2015.12.10

NSA CIO가 설명하는 내외부 보안 위협을 막는 방법

Clint Boulton | CIO
전직 직원 에드워드 스노든이 2년 전 비밀 정보를 조금씩 빼내 폭로한 사건 이후 미국 NSA는 사이버 위협 감지 능력에 크게 집중해왔다.

NSA CIO 그렉 스미스버거는 CIO와의 대담에서 "NSA는 행동 분석(behavior analytics)를 포함한 다계층 탐지 능력으로 스토리지, 컴퓨팅, 운영 분석을 제공하는 프라이빗 클라우드를 보호하고 있다"고 말했다.

지난 27년간 다양한 해외 정보활동을 해오다 6개월 전 CIO 역할을 맡게 된 스미스버거는 "우리가 해외 임무를 위해 개발해 왔던 수많은 기술, 우리가 IAD(Information Assurance Directorate) 내에서 개발했던 기술, 빅데이터 분석을 제대로 활용하기 위해 진행중인 수많은 이니셔티브들이 있다"고 전했다.

스미스버거는 NSA가 이러한 기술을 활용해 외부 공격에서부터 의심스러운 내부 활동까지 이상상황을 감지하고 대응하는 능력을 향상시키고 있다고 말한다.

NSA는 NSA에서 근무하던 에드워드 스노든이 2013년 미국과 해외에서의 대화내역을 감시하는 비밀 프로그램을 상세하게 보여주는 문서를 공개하기 시작하면서 주류 언론과 프라이버시 보호 시민단체들의 거센 비판에 시달려왔다.

NSA, 애널리틱스를 통해 내외부 위협 방어
스미스버거에 따르면 NSA는 내부 분석가, 정보원, 엔지니어들이 다양한 정보 수집 활동에서 사용하는 자체 네트워크에 대한 위협 감지도 향상시켜왔다.

스미스버거는 인증된 사용자가 이상한 시간에 일상적이지 않은 지리적 장소에서 네트워크에 접속할 때 같은 비일상적 상황을 포착하는 역량을 예로 들었다.

예를 들어 보통 오전 7시에서 오후 7시 사이에 민감한 정보에 접속하는 버지니아주에 위치한 NSA 분석가가 동일한 정보에 대한 접속을 이스라엘 텔아비브에서 오전 3시에 요청하는 상황을 생각해볼 수 있다.

가트너 분석가 아비바 리탄의 조사에 의하면 프로파일링과 기계 학습에 기반한 비일상성-감지를 통합한 이런 행동 분석은 새로운 기술이지만 업계에서 가장 안정적인 경보를 우선시함으로써 침투를 감지하는데 사용되면서 점점 많이 쓰이고 있다.

스미스버거는 "NSA는 사이버보안 소프트웨어와 모든 네트워크 기기상의 감사 로그, 방화벽, VPN 등을 포함한 어플라이언스의 실시간 검식 분석을 수행해 인간의 능력을 넘어서는 관찰 작업을 수행할 수 있게 되었다"고 설명했다.

자세한 설명은 하지 않았지만 이 외에도 훨씬 '교묘한' 위협 감지 방법들이 존재한다고 말했다. 스미스버거는 "모든 세부 내역을 여기서 공개하지는 않을 것이지만 아주 미세하게 자신의 네트워크상에서 무엇이 일상적인지, 무엇이 네트워크상에서 인증된 것인지를 이해하고, 그 관찰 내역을 실시간으로 지금까지 인증된 것, 지금까지 일상적이었던 것과 비교하는 게 관건이다"고 덧붙였다.

스미스버거는 "이런 조치들은 꼼꼼하게 짜인 프라이빗 클라우드를 보호하고 가상화 서버와 애플리케이션 등 아마존 웹 서비스 같은 퍼블릭 클라우드 서비스에서 기대할 수 있는 것과 유사한 기술을 배치한다"고 말했다.

그는 이어 하지만 다양한 분석가와 정보원들에게 대외비부터 일급 비밀에 이르는 다양한 단계의 비밀 유지 수준에 대한 접속권을 줘야 한다는 점에서 퍼블릭 클라우드와 핵심적인 차이점들이 있다고 덧붙였다.

그에 따르면 접속은 각각의 데이터 요소 계층에 이르기까지 단단히 통제된다. 두 명의 분석가가 이 시스템상에서 동일한 정보 쿼리를 수행하더라도 비밀 정보 사용 허가에 따라 다른 결과가 나타날 수도 있다. 

