2019.01.03

리뷰 | '레드 팀'의 훌륭한 대안··· 보안 모니터링 툴 '사이코그니토'

John Breeden II | CSO
네트워킹 ‘초기 시대’에는 침입 테스터(penetration testers, 모의 해킹 전문가)를 널리 활용했다. 이들이 기업의 보안 체계를 깨뜨리려 시도한 후 자신이 발견한 보안 취약점을 알려주는 식이었다. 그러면 진짜 해커가 침입하기 전에 이를 수정하고 보안을 강화할 수 있다. 모든 기업이 이런 방식을 활용했고, 군사 분야도 마찬가지였다. 이런 침입 테스터를 ‘레드 팀’이라 불렀다. 경험 많은 레드 팀은 기존에 알려지지 않았던 다양한 종류의 위협을 찾아낸다.

그러나 네트워크가 증가하고 관련 기술이 성숙하면서 인간이 중심이 되는 침입 테스팅의 유용성이 줄어들었다. 지금은 ‘2주 작전’ 같이 꽤 많은 시간을 들여도, 대부분의 침입 테스트 팀이 전체 네트워크에서 아주 작은 비율에 침입하는 데 그친다(1% 미만인 경우도 다수 있다). 전 세계에 수만 개 서버를 운영하는 상황에서 1~2개의 애플리케이션 서버에 대한 보고서만 받을 수 있는 방식이 무슨 도움이 되겠는가? 

더구나 클라우드, 가상화, 소프트웨어 정의 네트워킹으로의 변화와 함께 침입 테스트의 유용성은 더 의심받게 됐다. 단 몇 시간 만에 시스템이 만들어지고 사라진다. 가상 서버는 방치한 후 잊어버리는 때가 많다. 이런 시스템을 완전히 파악해 알고 있지 못하는 내부 IT팀이 대부분이다. 그러니 1년에 한 번 정도 방문하는 외부 침입 테스터는 ‘단서’조차 없을 것이다.

업계는 과거 침입 테스트 팀이 사용했던 것을 자동화하는 취약점 스캐너 같은 것으로 대안을 찾았다. 그러나 프로그램으로 인한 제약이 있고, IT 팀이 파악하고 있거나 특정 범위의 IP 주소와 연결된 자산만 스캔할 수 있다는 한계가 있었다. 이는 해커의 업무 방식이 아니다. 해커들은 알려지지 않은 자산, 한정된 IP 범위 밖의 서버, 클라우드 자산, 심지어 공급 사슬에서 기업이 직접 통제하는 다운스트림 밖에 위치한 연결된 서버까지 눈독을 들인다.

이런 가운데 새로운 대안으로 등장한 것이 바로 사이코그니토(CyCognito) 플랫폼이다. 과거 침입 테스팅이 제공했던 장점을 지속적으로 제공하도록 설계됐다. 또 그 대상이 물리적 자산과 가상 자산으로 구성된 오늘날 글로벌 기업 네트워크라는 것도 장점이다. 기본적으로 해커가 하는 방식과 같이, 프로세스에 심어진 내부적 편향이나 도움 없이 외부에서 네트워크를 조사한다.
 
사이코그니토의 작동 방식
CSO가 리뷰한 다른 제품과 달리 사이코그니토 플랫폼에는 필요한 ‘단계’가 없다. 호스트 네트워크에 설치할 것도, 내부에 설치할 어떤 종류의 프로그램도 필요 없다는 의미다. 사이코그니토 플랫폼을 개발한 사람들은 IP 주소를 규정하는 것 같은 단순한 행위조차 테스트에 ‘편향’을 초래할 수 있다고 믿는다. 실제로 해커에게는 해킹에 사용하는 파라미터라는 것이 없다. 따라서 모니터링 도구의 대상이 되는 것도 그래야 한다.

사이코그니토는 인터넷 곳곳에 6만 개가 넘는 봇으로 구성된 네트워크를 유지한다. 봇이 끊임없이 인터넷에 연결된 자산을 검색하고 결과를 분류한다. 구글이 새 웹페이지에서 하는 일과 비슷하다. 현재 사이코그니토가 발견한 인터넷 리소스는 약 35억 개에 달하며, 그 수가 계속 증가하고 있다. 완전한 인터넷에 가깝다고 말할 수 있다.

사이코그니토와 기업 시스템에 대한 지속적인 모니터링 계약을 체결하면 플랫폼이 일을 시작한다. 이미 파악한 것 외에 정보를 추가로 수집한다. 서비스 요금은 단계별로 다르다. 기업 공격 표면에 위치한 자산의 수가 기준이다. 지속적인 모니터링에는 연간 서브스크립션(구독) 방식이 적용된다.

