ViRobot

하우리샵 바로가기

보안뉴스

정보보안, 더 잘하기 위해서 해야 할 일 5
등록일 : 2017.03.20
데이터 분석, 더 빨라지고 더 실시간에 가깝게 해야
분석가들에게 연봉만 준다고 다가 아니야...CISO의 가치 증명도 관건


[보안뉴스 문가용 기자] 관점에 따라 2016년은 보안 전문가들에게 있어 가혹했던 한 해로 평가되기도 하나 보안이라는 분야가 얼마나 역동적인지 세상에게 알릴 수 있었던 한 해이기도 했다. 보안 전문가가 그저 남이 만든 소프트웨어에서 벌레들 잡아내는 사람이 아니라 기업이나 국가 전체의 방어 시스템을 점검하고 구축하는 사람이라는 것 또한 증명되었다.


그래서 보안과 관련된 조언을 구하는 사람이 최근 들어 크게 늘어났는데, 상담 시간을 계속해서 갖다 보면 ‘아직도 나아가야 할 길이 더 많이 보인다’고 전문가들은 입을 모은다. 그렇다면 여기서 우리는 더 무엇을 해야 좀 더 효율적으로 조직이나 개인을 지켜낼 수 있게 될 것인가? 마이크 컨버티노(Mike Convertino)의 설명이다.

1. 기계와 손잡기
현대의 우리들에게는 프로그래밍이 가능한 기술이 가득하다. 또한 기기들끼리, 시스템끼리의 호환성도 점점 더 우수해지고 있다. 그러므로 로그인, 근처의 카드 데이터, 웹에서의 사용자 행동, 위치 등 다양한 정보를 엮어서 활용하는 게 가능해진다. 그래서 사용자의 기계에 에이전트를 두고 각종 정보를 로깅할 수도 있고, 타 보안 업체와 커뮤니티로부터 풍부한 첩보도 받아 그에 맞는 유연한 대처를 할 수 있게 된다.

전혀 상관없는 곳으로부터 받은 정보를 빠르게 엮어낼 수 있다는 건, ‘정보를 엮어 의미를 찾는다’는 인간의 일을 대신 수행하는 시스템이 늘어나고 있다는 뜻이다. 이런 능력을 기계가 갖추게 되면, 당연히 특정 사고에 대한 거의 모든 정보를 실시간에 가깝게 처리할 수 있게 된다. 자연히 분석가들은 최고로 중요한 정보만 들여다볼 수 있게 되는 것이다.

여기서 한 발 더 나아가면, 기계가 정보를 엮어낼 뿐만 아니라 스스로 분석도 해 ‘악성인지 아닌지’ 파악하는 것도 가능해질 수 있다. 그것도 거의 실시간으로 말이다. 이 기능까지 기계에게 맡기면 스스로 위협을 완화시키는 것 역시 일부 가능해질 것이다. 이런 류의 ‘빠른 탐지, 빠른 대처’ 시나리오의 필수 요인은 인공지능이다. 보안 업계가 인공지능을 활발히 받아들여야 하는 이유라고 본다.

2. 데이터 자체에 대한 더 나은 이해
데이터가 범람하는 시대, 그래서 인공지능이 큰 화두가 되고 있는 시점에서, CISO들은 1차 자료(primary data)와 2차 자료(secondary data)의 차이점을 분명히 이해하고 있어야 한다. 그 이해를 바탕으로 데이터의 출처에 최대한 가까이 접근하여 시스템 자동화를 꾀해야 한다. 데이터 출처에 가까우면 가까울수록 자동화 및 모델링 작업에 누수가 덜 생긴다.

출처에 최대한 가까이 접근한다는 건 무슨 뜻일까? 데이터가 만들어지는 시간의 로그를 확보한다는 것이다. 그래서 로그 파일 자체가 침해된 것이 아니라면 최대한 진실에 가까운 기록들을 얻어낼 수 있다. 이미 사건이 벌어진 후, 해커가 멀웨어의 흔적과 로그까지 다 지운 시스템에서는 별로 얻어낼 만한 것들이 없다. 이러한 작업을 위해서는 로그 출처에 대한 끊임없는 평가가 이루어져야 한다. 특히 로그가 작성되는 시간과 속도가 핵심적으로 봐야 할 것들이다.