스미스버그는 "네트워크 안팎에 우리를 외부 세계와 분리시키는 다수의 계층이 존재한다. 흡사 계층별 보안 모델과 정부-개발, 정부용 맞춤 개발과 상용 제품의 조합이라고 볼 수 있다"며, "이런 편집증적인, 계층별 방어가 최선의 해답이고, 솔직히 제대로만 한다면 내부 문제가 바로 드러나게 된다"고 설명했다.

퍼블릭 클라우드 형태로 만들어진 프라이빗 클라우드
NSA의 프라이빗 클라우드 자체는 대단한 업적으로 볼 수 있다. 프라이빗 클라우드는 2011년 정보 기관들이 안전하게 접속하고 정보를 공유할 수 있게 해주는 클라우드 환경을 제안했던 ICITE(Intelligence Community Information Technology Enterprise) 프로그램 하에서 개발된 것이다.

스미스버거는 NSA 프라이빗 클라우드가 수많은 구형 상용 서버와 맞춤형 구축 서버, 상당수의 데이터를 고립시켰던 데이터베이스와 애플리케이션 등을 교체하는데 기여했다며, 통합된 자원 속에서 이런 기술들을 업그레이드함으로써 자체 정보 자산의 분석 능력이 높아졌고 결과적으로 분석가, 정보원, 기타 구성원들의 작업을 더 잘 돕게 됐다고 전했다.

스미스버거는 이 프라이빗 클라우드가 시장에 나온 그 어떤 것보다도 훨씬 더 세밀한 보안을 갖추고 있다고 말했다. 하지만 NSA의 프라이빗 클라우드가 완전히 침투 불가능하다고 공언하지는 않았다.

스미스버거는 "어느 누구라도 네트워크 침투가 불가능하다고 이야기하는 것은 오만한 태도일 수 있다. 우리의 비밀 세계를 외부 세계로부터 보호하는 수많은 검토를 거친 수많은 메카니즘들이 존재하며 이를 뒷받침하기 위한 새로운 아이디어를 계속해서 개발하고 있다. 우리는 대표적인 공격 대상이 아닌가"라고 말했다. ciokr@idg.co.kr



2015.12.10

NSA CIO가 설명하는 내외부 보안 위협을 막는 방법

Clint Boulton | CIO
전직 직원 에드워드 스노든이 2년 전 비밀 정보를 조금씩 빼내 폭로한 사건 이후 미국 NSA는 사이버 위협 감지 능력에 크게 집중해왔다.

NSA CIO 그렉 스미스버거는 CIO와의 대담에서 "NSA는 행동 분석(behavior analytics)를 포함한 다계층 탐지 능력으로 스토리지, 컴퓨팅, 운영 분석을 제공하는 프라이빗 클라우드를 보호하고 있다"고 말했다.

지난 27년간 다양한 해외 정보활동을 해오다 6개월 전 CIO 역할을 맡게 된 스미스버거는 "우리가 해외 임무를 위해 개발해 왔던 수많은 기술, 우리가 IAD(Information Assurance Directorate) 내에서 개발했던 기술, 빅데이터 분석을 제대로 활용하기 위해 진행중인 수많은 이니셔티브들이 있다"고 전했다.

스미스버거는 NSA가 이러한 기술을 활용해 외부 공격에서부터 의심스러운 내부 활동까지 이상상황을 감지하고 대응하는 능력을 향상시키고 있다고 말한다.

NSA는 NSA에서 근무하던 에드워드 스노든이 2013년 미국과 해외에서의 대화내역을 감시하는 비밀 프로그램을 상세하게 보여주는 문서를 공개하기 시작하면서 주류 언론과 프라이버시 보호 시민단체들의 거센 비판에 시달려왔다.

NSA, 애널리틱스를 통해 내외부 위협 방어
스미스버거에 따르면 NSA는 내부 분석가, 정보원, 엔지니어들이 다양한 정보 수집 활동에서 사용하는 자체 네트워크에 대한 위협 감지도 향상시켜왔다.

스미스버거는 인증된 사용자가 이상한 시간에 일상적이지 않은 지리적 장소에서 네트워크에 접속할 때 같은 비일상적 상황을 포착하는 역량을 예로 들었다.

예를 들어 보통 오전 7시에서 오후 7시 사이에 민감한 정보에 접속하는 버지니아주에 위치한 NSA 분석가가 동일한 정보에 대한 접속을 이스라엘 텔아비브에서 오전 3시에 요청하는 상황을 생각해볼 수 있다.