사이코그니토 테스트
이번 테스트에서 사이코그니토는 사물인터넷(IoT) 기기를 포함한 물리적 인프라, 클라우드 기반 인프라, 몇 년 전부터 방치된 것으로 보이는 서드 파티 시스템 및 몇몇 가상 서비스를 탐지했다. 이후 엔진이 자산을 서비스를 배포한 부서가 액세스할 수 있는 대시보드로 분류했다.

사이코그니토는 항상 모니터링한다. 이 플랫폼을 도입한 기업은 개인화된 대시보드에 접근할 수 있다. 여기서 기업 전체의 시스템에 걸쳐 보안 위험을 볼 수 있다.

플랫폼은 자산을 발견한 후 침입 테스터나 해커와 같은 방식으로 조사하기 시작한다. 아주 느리게 움직이고 내장된 보안 체계의 경보를 발동시키지 않는다. 플랫폼은 이러한 작업에 6만 개의 봇 네트워크를 동원한다. 

이번 테스트에서 사이코그니토 플랫폼은 취약점 수 천 개를 발견했을 뿐만 아니라 애플리케이션의 잘못된 구성과 취약한 암호화, 피싱 공격에 악용될 수 있는 정보를 시스템, 인증 보안이 취약한 중요 시스템 등을 파악했다. 사이코그니토는 이런 정보를 토대로 수많은 원본 데이터를 유용한 경고로 분류 및 정렬하기 시작한다. 누군가 이 취약점을 악용했을 때 초래할 수 있는 실제 위험의 정도를 기준으로 경고의 점수를 부여한다.

사이코그니토는 위험도에 따라 단순히 위협을 그룹화하는 대신 대상 기업 네트워크에 어떤 피해를 줄 수 있는지를 테스트한다. 그 이후에 사용자를 위해 우선순위를 설정한다.

해커가 많은 시간과 노력을 투자해야 하는 취약점이 아닌, 손쉽게 악용할 수 있는 취약점은 경고 점수를 높인다. 또한 IT 팀이 많은 시간을 들이기에 앞서, 쉽게 수정할 수 있는 문제는 우선 처리한다. 지금 당장 사용할 수 있는 패치로 수정할 수 있는 중요 취약점의 경우 더 복잡한 작업을 수행하기 전에 먼저 패치를 적용하라고 권고한다.

사이코그니토는 찾은 문제를 악용하기 얼마나 어려운가, 네트워크에 얼마나 위험한가, 얼마나 수정하기 쉬운가 등을 기준으로 그룹화한다. 화면에서는 간단한 패치로 수정할 수 있는 치명적인 문제를 발견한 것으로 가장 먼저 해야 할 작업 1순위로 보여준다.

취약점을 수정하면 사용자는 관리 콘솔에서 사이코그니토가 즉시 다시 스캔하도록 설정할 수 있다. 또는 그냥 놔두면 프로그램의 지속적인 모니터링 기능이 이를 알아서 처리한다.

대시보드는 꽤 훌륭하다. 그러나 IT 팀을 위해 디자인된 대시보드에 가깝다. 관리진에게 네트워크 문제와 취약점 수정 활동을 보고하기 위해 잘 정리되고, 그래픽이 포함된 PDF 보고서를 생성할 수 있다. 이 보고서는 네트워크 상태, 네트워크의 취약점 종류와 수를 간략히 보여준다. 후속 보고서에서 전체 기업 환경을 더 튼튼하게 보호하기 위해 할 일을 알려준다. 기술 분야 종사자가 아니어도 쉽게 이해할 수 있도록 보고서를 구성할 수 있다.

많은 경우 IT 팀과 최고 의사결정권자는 기술 배경이 다르므로, 사이코그니토 플랫폼은 누구나 이해할 수 있는 PDF 포맷의 매우 훌륭한 취약점 보고서를 제공한다. 

