2018.03.02

'이제는 놓아줘야 할' 보안 유행어 10가지

Fahmida Y. Rashid | CSO
'시너지와 패러다임의 전환'에 대해 이야기하는 영업 전문가가 있다. '차세대', '파괴적', '최첨단'이라면 사족을 못쓰는 기술 전문가들도 존재한다. 그러나 '레버리지'라는 명사를 활용한다고 해서 '레버리지'가 동사로 작용하는 것은 아니다.

보안 분야에도 무수한 유행어가 나타나고 사라진다. 이미 수십 번은 족히 들었을 유행어 중, 이제 은퇴시킬 만한 10가지를 골라봤다.



사이버

'사이버 스페이스', '사이버 보안', '사이버 방어', '사이버 범죄', '사이버 군대' 등등, 사이버는 온라인 세계의 모든 것을 나타내는 편리한 접두사다. 그러나 그 결과 해당 단어가 모든 의미를 상실하는 지경에 이르렀다. 굳이 '사이버'를 이용할 이유가 없는 경우가 빈번해지고 있다.

사이버는 총창기 기술과 사회의 경계를 넘는 개념을 참조할 때 유용한 접두어였다. 일례로 '사이버 보안'은 사람들이 기술을 사용하는 방식에 보안 개념이 적용된 방법에 대한 인식을 높이는 데 도움이 됐다. 그러나 이제 '사이버'라는 우산 아래 모든 것을 집중시키는 것은 오히려 부작용을 낳을 수도 있다. 가령 중요한 인프라에 대한 공격이 피싱 공격이나 잘못된 정보 캠페인과 동일한 수준으로 간주되어서는 안 된다. 이들은 서로 다른 해결책을 요구하는 다른 문제이기 때문이다. 모두 사이버로 분류된다면, 각각의 상황에 필요한 접근법을 확인하기 오히려 어려워진다.

AI
인간이 현재 수동으로해야하는 일을 스마트 로봇이 해낼 것이라는 미래를 약속 받고 있다. 보안의 미래 역시 자동화에 달려 있다. 그러나 복잡한 분석 및 계산과 관련된 모든 보안 기술이 AI인 것은 아니다.

머신러닝, 딥러닝 및 AI가 자동화된 보안 기술과 동의어로 사용되고 있다. 그러나 이는 결코 바람직한 생각이 아니다. 머신러닝은 여러 알고리즘과 모델을 사용해 데이터에 액세스하고 조작할 수 있으며 프로그래밍 할 필요없이 모델을 수정할 수 있음을 의미한다. 딥러닝은 구조화되지 않은 데이터 또는 레이블이없는 데이터를 가져 와서 패턴을 유도하거나 이전에 모르는 것을 학습 할 수있는 네트워크를 나타낸다. 이것들이 인공지능의 부분 집합인 것은 사실이지만 이들을 사용하는 것은 보안 방어와 공격 팀이 할 수 있는 다른 방법을 무시하는 결과를 낳을 수 있다.

APT
당초 APT는 '진보한 지속적 위협'(advanced persistent threat)을 의미했지만 최근에는 방어측이 알지 못했던 공격을 나타내는데 점점 더 많이 사용되고 있다. 그렇다. 공격은 분명히 위협이며 공격자가 목표의 인프라에서 머무르면서 지속성을 지니곤 한다. 그러나 '진보한'이라는 범주에 속하는 경우는 거의 없다. 오늘날 미디어 헤드라인을 장식하는 침입 사례의 대부분은 평범한 피싱 메일 또는 빈약한 암호 관리와 관련된 것들이다.

오늘날 'APT'는 보안 조직이 애용하는 변경 수단으로 되어가고 있다. 정보 보안이 어렵다는 것을 인정하고 방어측이 해야 할 많은 일에 대해 솔직한 대화를 나누는 대신 'APT'라는 용어의 뒤에 숨는 관행이 늘어나고 있다. '우리는 보안 문제를 심각하게 받아들이고 있다'라는 문장 만큼이나 상투적인 용어로 변모해가고 있다.

위협 인텔리전스
가트너는 위협 인텔리전스(threat intelligence)에 대해 "기존에 있었거나 새롭게 부상하는 위협 및 해로운 존재에 대해 알려주는 맥락, 메커니즘, 지표, 함의(implications), 실행 가능한 조언과 같은 증거 기반의 지식이다. 해당 위협이나 해로운 존재에 대해 반응할 수 있는 의사 결정에 활용될 수 있어야 한다"라고 정의하고 있다. 해석의 여지가 다양할 수 있는 용어인 셈이다.