가트너 분석가 아비바 리탄의 조사에 의하면 프로파일링과 기계 학습에 기반한 비일상성-감지를 통합한 이런 행동 분석은 새로운 기술이지만 업계에서 가장 안정적인 경보를 우선시함으로써 침투를 감지하는데 사용되면서 점점 많이 쓰이고 있다.

스미스버거는 "NSA는 사이버보안 소프트웨어와 모든 네트워크 기기상의 감사 로그, 방화벽, VPN 등을 포함한 어플라이언스의 실시간 검식 분석을 수행해 인간의 능력을 넘어서는 관찰 작업을 수행할 수 있게 되었다"고 설명했다.

자세한 설명은 하지 않았지만 이 외에도 훨씬 '교묘한' 위협 감지 방법들이 존재한다고 말했다. 스미스버거는 "모든 세부 내역을 여기서 공개하지는 않을 것이지만 아주 미세하게 자신의 네트워크상에서 무엇이 일상적인지, 무엇이 네트워크상에서 인증된 것인지를 이해하고, 그 관찰 내역을 실시간으로 지금까지 인증된 것, 지금까지 일상적이었던 것과 비교하는 게 관건이다"고 덧붙였다.

스미스버거는 "이런 조치들은 꼼꼼하게 짜인 프라이빗 클라우드를 보호하고 가상화 서버와 애플리케이션 등 아마존 웹 서비스 같은 퍼블릭 클라우드 서비스에서 기대할 수 있는 것과 유사한 기술을 배치한다"고 말했다.

그는 이어 하지만 다양한 분석가와 정보원들에게 대외비부터 일급 비밀에 이르는 다양한 단계의 비밀 유지 수준에 대한 접속권을 줘야 한다는 점에서 퍼블릭 클라우드와 핵심적인 차이점들이 있다고 덧붙였다.

그에 따르면 접속은 각각의 데이터 요소 계층에 이르기까지 단단히 통제된다. 두 명의 분석가가 이 시스템상에서 동일한 정보 쿼리를 수행하더라도 비밀 정보 사용 허가에 따라 다른 결과가 나타날 수도 있다. 

스미스버그는 "네트워크 안팎에 우리를 외부 세계와 분리시키는 다수의 계층이 존재한다. 흡사 계층별 보안 모델과 정부-개발, 정부용 맞춤 개발과 상용 제품의 조합이라고 볼 수 있다"며, "이런 편집증적인, 계층별 방어가 최선의 해답이고, 솔직히 제대로만 한다면 내부 문제가 바로 드러나게 된다"고 설명했다.

퍼블릭 클라우드 형태로 만들어진 프라이빗 클라우드
NSA의 프라이빗 클라우드 자체는 대단한 업적으로 볼 수 있다. 프라이빗 클라우드는 2011년 정보 기관들이 안전하게 접속하고 정보를 공유할 수 있게 해주는 클라우드 환경을 제안했던 ICITE(Intelligence Community Information Technology Enterprise) 프로그램 하에서 개발된 것이다.

스미스버거는 NSA 프라이빗 클라우드가 수많은 구형 상용 서버와 맞춤형 구축 서버, 상당수의 데이터를 고립시켰던 데이터베이스와 애플리케이션 등을 교체하는데 기여했다며, 통합된 자원 속에서 이런 기술들을 업그레이드함으로써 자체 정보 자산의 분석 능력이 높아졌고 결과적으로 분석가, 정보원, 기타 구성원들의 작업을 더 잘 돕게 됐다고 전했다.

스미스버거는 이 프라이빗 클라우드가 시장에 나온 그 어떤 것보다도 훨씬 더 세밀한 보안을 갖추고 있다고 말했다. 하지만 NSA의 프라이빗 클라우드가 완전히 침투 불가능하다고 공언하지는 않았다.

스미스버거는 "어느 누구라도 네트워크 침투가 불가능하다고 이야기하는 것은 오만한 태도일 수 있다. 우리의 비밀 세계를 외부 세계로부터 보호하는 수많은 검토를 거친 수많은 메카니즘들이 존재하며 이를 뒷받침하기 위한 새로운 아이디어를 계속해서 개발하고 있다. 우리는 대표적인 공격 대상이 아닌가"라고 말했다. ciokr@idg.co.kr

X