3. 커뮤니티 전체에 돌려주기
인간이 하던 기계가 하던, 보안은 큰 틀에서 봤을 때 반드시 ‘순환적인 과정’이다. 어디선가 위협에 대한 정보가 생성되면 그것이 순환한 후에 소멸되어야 가치가 발생한다. 탐지 분석가가 뭔가를 탐지했다면, 이 정보를 가지고 엔지니어들이 솔루션 엔진을 업그레이드 시켜야 하고, 이 과정은 계속해서 반복되어야 한다. 그 반복 속에서 자동화가 더 탄탄해지고 방어벽도 두꺼워진다. 즉 효율성이 올라간다는 뜻이다.

그리고 이러한 정보는 커뮤니티 전체로도 순환되어야 한다. 더 많은 정보들이 서로 엮이고 엮일수록 정확해지고, 그런 방법론과 기술력이 전체적으로 보강되기 때문이다. 경계선이 존재하지 않는 사이버 보안 분야의 특성상 커뮤니티 전체가 향상된다는 건 실질적으로 중요한 문제이기도 하다.

4. 분석가들은 분석에 집중하도록
보안 전문가들과 데이터 분석가들의 몸값은 꽤나 비싼 편이다. 높은 연봉 주고 불러다가 단순 데이터 처리만 맡기기에는 비용 효율이 너무나 떨어진다. 그러니 이들이 본연의 임무를 수행할 수 있도록 환경을 마련해주는 게 C-레벨들의 임무라고 볼 수 있다. 아무런 환경 변화 없이 그냥 기계적인 데이터 처리만 맡긴다면, 그들도 도태되고 몸값은 몸값대로 버리는 꼴이 된다.

분석가들은 정말로 어려워서 기술로 어찌할 수 없는 문제들을 풀어냈을 때 삶의 보람을 느끼는 부류들이다. 전문 직종에 근무하는 사람들이 단순히 돈만을 위해서 일하는 게 아니라는 걸 이해해야 한다. 업무를 통해 추구하는 목적이 있고, 그걸 성취함으로서 보람을 얻는 것도 매우 중요하다. 게다가 우리가 상대하는 것도 결국은 ‘사람’이다. 아직은 사람을 기계만 가지고는 이길 수가 없다. 기술력을 퍼붓는다고 이길 수 있는 싸움이 아닌 것이다.

5. 가치 증명을 더 적극적으로
CISO들은 여러 방면에서 뛰어난 면모를 보이는 인재들이다. 그런데 딱 한 가지, 보안의 가치를 증명하는 데에 있어서는 그다지 적극적이지 않다. 보안이 얼마나 중요한지, 사람들은 대형 사고가 날 때에만 반짝 깨닫고 또 잊어버린다. 이것은 자꾸만 똑같은 실수를 저지르고, 비슷한 공격에 맨날 당하는 현상으로 이어진다. 그러므로 ‘평시’ 상태에서 CISO들은 보안의 가치를 전파하기도 해야 한다.

한 가지 방법은 ‘사고 소식을 알리는 것’이다. 우리 조직 내에서 일어난 사고만이 아니라 같은 업종 내 경쟁자, 고객, 파트너사에서 발생한 사건들도 알려야 한다. 그것도 관리직 및 임원들에게 말이다. 이런 저런 사건이 일어나 이만한 피해가 발생했습니다, 정도가 아니라 어떤 취약점을 통해 공격이 발생했고, 그런 비슷한 취약점이 우리 네트워크에 존재하는지, 우리는 어떤 피해를 입을 가능성이 있는지도 상세하게 보고해야 한다.

글 : 마이크 컨버티노(Mike Convertino)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

목록
- 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 정보에 대한 이용문의는 “보안뉴스(www.boannews.com)”로 문의하여 주십시오.