사이버 공격의 최전방에 있는 보안관제
사이버 공격의 최전방에 있는 보안관제
최근 한 국내 대기업이 이메일 해킹 무역 사기, 이른바 ‘스캠’에 의해 수십억 대의 피해를 본 사실이 밝혀지며, 주요 기관과 기업을 노린 사이버 위협에 대한 경각심이 한층 커지고 있다. 경찰청 자료에 따르면, 지난 해에는 150여건의 이메일 해킹 무역 사기가 발생했고, 올해 4월까지 벌써 40여 건의 피해 사고가 접수된 것으로 나타나 충격을 자아냈다.
이메일 해킹 무역 사기와 더불어, 기업의 주요 자료, 업무 기밀 등을 암호화하고 이를 해제하는 대가로 금전을 요구하는 랜섬웨어 공격도 한층 증가하는 추세다. 많은 보안전문가들은 해커들이 랜섬웨어를 이용해 높은 금전적 수익을 올리고 있는 만큼, 이를 성장 원동력으로 삼고 개인을 넘어 기업을 겨냥하여 더욱 진화된 형태의 공격을 감행할 것이라 내다보고 있다.
앞 사례에서 확인했듯이, 기업, 기관을 노린 보안 위협이 장기간의 공격을 통해 더 많은 정보를 빼내고, 더 많은 금전적 손실을 입히는 방향으로 진화하고 있다. 실제로, 이탈리아 보안 전문가 파울로 파세리(Paolo Passeri)가 올해 4월 블로그 hackmageddon.com에 발표한 사이버 공격 통계에 따르면, 사이버 공격의 동기는 사이버 범죄(73.9%), 핵티비즘(12.0%), 사이버 스파이 행위(3.3%) 순으로 사이버 범죄가 큰 비중을 차지하고 있음을 확인할 수 있었다.
<이미지1. 사이버 공격 동기_자료 출처: hackmageddon.com>
주요 기관, 기업을 노린 사이버 위협에 대한 경각심이 날로 높아지고 있는 만큼, 새로운
보안 솔루션 도입을 통해 수 많은 보안 위협에 대처하고자 하는 움직임도 가속화되고 있다. 엔드포인트
또는 네트워크 단에서 유출 경로에 대한 사전적 통제를 통해 내부정보의 유출을 예방하거나, 기업의 중요
문서를 암호화하는 것이 대표적 예이다.
그러나, 신기술로 무장한 보안 솔루션 도입에도 기업, 기관을 노린 사이버 공격은 지속적으로 증가하고 있으며 이에 따른 피해 규모 역시 점점 늘어나는 상황이다. 포네몬 연구소(Ponemon Institute)가 2009년부터 2015년에 걸쳐 미국 기업을 대상으로 조사하여 발표한 보고서에 의하면, 사이버 공격 대응을 위해 기업 당 투입하는 평균 비용은 2009년(190만 달러)에서 2015년(6,500만 달러) 사이 무려 82%나 증가했지만, 사이버 공격으로 인한 피해 규모는 감소하지 않고 매년 20%씩 증가한 것으로 나타났다.
국내 보안 환경도 유사한 흐름을 보이고 있다. 2013년 발생한 3·20 사이버 테러 이후, 많은 기업, 기관들이 기업의 정보보안 수준을 점검하고, 다양한 보안 장비를 새롭게 도입하며 안전한 정보보안체계 구축에 박차를 가했지만, 한국수력원자력 내부 자료 유출을 비롯한 대규모의 사이버 공격이 잇달아 발생하는 등 단기적 대책에 불과하다는 목소리가 나왔던 것이 사실이다.
고도화된 보안 위협에 대응하기 위한 보안관제의 중요성
신 기능, 고 성능으로 무장한 보안 솔루션 도입에도 더 많은 보안 사고가 발생하고 있는 이유는 무엇일까?
우선적으로, 상당수의 기업들이 경계 기반에 집중된 수동적이고 제한적인 방어 전략을 고수하고 있다는 데서 문제점을 찾을 수 있다. 기업의 IT 환경에 대한 가시성을 확보하지 않은 채 외부에서 내부로 들어오는 경계에만 집중하고 있는 만큼, 침입 경로를 수시로 바꾸고, 임직원처럼 겉모습을 위장하며, 기업 내부 시스템들을 수 개월 동안 옮겨 다니다 취약점을 간파해 공격을 감행하는 지능적인 공격자의 행위를 탐지하기에는 한계가 있을 수 밖에 없다. 침입자는 이미 집 안에 들어왔는데, 문 단속만 철저하게 하는 식이다.