결론
과거의 ‘직접 시도형’ 침입 테스트는 현대적인 네트워크 인프라에 부합하지 못하는 뒤처진 방법이다. 이럴 때 사이코그니토 프로그램은 과거 침입 테스트의 장점을 유지하면서도, 지속적으로 공격 표면을 모니터링 한다. 설정과 사람의 개입, 또는 고급 기술 지식이 요구되지 않는 것도 장점이다. ciokr@idg.co.kr



2019.01.03

리뷰 | '레드 팀'의 훌륭한 대안··· 보안 모니터링 툴 '사이코그니토'

John Breeden II | CSO
네트워킹 ‘초기 시대’에는 침입 테스터(penetration testers, 모의 해킹 전문가)를 널리 활용했다. 이들이 기업의 보안 체계를 깨뜨리려 시도한 후 자신이 발견한 보안 취약점을 알려주는 식이었다. 그러면 진짜 해커가 침입하기 전에 이를 수정하고 보안을 강화할 수 있다. 모든 기업이 이런 방식을 활용했고, 군사 분야도 마찬가지였다. 이런 침입 테스터를 ‘레드 팀’이라 불렀다. 경험 많은 레드 팀은 기존에 알려지지 않았던 다양한 종류의 위협을 찾아낸다.

그러나 네트워크가 증가하고 관련 기술이 성숙하면서 인간이 중심이 되는 침입 테스팅의 유용성이 줄어들었다. 지금은 ‘2주 작전’ 같이 꽤 많은 시간을 들여도, 대부분의 침입 테스트 팀이 전체 네트워크에서 아주 작은 비율에 침입하는 데 그친다(1% 미만인 경우도 다수 있다). 전 세계에 수만 개 서버를 운영하는 상황에서 1~2개의 애플리케이션 서버에 대한 보고서만 받을 수 있는 방식이 무슨 도움이 되겠는가? 

더구나 클라우드, 가상화, 소프트웨어 정의 네트워킹으로의 변화와 함께 침입 테스트의 유용성은 더 의심받게 됐다. 단 몇 시간 만에 시스템이 만들어지고 사라진다. 가상 서버는 방치한 후 잊어버리는 때가 많다. 이런 시스템을 완전히 파악해 알고 있지 못하는 내부 IT팀이 대부분이다. 그러니 1년에 한 번 정도 방문하는 외부 침입 테스터는 ‘단서’조차 없을 것이다.

업계는 과거 침입 테스트 팀이 사용했던 것을 자동화하는 취약점 스캐너 같은 것으로 대안을 찾았다. 그러나 프로그램으로 인한 제약이 있고, IT 팀이 파악하고 있거나 특정 범위의 IP 주소와 연결된 자산만 스캔할 수 있다는 한계가 있었다. 이는 해커의 업무 방식이 아니다. 해커들은 알려지지 않은 자산, 한정된 IP 범위 밖의 서버, 클라우드 자산, 심지어 공급 사슬에서 기업이 직접 통제하는 다운스트림 밖에 위치한 연결된 서버까지 눈독을 들인다.

이런 가운데 새로운 대안으로 등장한 것이 바로 사이코그니토(CyCognito) 플랫폼이다. 과거 침입 테스팅이 제공했던 장점을 지속적으로 제공하도록 설계됐다. 또 그 대상이 물리적 자산과 가상 자산으로 구성된 오늘날 글로벌 기업 네트워크라는 것도 장점이다. 기본적으로 해커가 하는 방식과 같이, 프로세스에 심어진 내부적 편향이나 도움 없이 외부에서 네트워크를 조사한다.
 
사이코그니토의 작동 방식
CSO가 리뷰한 다른 제품과 달리 사이코그니토 플랫폼에는 필요한 ‘단계’가 없다. 호스트 네트워크에 설치할 것도, 내부에 설치할 어떤 종류의 프로그램도 필요 없다는 의미다. 사이코그니토 플랫폼을 개발한 사람들은 IP 주소를 규정하는 것 같은 단순한 행위조차 테스트에 ‘편향’을 초래할 수 있다고 믿는다. 실제로 해커에게는 해킹에 사용하는 파라미터라는 것이 없다. 따라서 모니터링 도구의 대상이 되는 것도 그래야 한다.

사이코그니토는 인터넷 곳곳에 6만 개가 넘는 봇으로 구성된 네트워크를 유지한다. 봇이 끊임없이 인터넷에 연결된 자산을 검색하고 결과를 분류한다. 구글이 새 웹페이지에서 하는 일과 비슷하다. 현재 사이코그니토가 발견한 인터넷 리소스는 약 35억 개에 달하며, 그 수가 계속 증가하고 있다. 완전한 인터넷에 가깝다고 말할 수 있다.

사이코그니토와 기업 시스템에 대한 지속적인 모니터링 계약을 체결하면 플랫폼이 일을 시작한다. 이미 파악한 것 외에 정보를 추가로 수집한다. 서비스 요금은 단계별로 다르다. 기업 공격 표면에 위치한 자산의 수가 기준이다. 지속적인 모니터링에는 연간 서브스크립션(구독) 방식이 적용된다.

