'소 잃고 외양간 안 고친다.' 국어사전에 이와 같은 변종 속담이 등재될 날도 멀지 않았다. 무려 2,500여만 건의 회원정보가 유출된 인터넷 쇼핑몰 사고부터 최근 발생한 O2O 숙박 앱과 ATM 해킹까지, 잊을 만 하면 또 다른 보안 사고가 발생하며 우리의 마음을 답답하게 만드는 까닭이다.

크고 작은 보안 사고가 반복적으로 발생하고 있음에도, 또 다시 공격에 당하는 이유는 무엇일까? 신속한 조치를 취하지 못한 보안 담당자의 잘못일까 아니면 기업의 소극적인 보안 투자 때문일까?

소를 여러 번 잃게 되는 원인은 다양하다. 보안을 비용으로만 인식하고 적극적인 보안 투자를 꺼리는 기업들, 허술한 빈틈을 제 때 메우지 않은 보안 담당자들 모두 사고를 야기하는 하나의 문제 유발 요인이 될 수 있다.

하지만 가장 근본적인 문제는 방어자가 공격자가 뚫고 들어올 만한 기업의 위협 요인을 명확하게 파악하지 못하고 알려진 위협을 방어하는 데 치중하고 있다는 데서 시작한다. 즉, 방어자 입장에서 정의한 위협의 경계와 우선순위가 반드시 옳다고는 보기 어렵다는 의미다.

지난 2월 ‘기회의 힘’이란 슬로건 아래 개최된 ‘RSA 컨퍼런스’에서도 이와 같은 얘기가 나왔다. ‘기회의 힘’은 불교 선(Zen) 사상을 서양에 소개한 ‘순류 스즈키’ 선사의 저서인 ‘선심초심’에 나오는 문구로 때론 전문가보다 지식이 부족한 초보자가 문제를 해결할 수 있는 더 많은 기회를 가진다는 것을 의미한다.

방어자의 허를 찌르는 공격 시도가 이어지고 있는 만큼, 위험한 것과 덜 위험한 것에 대한 고정관념을 버리고 초심자와 같은 사고방식으로 위협 요소를 바라볼 필요가 있다는 의견이다.

조하리의 창(Johari’s Windows)을 통한 접근방법

그렇다면 지금까지 방어자들은 어떠한 방식으로 보안 위협에 대한 우선순위를 정했을까? 집단 구성원 간의 상호작용 관계를 창문에 비유한 ‘조하리의 창’ 모델을 활용하여 공격자와 방어자의 입장에서 바라본 보안위협 영역을 알아보도록 하겠다.

크게 ①공격자와 방어자가 모두 알고 있는 영역(Known area), ②공격자는 알지만 방어자는 알지 못하는 영역(Blind area), ③공격자는 모르지만 방어자는 인지한 영역(Hidden area), ④공격자와 방어자 모두 인지하지 못한 영역(Unknown area)으로 구분될 수 있다.

방어자와 공격자는 4가지의 보안위협 영역에 대해 상반되는 태도를 취한다. 방어자는 공격 가능성이 높고 공격 탐지 및 대응이 용이한 Known area를 집중적으로 관리하는 반면, 공격자는 Known > Blind > Hidden > Unknown area 순으로 공격 범위를 넓히고 여러 영역의 위협 요소들을 조합하여 적극적인 공략을 시도한다. 방어자 입장에서 볼 때 그다지 위험하지 않은 요소들을 이용해 단계적으로 기업 중심부의 시스템을 장악해 나가는 것이다.

자연스럽게, 방어자는 공격 대응에 어려움을 겪게 된다. 지금까지, 방화벽, 침입탐지/방지시스템, 웹 애플리케이션 방화벽 등 각 보안위협 영역에 알맞은 보안 장비를 도입하며 알려진 공격을 막아내는 데 주력해 왔기 때문이다.

IoT, 클라우드, 빅데이터, 모바일로 대변되는 차세대 IT 기술의 발전과 함께 공격 경로와 범위, 기법이 날로 다변화되고 있는 만큼, 이제 방어자는 여러 위협의 연쇄작용을 인지할 수 있는 다방면의 정보보호 활동을 수행함으로써 방어 범위를 넓혀나갈 필요가 있다.

빈틈없는 방어…여러 위협의 연쇄작용을 인지하라

그렇다면 어떻게 해야 Known area는 물론 영역을 넘나드는 연쇄적인 보안 위협을 파악하여 대응의 우선순위를 정할 수 있을까. 올해 RSA 컨퍼런스에서는 이와 같은 관점에 부합하는 여러 보안 방법론들이 제시되었다.

