2014.01.09

칼럼 | 위협 예측을 돕는 핵심 질문들

Nick Selby | CSO

지난 수 주 간 필자는 정보 보안 관련 언론계의 동료들과 논쟁을 벌였다. 공식적인 평가가 없는 상태에서 'Healthcare.gov' 웹사이트의 보안 문제와 관련한 공개적 논평을 제시하려는 필자의 의도가 과연 정당한 것인지가 쟁점이었다.

필자의 주장은 다음과 같다. 일부 요소를 충족하지 못한 것은 사실이지만, 필자의 주장을 뒷받침 할 충분한 평가를 진행하면 논평을 진행할 만하다는 것이다.

그러나 이러한 필자의 주장에 동의하지 않는 일부 동료들도 있었다. 이들은 주장은 필자가 근거가 아닌, 분쟁을 야기하는 강력한 지표들만을 가지고 이야기한다는 것이었다. 결국 필자의 주장이 지나친 비약일지 여부는 시간이 지나야 판명될 것이다.

더 이상의 논쟁은 원하지 않기에 Healthcare.gov 문제에서는 한 발 물러나, 일반적인 사고 대응이라는 주제로 논의 방향을 옮겨보겠다. 그리고 필자가 어떻게 지금까지 주목하지 않았던 이 영역에 관심을 가지게 됐는지 설명하고,(a) 이 영역에 진짜 문제가 있는지,(b) 있다면 그 규모는 어느 정도인지,(c) 그리고 문제를 해결할 가장 효율적인 방법은 무엇인지를 고민해볼 것이다.

과거 필자는 한 기업으로부터 유출 위협을 이해하는 과정에 관한 지원을 요청 받은 적이 있다. 당시 필자가 맨 처음 시작한 작업은 조사 경로(avenues of investigation)를 단순화 할 목적으로 설계된 질문들을 던지는 것이었다.

필자는 주로 두 개의 커다란 질문들을 우선 제시한다. 물론 이 두 질문이 전부는 아니다. 그렇지만 이 두 질문이 가장 먼저 제시되어야 한다는 점은 중요한 의미를 지닌다. 이들에 대한 그른 답은 보안과 관련한 멍청한 행동과 습관으로 이어지기 때문이다. 필자가 가장 먼저 제시하는 두 질문은 다음과 같다.

- 지난 며칠간의 네트워크 로그와 플로우 기록, 그리고/또는 트래픽을 확인할 수 있습니까?

- 최신 네트워크 스캔 결과물을 확인할 수 있습니까?

이 두 질문은 많은 경우에서 많은 것들을 이야기해준다. 물론 실제로 로그가 어떻고 기록이 어떤지는 필자의 관심사가 아니다. 이 질문들의 핵심은 이러한 정보들을 정확한 시간 내에, 분석 가능한 형태로 제시할 수 있는 구조가 이들에게 확립되어있는지의 여부를 파악하는데 있다.

두 번째 질문인 ‘최신 스캔 결과물'에 대한 물음은 “25%의 게스티마이션 마진(margin of guesstimation) 범위 내에서 네트워크에 연결된 종점의 수는 얼마나 되는가?”와 같은 난해한 질문을 한 마디로 요약해주는 것이다.

이와 같은 기본적 물음에도 답하지 못하는 기업이라면, 그들의 실상이 얼마나 엉망인지는 구태여 말할 필요도 없다. 단순히 혼잡하다는 것만이 문제가 아니다.

이는 보안에 대한 무관심을 드러내는 것이며, 얼마나 절차적 통합성이 부족한지, 얼마나 방어 체제가 미흡한지, 그리고 지금까지 행해온 일련의 활동들이 기업의 보안 상황을 얼마나 취약하게 했는지를 보여준다.

지표를 가진 근거가 있는 주장이냐 묻는다면 그렇다고 답하기 어렵다. 하지만 필자는 그들의 문제를 신속히 찾아낼 수 있다고 장담한다.

여러 사고 응답기 및 침입 시험기들은 이러한 물음들과 별반 다르지 않은 핵심 질문들을 보유하고 있다. 트러스티드섹(TrustedSec)의 CEO 데이브 케네디는 위에 소개된 첫 번째 질문을 한 단계 더 발전시킨다. “지난 2주 내의 DNS 요청 로그를 확보하고 있습니까?”가 그것이다.

필자 역시 다른 사건의 근거를 확인한 뒤 묻는 질문이다. 네트워크 상에 무언가 존재한다는 사실을 확인한 경우 DNS 로그는 그것이 어느 지점에 위치하는지, 그리고 추론적이고 명확하게 이것이 무엇이고 누가 배치한 것인지를 보여주는 역할을 한다.