사이코그니토 테스트
이번 테스트에서 사이코그니토는 사물인터넷(IoT) 기기를 포함한 물리적 인프라, 클라우드 기반 인프라, 몇 년 전부터 방치된 것으로 보이는 서드 파티 시스템 및 몇몇 가상 서비스를 탐지했다. 이후 엔진이 자산을 서비스를 배포한 부서가 액세스할 수 있는 대시보드로 분류했다.

사이코그니토는 항상 모니터링한다. 이 플랫폼을 도입한 기업은 개인화된 대시보드에 접근할 수 있다. 여기서 기업 전체의 시스템에 걸쳐 보안 위험을 볼 수 있다.

플랫폼은 자산을 발견한 후 침입 테스터나 해커와 같은 방식으로 조사하기 시작한다. 아주 느리게 움직이고 내장된 보안 체계의 경보를 발동시키지 않는다. 플랫폼은 이러한 작업에 6만 개의 봇 네트워크를 동원한다. 

이번 테스트에서 사이코그니토 플랫폼은 취약점 수 천 개를 발견했을 뿐만 아니라 애플리케이션의 잘못된 구성과 취약한 암호화, 피싱 공격에 악용될 수 있는 정보를 시스템, 인증 보안이 취약한 중요 시스템 등을 파악했다. 사이코그니토는 이런 정보를 토대로 수많은 원본 데이터를 유용한 경고로 분류 및 정렬하기 시작한다. 누군가 이 취약점을 악용했을 때 초래할 수 있는 실제 위험의 정도를 기준으로 경고의 점수를 부여한다.

사이코그니토는 위험도에 따라 단순히 위협을 그룹화하는 대신 대상 기업 네트워크에 어떤 피해를 줄 수 있는지를 테스트한다. 그 이후에 사용자를 위해 우선순위를 설정한다.

해커가 많은 시간과 노력을 투자해야 하는 취약점이 아닌, 손쉽게 악용할 수 있는 취약점은 경고 점수를 높인다. 또한 IT 팀이 많은 시간을 들이기에 앞서, 쉽게 수정할 수 있는 문제는 우선 처리한다. 지금 당장 사용할 수 있는 패치로 수정할 수 있는 중요 취약점의 경우 더 복잡한 작업을 수행하기 전에 먼저 패치를 적용하라고 권고한다.

사이코그니토는 찾은 문제를 악용하기 얼마나 어려운가, 네트워크에 얼마나 위험한가, 얼마나 수정하기 쉬운가 등을 기준으로 그룹화한다. 화면에서는 간단한 패치로 수정할 수 있는 치명적인 문제를 발견한 것으로 가장 먼저 해야 할 작업 1순위로 보여준다.

취약점을 수정하면 사용자는 관리 콘솔에서 사이코그니토가 즉시 다시 스캔하도록 설정할 수 있다. 또는 그냥 놔두면 프로그램의 지속적인 모니터링 기능이 이를 알아서 처리한다.

대시보드는 꽤 훌륭하다. 그러나 IT 팀을 위해 디자인된 대시보드에 가깝다. 관리진에게 네트워크 문제와 취약점 수정 활동을 보고하기 위해 잘 정리되고, 그래픽이 포함된 PDF 보고서를 생성할 수 있다. 이 보고서는 네트워크 상태, 네트워크의 취약점 종류와 수를 간략히 보여준다. 후속 보고서에서 전체 기업 환경을 더 튼튼하게 보호하기 위해 할 일을 알려준다. 기술 분야 종사자가 아니어도 쉽게 이해할 수 있도록 보고서를 구성할 수 있다.

많은 경우 IT 팀과 최고 의사결정권자는 기술 배경이 다르므로, 사이코그니토 플랫폼은 누구나 이해할 수 있는 PDF 포맷의 매우 훌륭한 취약점 보고서를 제공한다. 

결론
과거의 ‘직접 시도형’ 침입 테스트는 현대적인 네트워크 인프라에 부합하지 못하는 뒤처진 방법이다. 이럴 때 사이코그니토 프로그램은 과거 침입 테스트의 장점을 유지하면서도, 지속적으로 공격 표면을 모니터링 한다. 설정과 사람의 개입, 또는 고급 기술 지식이 요구되지 않는 것도 장점이다. ciokr@idg.co.kr

X