우선적으로, 외부 위협의 주체인 공격자 파악에 중점을 둔 ‘위협 인텔리전스’ 확보의 중요성은 날로 높아지는 추세다. 올해 RSA에 참가한 기업 상당수가 이를 언급할 정도로 위협 인텔리전스 확보 및 활용 필요성에 대한 전 세계적인 공감대가 이미 형성되었다고 볼 수 있다.

하지만, 위협 인텔리전스 활용은 아직 초기 단계에 머물고 있는 실정이다. 대다수 기업들이 차단 대상을 목록화한 뒤 이를 차단하는 블랙리스트 기반의 접근 방식을 취하고 있고, 위협 인텔리전스를 필수 요소가 아닌 부가적인 서비스로 인지하는 경향이 있기 때문이다.

따라서 정부 주도로 민·관이 사이버 침해 행위에 공동 대응하고 정보를 공유하는 ‘정보공유분석센터(ISAC)’ 및 ‘정보 공유 및 분석 조직(ISAO)’ 구축을 통해 위협 인텔리전스를 더욱 향상시키고 도입을 활성화할 필요가 있다고 보여진다.

또한 보안 위협 대응의 우선순위를 재정립하기 위한 또 다른 방법 중 하나로 보안관제센터(Security Operation Center)의 자동화가 제시되었다. IBM, 파이어아이를 비롯한 글로벌 보안 벤더들은 많은 기업들이 대용량의 보안 데이터를 한정된 시간 내 빠르게 분석하고 수 많은 보안 시스템들을 관리·운영해야 하는 어려움에 직면하고 있다며, AI 기술의 한 분야인 머신 러닝을 정보보안 업무 프로세스 및 아키텍처에 도입해 알려지지 않은 위협에도 기민하게 대처해야 한다고 강조했다.

더불어 핵심 인프라의 리스크 관리 및 보안 역량을 평가하는 ‘사이버 보안 프레임워크’의 중요성도 더욱 부각될 전망이다.

미국의 경우, 오바마 전 대통령 행정 명령에 따라 미 상무부 산하 기관인 국립표준기술연구소(NIST)가 국가 주요 기반시설의 사이버 위협 대응 활동을 정의한 사이버보안 프레임워크를 2014년 초 개발하고 이를 적극적으로 미 주요 시설에 적용하고 있다. 이번 RSA 컨퍼런스에서는 이러한 성과와 더불어 시행 중 발생한 문제점을 보완한 개선안(Version 1.1)이 발표되었다.

마지막으로, 앞서 거론된 보안 요소들을 통합관리하기 위한 방안으로 SIEM이 제시되었다. 수 많은 시스템에서 생성되는 보안 데이터를 한 곳에 수집하고 위협 인텔리전스를 접목해 이를 연계분석하여, 알려지지 않은 위협을 빠르게 탐지하고 대응한다는 개념이다.

SIEM 활용도를 높이기 위한 핵심 요소로는 공격 인지, 차단, 대응 과정을 자동화하고 공격 기법에 따라 대응 정책을 설정·배포하는 ‘자동화 및 배치’와 인간의 개입을 최소화하는 ‘머신러닝’, 빅데이터 분석을 강화하기 위한 ‘클라우드’ 등이 언급되었다.

보안위협과 기술의 경계가 사라지는 ‘정보보호 빅 블러(Big Blur)’ 현상이 가속화될 전망

미래학자인 스탠 데이비스는 저서 ‘블러 현상: 연결 경제에서의 변화의 속도’을 통해, 빠른 변화 속도 때문에 존재의 경계가 모호해지는 블러 현상이 일어날 수 있다고 설명한 바 있다.

이러한 현상은 정보보호 영역에서도 어김없이 발생하고 있다. 보안성이 높은 중앙관리형 소프트웨어의 취약점을 공략하거나 랜섬웨어가 APT 공격과 결합되는 등 기존의 경계로는 구분할 수 없는 모호한 보안 위협이 날이 갈수록 증가하고 있기 때문이다.

경계를 가늠할 수 없는 복합적인 보안 위협이 기하급수적으로 증가하는 만큼, 이에 맞서는 방어자 역시 새로운 방식의 보안 방법론 정립이 필요하다. 다시 말해, 위협적인 것과 덜 위협적인 것, 중요한 것과 덜 중요한 것, 할 수 있는 것과 할 수 없는 것의 불분명한 경계선을 지울 때, 공격자와의 전투에서 승리할 수 있는 더 많은 기회가 주어질 것이다. 2017년은 이러한 경계를 허무는 변화가 시작되는 의미 있는 해가 될 것이라고 생각한다.