2014.01.09

칼럼 | 위협 예측을 돕는 핵심 질문들

Nick Selby | CSO

지난 수 주 간 필자는 정보 보안 관련 언론계의 동료들과 논쟁을 벌였다. 공식적인 평가가 없는 상태에서 'Healthcare.gov' 웹사이트의 보안 문제와 관련한 공개적 논평을 제시하려는 필자의 의도가 과연 정당한 것인지가 쟁점이었다.

필자의 주장은 다음과 같다. 일부 요소를 충족하지 못한 것은 사실이지만, 필자의 주장을 뒷받침 할 충분한 평가를 진행하면 논평을 진행할 만하다는 것이다.

그러나 이러한 필자의 주장에 동의하지 않는 일부 동료들도 있었다. 이들은 주장은 필자가 근거가 아닌, 분쟁을 야기하는 강력한 지표들만을 가지고 이야기한다는 것이었다. 결국 필자의 주장이 지나친 비약일지 여부는 시간이 지나야 판명될 것이다.

더 이상의 논쟁은 원하지 않기에 Healthcare.gov 문제에서는 한 발 물러나, 일반적인 사고 대응이라는 주제로 논의 방향을 옮겨보겠다. 그리고 필자가 어떻게 지금까지 주목하지 않았던 이 영역에 관심을 가지게 됐는지 설명하고,(a) 이 영역에 진짜 문제가 있는지,(b) 있다면 그 규모는 어느 정도인지,(c) 그리고 문제를 해결할 가장 효율적인 방법은 무엇인지를 고민해볼 것이다.

과거 필자는 한 기업으로부터 유출 위협을 이해하는 과정에 관한 지원을 요청 받은 적이 있다. 당시 필자가 맨 처음 시작한 작업은 조사 경로(avenues of investigation)를 단순화 할 목적으로 설계된 질문들을 던지는 것이었다.

필자는 주로 두 개의 커다란 질문들을 우선 제시한다. 물론 이 두 질문이 전부는 아니다. 그렇지만 이 두 질문이 가장 먼저 제시되어야 한다는 점은 중요한 의미를 지닌다. 이들에 대한 그른 답은 보안과 관련한 멍청한 행동과 습관으로 이어지기 때문이다. 필자가 가장 먼저 제시하는 두 질문은 다음과 같다.

- 지난 며칠간의 네트워크 로그와 플로우 기록, 그리고/또는 트래픽을 확인할 수 있습니까?

- 최신 네트워크 스캔 결과물을 확인할 수 있습니까?

이 두 질문은 많은 경우에서 많은 것들을 이야기해준다. 물론 실제로 로그가 어떻고 기록이 어떤지는 필자의 관심사가 아니다. 이 질문들의 핵심은 이러한 정보들을 정확한 시간 내에, 분석 가능한 형태로 제시할 수 있는 구조가 이들에게 확립되어있는지의 여부를 파악하는데 있다.

두 번째 질문인 ‘최신 스캔 결과물'에 대한 물음은 “25%의 게스티마이션 마진(margin of guesstimation) 범위 내에서 네트워크에 연결된 종점의 수는 얼마나 되는가?”와 같은 난해한 질문을 한 마디로 요약해주는 것이다.

이와 같은 기본적 물음에도 답하지 못하는 기업이라면, 그들의 실상이 얼마나 엉망인지는 구태여 말할 필요도 없다. 단순히 혼잡하다는 것만이 문제가 아니다.

이는 보안에 대한 무관심을 드러내는 것이며, 얼마나 절차적 통합성이 부족한지, 얼마나 방어 체제가 미흡한지, 그리고 지금까지 행해온 일련의 활동들이 기업의 보안 상황을 얼마나 취약하게 했는지를 보여준다.

지표를 가진 근거가 있는 주장이냐 묻는다면 그렇다고 답하기 어렵다. 하지만 필자는 그들의 문제를 신속히 찾아낼 수 있다고 장담한다.

여러 사고 응답기 및 침입 시험기들은 이러한 물음들과 별반 다르지 않은 핵심 질문들을 보유하고 있다. 트러스티드섹(TrustedSec)의 CEO 데이브 케네디는 위에 소개된 첫 번째 질문을 한 단계 더 발전시킨다. “지난 2주 내의 DNS 요청 로그를 확보하고 있습니까?”가 그것이다.

필자 역시 다른 사건의 근거를 확인한 뒤 묻는 질문이다. 네트워크 상에 무언가 존재한다는 사실을 확인한 경우 DNS 로그는 그것이 어느 지점에 위치하는지, 그리고 추론적이고 명확하게 이것이 무엇이고 누가 배치한 것인지를 보여주는 역할을 한다.


X