또한, 표준화 된 보안관제 프로세스가 마련되지 않았다는 점 역시 문제로 지적된다. 고도화된 사이버 공격은 시간과의 싸움이다. 정보 수집부터 분석, 사고 대응, 보고, 후속 조치에 달하는 일련의 대응 프로세스가 확립되지 않았다면, 공격을 탐지해도 빠르게 대응하지 못해 공격에 따른 피해가 확산될 우려가 있다. 그러나, 일련의 대응 프로세스를 주체적으로 확립할 수 있는 기업과 기관은 매우 드물다. 사이버 공격의 최전방에서 쌓아온 실전 경험이 부재하며, 예산의 문제로 지속적인 대응 훈련을 실시하기도 어렵기 때문이다.
무엇보다도, 보안 솔루션 운영 및 관리, 탐지/분석/대응, 예방 업무를 모두 아우를 수 있는 검증된 전문 인력 확보가 어렵다는 점에 주목해야 한다. 보안시스템에서 발생하는 이벤트나 이상 징후를 알아차리고, 이것이 위협인지 아닌지를 정확하게 판단하기 위해서는 전문적인 역량과 지식, 경험을 갖춘 인력 개입이 필수적으로 요구된다. 그러나, 현실적으로 모든 기업이 대용량의 보안 데이터를 효율적으로 수집?분석하고, 보안 위협에 선제적으로 대응할 수 있는 전문 인력을 확보하기에는 한계가 있는 것이 사실이다.
이와 같은 관점에서, 기업, 기관의 내부 IT 인프라가 보안 위협에 노출되지 않도록 24시간 365일 지켜보고, 위험요소 발견 시 즉각 대처할 수 있도록 정보보호시스템에 대한 운영 및 관리를 대행하는 보안관제 서비스에 대한 수요가 점점 높아지고 있다. 다년간 축적된 경험과 전문 지식에 기반해 기업 전반에 걸친 가시성을 확보하고, 보안 관리의 복잡성을 해소하며, 위협에 맞서 보다 정확하고 빠른 의사결정을 내리기 위해서다. 이에, 보안관제 서비스의 영역과 형태, 핵심 구성 요소에 대해 알아보는 시간을 가지고자 한다.
|
1 |
㈜이글루시큐리티 |
8 |
㈜윈스 |
|
2 |
한국통신인터넷기술(주) |
9 |
롯데정보통신(주) |
|
3 |
㈜안랩 |
10 |
(주)에이쓰리 |
|
4 |
한전KDN(주) |
11 |
㈜시큐어원 |
|
5 |
㈜싸이버원 |
12 |
한솔넥스지㈜ |
|
6 |
에스케이인포섹(주) |
13 |
㈜포스코ICT |
|
7 |
유넷시스템(주) |
14 |
㈜ktds |
<표1. 대한민국 보안관제 전문 업체 지정 현황_자료 출처: 한국인터넷진흥원>
보안관제 핵심 업무 영역 및 제공 형태
일반적으로 보안관제 업무는 업무 성격에 따라 크게 3가지로 구분된다. 첫째, 보안 장비, 시스템의 장애를 파악하고 이력을 점검하며 보안 규제 준수 여부를 살펴보는 일련의 활동을 포함하는 ‘운영 및 관리’ 업무이다. 각종 보안 장비가 기업의 IT 환경에 맞게 제대로 작동되고 있는지, 정책이 올바르게 설정되어 있는지, 각종 보안 장비를 수시로 관리하고 적절하게 운용 할 수 있는 능력이 요구된다. 방화벽, IDS, IPS, UTM, WAF, DDoS 대응 장비 등 여러 보안 장비에 대한 지식과 사용 경험, 최신 보안 규제에 대한 지식이 뒷받침 되어야 함은 물론이다.
둘째, 공격자의 행위를 빠르게 탐지하고 이중 우선적으로 해결해야 할 이슈, 위협 요소, 사고를 빠르게 판별해 대응하는 ‘탐지/분석/대응’ 업무이다. 오늘날 공격이 지능화되고 다양화되고 있는 만큼, 네트워크 전반에 걸친 모든 정보의 흐름을 보다 빠르고 정확하게 인지해 다양한 위협을 확인하고 이에 대처할 수 있는 능력이 요구된다. 침해사고 발생, 악성코드/링크를 포함한 이메일 수신, 내부 정보 유출, 기업을 대상으로 한 디도스 공격 감행 여부 파악 등이 이에 해당된다.
