BLOG

[권영목 데일리시큐 객원기자. 사진] 

 

지난 7월말에 ‘RSA Conference 2016 APJ – Singapore’에 다녀온지 

불과 1주일 사이에, 국내에서는 대형 보안사고 이슈로 떠들썩하다.
컨퍼런스 후기를 작성하기 전에, 최근 화제가 되고 있는 영화 이야기부터 

시작해 보려고 한다.
최근 인기몰이 중인 영화들 중에서, 헐리우드 액션 블록버스터 최신 시리즈를 

보면, 액션 영화지만 사이버 보안과 관련된 요소들이 조금 더 흥미롭게 배치되어있는 것을 발견할 수 있다. 물론 영화이기에 약간의 허점도 보인다.

최소한 필자에게는 영화를 보는 동안 개인적인 사이버 보안 관심분야, 특히 이번 컨퍼런스에서 주안점을 두었던 부분과 최근 발생한 온라인 쇼핑몰의 개인정보 유출사건을 떠올리게 했으며, 인터넷 프라이버시에 대한 보안 중요성도 한번 더 짚어본 계기가 되었다.

아직 영화를 보시지 않은 분들도 있기에 줄거리보다는 영화속의 사이버 보안 요소를 짚어보면 아래 내용들이 포함되어 있다.
 
    1) 내부망으로 침투 성공한 시스템 탐지 (Detect - Incident)
    2) 실제 데이터 유출 과정 탐지 (Respond - Investigation)
    3) 침투자 시스템에 역으로 추적용 소프트웨어 배포후, 전원 차단 및 격리 (Respond - ReAct & Remediation )
    4) 향후 동일 시스템의 온라인 감지 시, 추가 대응을 위한 알람 모니터링 (Deteect - Watch List 등록 및 우선순위 할당)
    5) 차량 블랙박스 통신 연동 및 실시간 화면 공유 (IoT 연계)
    6) 세월이 흘러 얼굴이 변해버린 요원 실별 (안면인식 패턴매칭)
    7) 보안 컨퍼런스 키노트 스피치 (영화가 아니라, 정말 키노트 스피치 보는 느낌이 든다)
    8) 소셜미디어 기업의 프라이버시 보호에 대한 인식 

       (영화 비평가들은 기존의 스노든 폭로 사건과 애플/FBI 충돌 사건을 풍자했다고 평한다)
    9) BlackHat 2016을 연상시키는 라스베가스 사이버 컨퍼런스
 
서론이 길어졌다.
지금까지 다수의 대형 글로벌 보안 컨퍼런스(미국, 유럽)에 참관했었지만, APJ 중심의 컨퍼런스 참관은 이번이 처음이다.
전반적으로 요약해 보면, 매년 초에 개최되는 RSAC 2016 USA에 비해서 그 규모가 작고 보안 기업들의 부스 운영 규모도 그리 크지 않다. 개인적인 의견은 RSA Conference APJ(Singapore) 행사는 Full Conference 패스로 Early Bird 등록을 통하면 장점이 극대화된다.
비용이 그리 높은 편이 아니므로, 무료 아침/점심/간식과 더불어 전체 트랙과 키노트 중에서 개인의 관심사를 선별해 강연을 듣는 것이 훨씬 효율적인 것으로 판단된다. 또 중간에 부스 관람 및 데모시연 설명을 들을 수 있는 시간도 USA 컨퍼런스보다 훨씬 더 충분하다. 물론 직접 부스 운영에 참여하시는 분들은 예외이며 관람자 입장에서의 개인 의견이다.
 
Asia Pacipic & Japan에 좀 더 집중한 보안 이슈에 대해서 논의하는 컨퍼런스이기도 했지만, 급변하는 사이버 보안 이슈에 대해서 2016년 상반기를 마무리하는 시점에서 어떤 변화가 있었는지 살펴보는 계기도 되었다.
관심분야가 EDR(Endpoint Detection & Response), Threat Intelligence & Collabration 이기에, 관련된 트랙과 키노트 위주로 강연을 들었다.
 
