보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

사건 대응에 대한 걱정은 많은데, 실질적인 향상은 없어

  |  입력 : 2021-05-13 17:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 사고를 염려하지 않는 조직은 없다. 그러나 그 염려를 바탕으로 실제적인 개선을 이뤄내는 곳은 아직도 드물다. 여러 기업들이 조사를 통해 이 사실을 노골적으로 드러냈다.

[보안뉴스 문가용 기자] 코로나로 인해 보안 침해 사고에 대한 염려 수위가 급증했다고 하는데, 이것이 실질적인 사건 대응 능력 향상으로 이어지지는 않았다는 내용의 보고서가 보안 업체 레드카나리아(Red Canary)와 크롤(Kroll), VM웨어(VMware)로부터 나왔다. 500명의 보안 및 리스크 관리 책임자들을 대상으로 인터뷰를 실시한 결과라고 한다. 아직도 정립된 사건 대응 시스템을 갖추지 못한 조직들이 36%를 넘는다고 나왔다.

[이미지 = utoimage]


이번 조사에 참여한 500개 조직들 중 70%가 매일 100번이 넘는 보안 경보가 울린다고 답을 했으나, 그에 대해 조직적인 대응을 규모 있게 해낸다고 밝힌 건 8%에 불과했다. 46%의 경우 “사건 대응 팀이 위협을 억제하는 데에 걸리는 시간이 1시간 이상”이라고 답했고, 작년에 3~4회 침해 사고를 경험했던 기업들 중 23%는 “12시간 정도가 필요했다”고까지 답했다.

결국 이번 조사를 통해 드러난 건 조직들 대부분이 너무 많은 경보와 위협 관련 데이터를 들고 어찌할 바를 모르는 상태라는 것이다. 경보를 많이 받는 곳은 하루 500건을 거뜬히 넘기는 것으로 나타나기도 했다. 이렇게 많이 경보가 울리지만, 최대 20건 정도 조사할 수 있을 뿐이라고 답한 조직이 79%였다. 즉 거의 대부분의 경보는 무시된다는 것이다. 그보다 더 많이 조사하는 조직들의 경우라고 하더라도 “결국 위협 수준이 낮은 것에 시간을 과투자 하는 경우가 대부분”이라고 답해 실질적인 위협에 대한 대처 환경이 거의 갖춰지지 않은 사실이 드러나기도 했다.

레드카나리아의 사건 대응 팀장인 그란트 오비아트(Grant Oviatt)는 “데이터 시스템과 인프라가 방대해지면서 첩보와 경보도 많아질 수밖에 없다”며 “현재 조직들은 연기가 가득한 숲속에서 불붙은 나무를 콕 짚어내지 못해 이리 저리 손만 뻗치고 있는데, 그 연기는 더욱 자욱해지는 상황”이라고 표현한다.

하지만 이것이 ‘사건 대응’만의 문제는 아니다. 즉 보안의 다른 영역은 다 잘 하는데 대응에만 조금 어려움이 있다는 수준으로 이 상황을 해석하긴 힘들다는 것이다. 절반에 가까운 49%의 응답자들은 “보안을 위한 도구와 인력이 부족하다”거나 “위협 요소들을 해석하고 처리할 능력 자체가 갖춰져 있지 않다”고 답했는데, 이것이 보다 근본적인 보안 능력에 문제가 있음을 알려준다. 게다가 40%는 솔라윈즈(SolarWinds) 사태가 대대적으로 터졌는데도 아직까지 실질적인 서드파티 위험 평가 방법조차 갖추고 있지 못하다는 답을 하기도 했다. 보안 교육 프로그램이 부족하다는 응답자는 37%였다.

법은 법대로 문제였다. 수많은 산업들에 보안 관련 규정이 다양하게 마련되어 있는데, 이에 대한 이해도를 제대로 갖추지 못했다고 답한 조직은 47%나 되었다. 절반 가까이가 법적 절차나 결과에 대해 막연히 알고 보안 관련 일들을 처리한다는 뜻이다. 당연히 기관들이 요구하는 법적 절차를 제대로 진행할 능력을 갖춘 곳도 적을 수밖에 없었다(40%).

오비아트는 “사건 대응은 사건이 터지고 나서 시작하면 안 된다”고 강조한다. “사건 전부터 미리 계획이 갖춰져 있어야 합니다. 그래야 사건이 터졌을 때 그에 맞춰 움직일 수 있습니다. 사건이 터져봐야 대응 능력을 알 수 있다는 건 그런 의미에서 틀린 말이기도 합니다. 준비하는 거 보면 어느 정도 감을 잡을 수 있습니다. 그런 의미에서 보안 사건 대응은 사업 운영에 가까운 영역이기도 합니다.”

이번 조사를 통해 조직들이 랜섬웨어에 대해 가장 많이 걱정한다는 사실도 발견됐다. 그 다음은 코로나로 인한 가시성 부족 문제, 원격 근무자들의 VPN을 겨냥한 공격이 염려거리인 것으로 나타났다. 이를 해결하기 위해 스스로 사건 대응에 대한 자신감이 없는 조직들은 대부분 외부 업체에 대응 문제를 맡기는 것처럼 보인다. 특히 MDR 제공 업체가 인기가 높았다(76%).

하지만 오비아트는 “서드파티에 보안을 전부 맡기는 건 위험하다”고 경고한다. “외부 업체는 객관적 위협 데이터만 열람할 수 있을 뿐입니다. 이 데이터를 가지고 ‘사업적 혹은 조직적 맥락 가운데 해석’할 수 있는 건 내부 보안 팀입니다. 예를 들어 정상과 비정상 트래픽 구분을 외부인과 내부인이 하는 것에는 큰 차이가 있을 수 있습니다.”

오비아트는 “집주인이 일단 빠져나오고 봐야 하는 화재 사고와 달리 보안 사고는 주인이 현장에서 적극적으로 조치를 취해야 하는 것”이라며 “오히려 세금 감사 준비와 비슷”하다고 설명한다. “금융 전문가가 처음부터 끝까지 모든 세금 문제를 다 처리해 줄 수 없지요. 비전문가인 고객이 함께 참여해야 감사를 준비할 수 있습니다. 보안이라는 것도 외부 전문 인력과 내부 사정을 아는 사람의 협조가 필요한 일입니다.”

3줄 요약
1. 현재 첩보 분석가들의 상황은 연기 자욱한 숲에서 불붙은 나무를 정확히 찾는 것과 같음.
2. 보안이란 주인이 일단 현장에서 빠져나오는 화재 사고가 아니라, 주인이 전문가와 함께 준비해야 하는 세금 감사와 비슷.
3. 오비아트는 보안 전문가인가 비유 전문가인가.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북