셋째, 사고가 발생하는 것을 막고, 발생하는 경우에는 기민하게 대응해 피해를 최소화하기 위한 예방 업무이다. 알려진 공격은 물론 알려지지 않은 위협에도 기민하게 대응할 수 있도록 서버, 애플리케이션, 네트워크, SW 취약점을 점검하고, 유해 IP와 악성 URL 등 최신 위협 정보를 업데이트하며, 임직원을 대상으로 한 모의 훈련을 실시하는 등 고도화된 위협에 대한 방어력을 높이고 임직원의 정보보안 인식을 제고하는 데 주안점을 두고 있다.
보안관제 업무는 대응 프로세스에 따라 구분될 수도 있다. 일반적으로, ▷이기종의 보안 장비에서 나오는 다양한 보안 데이터를 수집하는 ‘정보 수집 단계’, ▷경보 발생에 따른 침해사고 및 해킹 패턴을 분석하고 다양한 장비에서 생성된 보안 데이터와 내?외부에서 수집된 최신 보안 위협 정보를 상관 분석하는 ‘모니터링/분석 단계’, ▷공격으로 판단되는 이벤트에 대한 원인 및 대응책을 마련해 대응하는 ‘대응/조치’ 단계, ▷침해사고 처리 및 장애 처리 결과를 정리하고 이를 관련 부서에 전달하는 ‘보고 단계’의 4단계로 나눠진다.
<이미지3. 보안관제 서비스 프로세스_자료 출처: 이글루시큐리티>
일반적으로, 보안관제 서비스는 고객의 특성을 고려한 서비스 제공 형태에 따라 크게 3가지 유형으로 제공되고 있다. ▷관제센터에서 고객사의 보안 시스템을 원격으로 운영, 관리하는 형태로 비용효율성이 뛰어난 ‘원격관제’, ▷보안관제 인력이 고객사에 상주하여 서비스를 제공하여 침해/장애 발생 시 즉각적인 조치가 가능한 ‘파견관제’, 그리고 ▷기본적으로 원격에서 관제하되 침해 사고나 장애가 발생할 시에는 인력을 파견하여 빠르게 조치를 취하는 ‘혼합형 관제’로 구분되고 있다.
<이미지3. 보안관제 서비스 종류_자료 출처: 이글루시큐리티>
보안관제의 핵심 구성 요소 - 관제시스템(시스템), 관제체계(프로세스), 관제인력(인력)의 유기적인 결합
이렇듯 보안관제 업무의 범위와 형태가 한층 넓어지고 세분화됨에 따라, 보안관제의 핵심 구성요소인 관제시스템, 관제프로세스, 관제인력 역시 변화를 거듭하고 있다. ▷기업 경계 및 내부의 각 연결지점에 있는 이기종의 정보보호시스템에서 방대한 보안 데이터를 수집하고(관제시스템) ▷이렇게 수집된 데이터를 검색, 분석하여 공격의 유효성을 검증하고 대응 우선순위를 정하며(관제인력), ▷우선순위에 의해 공격을 차단하고, 대응하여 피해를 최소화 하는 프로세스(관제프로세스)가 마련되어야 하기 때문이다.
▷보안관제의 주요한 무기가 되는 보안관제 시스템
우선적으로 요구되는 것은 각 포인트 단에서 취합된 보안 데이터를 한 곳에 수집해 모든 정보의 흐름을 한눈에 직관적으로 인지할 수 있는 통합된 관제 환경 구성이다. 사소한 공격 하나라도 기업 전체를 치명적인 위협에 빠뜨릴 수 있는 보안홀이 생길 수 있는 만큼, 일어나는 모든 일을 지켜보고, 이상 징후를 발견 즉시 전파하며, 허술한 곳은 없는지 낱낱이 살펴보고 빈 틈을 메워 놓을 수 있게 하는 것이다.
