을 쌓을 수 없는 노릇이다.

정적 방어라는 건, 예방이라는 목적을 달성하는 데 있어서 꽤나 효과적일 수 있다. 예를 들어 애플리케이션 화이트리스팅이나 네트워크 접근 제어 장치가 마련되어 있다면, 그러한 사실을 인지하지 못한 공격자들을 효과적으로 차단할 수 있다.

하지만 이런 정적인 방어 체계는 위협 첩보의 가치를 최대한으로 끌어올린 형태의 활용법이라고 말하기 어렵다. 첩보는 ‘시기성’을 가진 것이 대부분이며, 따라서 재빠르고 유연하게 활용해야 알맞다. 유통기간이라는 속성이 있는 재료를 영구히 활용할 수 없다는 뜻이다. 따라서 첩보 하나로 영구적이고 포괄적인 방어벽을 치고 공격이 들어오기를 기다리는 게 아니라, 첩보에 알맞은 탐지 활동을 능동적으로 펼치고, 그에 따른 경보 체계를 수립하고, 사건 대응의 채비를 갖춰야 한다.

오해 2 : 첩보는 많으면 많을수록 좋다?
위에서도 언급했지만 첩보의 가치를 제대로 살릴 줄 아는 조직들은 많지 않다. 단순 사이버 첩보만을 말하는 게 아니다. 하루에도 수백~수천 건씩 적립되는 정보가 가치 있게 환산되는 경우가 얼마나 있는가? 그 비율이 어느 정도인가? 이를 생각해보면 수긍이 갈 것이다. 그러므로 정보란 것이 그 자체로 조직이나 사람을 유익하게 하지는 않는다. 정보를 활용할 수 있어야 정보는 가치를 갖게 된다.

동네에 강도가 출현한다는 소식이 들려왔다. 당신은 어떤 행동을 취할 것인가? 흘려 넘기면 그 첩보는 아무런 가치를 발휘하지 못한다. 그러나 문을 잠그고, 귀중품을 좀 더 깊숙한 곳에 보관하고, 당분간 친척 집이나 친구 집에서 지내기로 한다면? 그 때서야 첩보가 가진 가치가 발휘되기 시작한다. 물론 이 모든 조치들이 100% 안전을 보장하지는 않지만 말이다.

강도 소식에 있어서 우리 대부분은 해야 할 일을 알고 있다. 사이버 첩보의 경우 이런 식의 ‘대응법’을 즉각 떠올리지 못하는 조직이 아직도 수두룩하다. 현장에서 목격한 바 빠르고 민첩한 대응을 하는 기업들은 주로 다음과 같은 순서로 일을 한다는 걸 알 수 있었다.
1) 첩보를 가지고 탐지 활동을 시작한다.
2) 첩보에 따라 알맞은 도구를 선별해 활동한다.
3) 특정 단체가 공격 준비를 하고 있다는 걸 알아냈다면 그에 따라 네트워크 구성이나 환경설정을 조정해 방어력을 높인다.

여기서 제일 중요한 건 3)번이다. 첩보에 따라 인프라를 조정하지 못한다면, 첩보를 가지고 탐지 활동을 하고 추가 공격 정황을 밝혀낸다 하더라도 아무런 소용이 없다. 행동하지 않으면 첩보가 낭비되는 것이다.

한 기업의 경우, 운영하고 있던 전자상거래 웹사이트가 공격 당하기 직전이라는 첩보를 입수했다. 하룻밤 만에 호스팅 업체를 바꿀 수도 없었고, 그렇다고 사이트를 닫을 수도 없었기에 이 기업은 방어를 위해 아무 것도 하지 못했다. 그 결과 공격은 실제 벌어졌고, 기업은 사이트를 잠시 닫아두고 보안을 강화하는 것보다 더 큰 손해를 봤다. 게다가 고객의 신뢰도 크게 떨어졌다. 첩보를 가지고 사이트 설정을 조정한다거나 호스팅 업체와 연락해서 몇 가지 환경 옵션만 바꿨어도 피해를 최소화 할 수 있었다는 걸 이 기업은 나중에 알았다.

오해 3 : 첩보는 누구에게나 필요하다?
위첩 첩보는 꽤나 유익하며, 첩보를 가지고 있는 순간 보안 담당자의 가치는 한껏 올라간다. 그러나 이 첩보의 활용도를 하룻밤만에 높일 수 있는 방법은 존재하지 않는다. 어떤 조직도 이전까지 대수롭지 않게 여겼던 첩보를 갑자기 귀하게 모실 수 없다. 첩보 활용 문화나 업무 프로세스가 정립되어 있지 않기 때문이다.

그럼에도 첩보가 좋다고 마구 수집하다가는 오히려 아무 것도 처리하지 못하고 정보의 소화불량에 걸리고 만다. 걱정만 쌓이고 불안만 늘어난다. 잠이 줄어들고, 식욕도 줄어든다. 처리하고 다룰 수 없는 첩보는 오히려 보안 담당자 혹은 보안 팀에 짐만 된다. 첩보를 처리할 프로세스가 마련되어 있지 않은 조직이라면 차라리 기본 보안 실천 사항을 강화하는 편이 낫다. 관리자 권한을 축소시키거나, 권한을 가진 사람을 줄이고, 애플리케이션 화이트리스팅을 보다 꼼꼼하게 진행하는 등을 하라는 것이다.

글 : 안톤 추바킨(Anton Chuvakin), Chronicle
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)