2년전에 가트너가 발표한 Adaptive Security Architecture는 여전히 현업에서 많이 활용되고 있으며, ‘Predict > Prevent > Detect > Respond’ 와 같이 4가지 보안 도메인 안에서, 

각각의 보안 솔루션들이 유기적인 결합으로 구성되어 지속적인 활동을 수행하는 것을 지향하고 있다.
 
위 4가지 보안 도메인 중에서 지금까지 현업의 보안 기획 및 운영 관점에서 보면, Prevent에 좀 더 많이 투자하고 집중해 온 것이 사실이다. 침투 및 사고 자체를 차단하고 싶은 목적이 최우선으로 삼고 싶은 목표는 누구나 동일하지 않았을까 생각된다.
하지만 Prevent가 완벽할 수 없다는 실질적인 경험 및 추가적인 가정하에, 최근 글로벌 보안 트렌드는 Detect와 Respond에 투자를 좀 더 배분시켜야 함을 강조하고 있으며, 공격자 또는 공격행위 탐지후 침해대응/분석/수정/제거 과정을 포함해 네트워크 내부에서의 공격지속시간을 의미하는 Dwell Time 최소화와 탐지후 대응을 위한 Response Time을 얼마나 단축시킬 것인가에 대한 중요성을 상당히 많이 부각시키고 있다.
 
사실 개인적으로는 이런 추세에 당연히 동의하면서도 Prevent 분야에서 세부 분야로 분류되어 있는 .

Isolation(격리) 기술을 가진 보안기업(예, Menlo Security, Bromium, Spikes Security 등)의 아키텍쳐도 상세히 확인해 보고 싶었으나, 아직 APJ에는 적극적인 사업확장을 진행하지 않는지, 이번 싱가폴 컨퍼런스의 부스운영이나 트랙 강연에는 나오지 않은 것으로 확인되어서 많이 아쉬웠다.
 
RSA (ECAT / SA), Carbon Black, CounterTak, CrowdStrike 등의 EDR 벤더사는 미국/유럽과 마찬가지로 APJ에서도 적극적인 마케팅 및 고객 접점을 가져가고 있는 것을 생생히 확인할 수 있었다.
 
위 요약을 바탕으로 컨퍼러스에서는 최근 2016년 7월까지의 공격유형 업데이트와 좀 더 능동적인 방어 방법론에 대한 공통된 주제들이 다수 있었으며 아래와 같이 정리해 본다.
 

O 사이버 공격자는 사이버 범죄자다.

사이버 공격자를 사이버 범죄자로 불러도 될 만큼 위험한 존재가 되었다는 것은 누구나 인정하는 분위기다.
지능적으로 다양화되고 있는 공격 유형은 공격대상이 구축해 놓은 방어 수단을 회피하기 위한 공격기술의 발전으로 볼 수 있지만, 이렇게 많은 공격의 목적 자체가 "돈 (Money, Bitcoin)"을 요구한다는 단일하고 명확한 양상을 보이는 것에 기인한다.
이에 멀웨어(Malware)가 크라임웨어(Crimeware)로 불려지는 것은 당연한 이치이다.
 
이미 수년전부터 공격자들을 위한 블랙마켓이 존재하고 기업화 및 고도의 서비스화 되고 있다는 사실을 우리는 알고 있다.
초기의 블랙마켓은 유출한 데이터 및 개인정보를 판매하고 유통시켰던 수단이었지만, 크라임웨어를 직접 판매하고 유지보수 및 컨설팅 해주는 역할로 변모해가고 있다는 것도 이미 알려진 사실이다.
 