기존의 ESM 솔루션의 경우 모든 로그가 한 곳에 수집되지 않아, 분석을 수행할 시에는 해당 보안 장비의 로그를 다시 확인해야 했던 불편함이 있었던 것과 달리, 최신 보안관제 시스템은 방화벽, IDS, IPS, UTM, WAF, DDoS 대응 장비 등 다양한 이기종의 보안 장비로부터 생성되는 기가바이트 급의 보안 데이터를 한 곳에 빠짐없이 수집, 저장하고 이를 분석하여 취약점과 위협 요인을 보다 빠르게 탐지하고 위험을 대응하는 형태로 진화하고 있다. 공격자의 활동 시간을 단축시켜 더 큰 피해가 발생하는 것을 방지하는 것이다.
특히, 이기종의 보안 장비에서 생성되는 방대한 분량의 보안 데이터를 다양한 관점에서 분석하는 ‘상관분석’ 기능 구현 측면에서 주목할 만한 변화를 보이고 있다. 기존 단일 로그 중심 분석에서 나아가, 이기종의 보안 장비에서 생성되는 모든 로그, 네트워크 데이터, 시스템 이벤트를 수집하고 이를 내외부 위협정보와 함께 통합적으로 분석함으로써 공격의 유효성을 검증하여 관제의 정확성을 높이는 형태다.
<이미지3. 보안관제 솔루션의 필수 요건_자료 출처: 이글루시큐리티>
▷보안관제의 나사 역할을 하는 보안관제 프로세스
지속적인 훈련을 통해 정립된 ‘프로세스’ 역시 보안관제 체계 구축에 있어 중요한 요소로 꼽힌다. 표준화 된 관제 절차 부재로 공격에 빠르게 대처하지 못했다면 피해가 눈덩이처럼 불어날 수 있기 때문이다.
보안관제 프로세스는 정보 수집부터 분석, 사고 대응, 보고, 후속 조치까지 실전 공격과 위기 상황에 보다 기민하게 대응하기 위해 진화하고 있다. 실제 환경과 흡사한 형태의 모의 대응 훈련을 지속적으로 실시해 관제 룰셋 및 대응 프로세스를 점검하고, 유관 기관과의 협력 및 공동 대응 여부를 확인하며, 각 단계별로 담당자 역할은 명확하게 정의되어 있는 지 점검하는 것이 대표적 예이다.
▷고도화된 공격에 기민하게 맞설 수 있는 보안 인력
고도화된 사이버 공격에 보다 기민하게 맞서기 위한 보안 인력 역시 보안관제에서 빼 놓을 수 없는 핵심 요소 중 하나다. 보안 장비는 경보를 보낼 뿐 이를 스스로 분석하지 않기 때문에, 경보를 확인하는 것에서 더 나아가, 이것이 공격인지 아닌지, 공격이라면 어느 공격이 더 위험한지 빠르고 정확하게 분석하고 대응할 수 있는 전문 보안 인력 확보가 필수적으로 요구된다.
이에, 이글루시큐리티를 비롯한 주요 보안관제 서비스 제공업체들은 지능화 된 최신 위협에 대한 교육 및 시나리오 기반의 복합 훈련을 정기적으로 실시하고 있다. 보안 이벤트 간의 상관관계를 통찰력 있게 바라보고 현재의 위협은 물론 잠재적인 미래의 위협에도 대처할 수 있는 전문 역량을 확보하기 위해서다.
날로 지능화되는 사이버 위협, 선제적인 보안관제 체계 구축으로 맞서야
‘1:29:300’.
대형 사고 1건이 일어나기 전에 그와 관련된 경미한 사고가 29번 발생하고, 이에 앞서 300건 이상의 사소한 징후가 나타난다는 하일리히 이론이다. 정보 보안 분야 역시 이 이론에서 예외는 아니다. 초기 단순한 바이러스로 시작되었던 사이버 공격이 점차 다양해지고 정교해지고 있는 만큼, 단 1건의 이상 행위를 놓치는 것만으로도 기업 인프라 전체가 다운되거나 주요 정보가 유출되는 막대한 피해가 발생할 수 있기 때문이다.
날로 지능화되는 오늘날의 사이버 위협은 관제 시스템, 관제 프로세스, 관제 인력이 유기적으로 결합된 보안관제 체계를 구축할 것을 요구하고 있다. 기업의 IT 환경을 노리는 위협에 대한 가시성을 확보하고, 방대한 보안 데이터에 대한 분석을 통해 공격에 빠르게 대처하는 지능형 보안관제 체계 구축은 기업의 성장과 영속성에 큰 영향을 주는 필수 요건이 될 것이라 생각한다.
출처: (주)이글루시큐리티 인프라컨설팅팀/ 오영택 책임컨설턴트