한층 더 유념해야 할 부분은, 기업이 공격을 방어하기 위해서 Threat Intelligence와 Security Collabration 방향성에 투자하는 것처럼, 블랙마켓도 "Cybercrime Collabration"을 위한 협업체계를 더욱 강화시켜나가고 있다는 것이다.
지속적이고 타겟팅된 공격을 성공시키기 위해서 공격 대상기업의 정보 상호 공유, Q&A 게시판 운영, 공격 성공사례 공유 등의 활동은 기본이다. 더불어 최근 골치거리가 되고 있는 랜섬웨어는 더욱 많은 정보를 상호 공유함으로써, 정확한 로컬라이제이션을 바탕으로 진행되고 있으며, 언어/통화 단위까지 일치시켜서, 아시아 지역에서도 공격 성공의 정확도를 점차 높여가고 있다.
 
명성높은 사이버 크라임 벤더들이 더 많은 수익을 위해서 "Cybercrime-as-a-Service" 모델까지 비지니스로써 정착시켰고 협업으로 서비스 함에 따라서, 이제 구체적인 기술없이도 돈으로 사이버범죄 서비스를 구매하고 의뢰받은 전문 공격자에 의해서 훨씬 정교한 공격이 가능하게 변모해 나가고 있는 것을 인정해야만 한다.
 
브루스 쉬나이어(Bruce Schneier)는 키노트 스피치를 통해서 공격자가 방어자보다 좀더 우위에 있을 수 밖에 없으며, 그 이유는 공격자는 오직 하나의 타겟만 집중 공략할 수 있도록 엄청난 노력과 공을 들이는 입장인데, 방어자는 그 사실을 모르는 상태에서 폭넓은 방어책을 대비해야 하기 때문인 것으로 풀었다. 더불어 볼 수 없는 것과 발생하지 않은 공격을 예측을 통해서 미리 방어한다는 개념은 현실적으로 성립되기 어려우며, 항상 공격을 따라가면서 방어해야 하는 입장으로써, 방어자가 더 힘들다는 것을 인식해야 한다고 말했다.
보안 권위자가 이런 키노트 스피치를 하는 것을 받아들이기는 상당히 어려울 수 있으나 현실을 직시해야 한다는 의미로써는 상당히 공감이 되는 부분이다.
 

O 보안 관점을 Prevent 중심에서, 

    "Prevent (33%) > Detect (33%) > Respond (33%)" 의 균형 구조로 방어 전략의 전환이 필요하다.

보안 사고는 무엇을 의미하는가? 뚫렸음을 의미한다. 

도대체 어떻게 대응방안을 개선해야 하는가에 대한 내용이 이번 컨퍼런스에서 많이 반복된 부분이다.
내부에 침투한 공격지속 시간을 의미하는 Dwell Time을 최소화하기 위한 탐지 방법론, 그리고 대응을 위한 Response Time을 단축시키기 위한 방법론에 대해서 투자가 이루어져야 하고, 바로 이 부분이 "Detect와 Respond"에 대한 보안 투자를 의미한다.
 
그렇다면, Dewell Time을 최소화시키기 위한 Detect는 어떻게 효율성을 유지하면서 발전시킬 수 있는가?


어느 한 보안 제품만으로 구현하려고 노력해서는 안된다. 물론 위에 언급된 EDR 벤더사들은 독립 제품 벤더사로 보이지만, 모두 Threat Intelligence 와 Security Collabration 없이는 단독으로 완벽하지 않음을 시사하고 있다.
 
SingTel 발표자가 강연중에 다음과 같이 말했다 "자칫 잘못하면 BYOD 상황이 발생한다". 이건 무슨 소린가? "BYOD = Bring Your Organization Down". 뼈있는 농담이었다. 트렌드만 쫓아가고 정확한 보안 전략이 없는 Detect와 Respond에 대한 우려의 목소리로 표현된다.
 
가트너는 Threat Intelligence를 "현재 진행중인 위협 또는 자산에 대한 악영향에 대해서, 특정 지표 / 메카니즘 / 영향도를 활용해 실행 가능한 권고사항을 포함하고 있는 증거 기반의 지식" 이라고 정의한다.
즉 실행 가능한 권고사항(Actionable Advice)을 포함해서 Dwell Time과 Response Time을 줄일 수 있는 Threat Intelligence를 제공해야 한다는 것이다.
그런데 이미 도입된 포인트 보안 솔루션을 잘 조합해 보면, 이미 Threat Intelligence를 위한 원본 Data Feed는 많이 존재하고 있다. 방화벽, IPS, 웹서버, DB, SEIM, CVE 데이터, 샌드박스 결과, 엔드포인트 보안솔루션 등이다. 단지 이들을 얼마나 잘 조합하고 "실행 가능한 권고사항을 포함하고 있는, 증거 기반의 지식"을 산출해 낼 것인지가 관건이 된다.
 
Security Analytics가 이런 이슈를 해결해 줄 수 있는 조합이 될 수도 있지만, 상호 연동을 위한 IOC (Indicators of Compromise) 협업이 대표적인 Threat Intelligence가 될 수도 있다.
 
그런데 이런 IOC의 내용도 변화해야만 한다는 주장이 나왔다. 기존의 연동을 위한 IOC는 각 벤더사에서 제공하는 천편일률적인 "Application, MD5 Hash, IP address, Hostname" 정도로써, 내가 악성행위를 발견했으니 이것을 무조건 막으라는 식의 정보를 공유하였다. 이에 대해서 좀더 상황인지 기법(Context), 분석(Analysis), 이력데이터(Historical Data)를 가미하고왜 이 데이터가 IOC 로써 더 가치있는 데이터인지를 증명해야만 한다.
 
현재 벤더사들은 더많은 협업을 위해서 Threat Intelligence(Threat Feeds)와 적극적으로 연동하는 모습을 보이고 있으며, 보안 협업 생태계에는 아주 긍정적인 모습으로 비춰진다. 더불어 복잡한 IOC를 분석해줄 수 있는 Security Analytics 기반 엔진도 Detect와 Respond를 좀 더 적극적으로 구현할 수 있도록 도움을 주는 형태로 발전해 나가고 있다. 앞서 언급했듯이 협업 및 연동하는 Data Feed가 많이 존재한다고 해서 무조건 Threat Intelligence가 되는 것은 아니며 상호 가치창출을 위한 노력이 절실히 필요하다.
 

O Prevent (33%) > Detect (33%) > Respond (33%)의 구조가 균형있게 맞춰진다면, 

    아래와 같은 목적을 달성할 수 있다.
 
    (1) Detect -> 내부 위협을 좀 더 빠르게 탐지하고
    (2) Resond -> 좀더 세부적인 상황인지 기반의 정황을 이용해서, 상응하는 절차를 적극적으로 수행함으로써,
    (3) Prevent -> 원래 목적인 위협 제거에 한발짝 더 다가서게 된다.
 
작년부터 움직임을 보이고 있는 ‘EDR / Threat Intelligence / Collabration’이 이제 좀 더 적극적으로 안착하고 있으며 가시적인 성과도 보이는 것으로 확인된다.


좀 더 나은 Prevent 기술이 계속 연구되는 동안 Prevent / Detect / Respond의 균형적인 방향으로 보안 전략을 수립함으로써 위협 탐지 및 대응 시간을 단축시키는 방향성을 고려하는 것이 현업에서 보안을 담당하고 있는 실무진들이 나아갈 방향인 것으로 보인다.
 
8월 첫째주에 미국 라스베가스에서 개최되는 BlackHat USA 2016에서는 또 어떤 보안 전략이 업데이트 되는지 지켜보면서,

RSA Conference 2016 APJ 참관 후기는 이 정도로 마칠까 한다.

[글. 권영목 데일리시큐 객원기자]

(주) 파고네트웍스  |  PAGO Networks, Inc. 
​서울시 강남구 강남대로 382 (강남역 메리츠타워 18층)
|  대표이사 : 권영목
사업자등록번호 : 474-86-00694 
블랙베리 사일런스 (BlackBerry Cylance) - 한국 총판
데모 / 시연 / POC / 계약 문의 : Sales@pagonetworks.com 
기술 문의  : Tech@pagonetworks.com