좀더 간단히 말하자면 위협 인텔리전스는 여러 소스의 데이터를 수집하고 집계한 다음 관련 정보를 적용해 정보를 풍부하게 하고 해답을 찾기 위해 결과를 분석하는 것이다.

오늘날 원시 데이터(Raw data)가 종종 인텔리전스로 잘못 표시된다. 이벤트 데이터를 집계하는 로그 파일과 시스템이 '위협 정보'로 표기되기도 한다. 데이터를 수집하고 분석하는 것만으로는 충분하지 않다. '인텔리전스'라고 불리기 위해서는 그 이상이 요구된다.

위협 인텔리전스라는 표현을 사용할 수 있으려면 맥락이 요구되며 사용 가능한 형태로 전달되어야 한다. '맥락화된 인텔리전스'라는 용어도 최근에는 등장하고 있는데, 이 역시 새로운 의미 없이 소음만 증가시키는 존재다. '사이버 위협 인텔리전스'라는 괴상한 단어도 추방시킬 만하다.

차세대
새롭게 출시하는 모든 제품과 서비스에 대해 '차세대'(Next-generation)라는 용어를 사용하는 관행은 정보보안 분야에 머무르지 않는다. 그러나 '차세대'라는 용어의 남발은 정보 보안 분야에서 확실히 문제가 될 수 있다.

오늘날 차세대는 새로운 사용자 인터페이스, 사용자 친화적 기능, 더 커진 트래픽 관리 기능, 증가한 사용자 및 엔드포인트 처리 능력을 묘사하는 용어로도 사용되고 있다. 그렇다면 새로운 아키텍처와 새롭게 등장하는 위협을 처리하기위한 재설계된 접근법은 무엇이라고 불러야 할까? 차차세대? 어쩌면 'AI'라는 용어가 범람하고 있는 이유이기도 하다.

클라우드
이제는 모든 것이 '클라우드'에 있다고 있다고 해도 과언이 아니며 보안 역시 마찬가지다. 그러나 타인의 인프라를 이용한다고 해서 모든 문제가 사라지는 것은 아니다. 또 로컬에서 작업할 때와 동일한 일을 할 수 있음을 의미하지도 않는다. 클라우드 애플리케이션에 관해 이야기할 때 네트워크 경계의 개념은 매우 다르며 다양한 신원 및 인증 문제가 새롭게 나타날 수 있다.

한편으로는 '엣지 컴퓨팅'의 부상을 눈여겨볼 만하다. 즉 사용자가 보유한 컴퓨터, 자체 저장장치 등 로컬 데이터센터를 이용하는 경향이 다시 나타나고 있다. 어쩌면 이제 비-클라우드의 시대가 도래하고 있는 것은 아닐까?

데이터 기반
센서, 애플리케이션 로그, 시스템 이벤트 및 트랜잭션 세부 정보를 모두 분석하여 패턴을 발견할 수 있으며, 오늘날 이용되고 있는 보안 기술은 거의 모두 데이터 기반(Data-driven)이라고 표현할 수 있다. 데이터베이스 또는 로그가 있다는 이유만으로 '데이터 기반'이라는 수식어를 붙이기에는 무리가 있다. '위협 인텔리전스'가 맥락 활용성을 요구하는 것처럼, '데이터 기반'이라는 용어는 정보가 실용적인 방식으로 사용되고 있음을 의미해야 한다.

실시간
실시간(Real-time)은 보안 기업들이 더 빠르고 효율적임을 강조하기 위해 애용하는 용어다. 그러나 데이터를 분석하고 페이로드를 실행하는 과정은 아무리 짧을지라도 시간이 소요된다. 특히 분석이 그렇다. 엄밀히 말해 '실시간'이라는 용어보다는 '실시간에 가까운'(near real-time)이라는 용어가 더 정확한 이유다.

사고 리더
'사고 리더'(thought leader)는 권위 있고 영향력 있는 이를 의미하는 용어다. 정보 보안 업계에는 이른바 사고 리더로 가득차 있다. 몇몇은 트렌드, 기술, 철학에 앞서 있지만, 그저 유행어와 거품을 향해 자신의 의제를 추진하는 이들도 있다.

사고 리더는 인터뷰, 기고, 각종 회의와 커뮤니티에서 다양한 방식으로 인사이트와 아이디어를 공유하는 이들이다. 스스로를 꾸미기 위해 치장할 만한 단어가 아니다.

실행 가능한
정말이지 의미 없는 용어 중 하나가 '실행 가능한'(actionable)이다. 많은 보안 기업들이 이 용어를 활용하고 있지만 실행 가능하지 않은 신제품라는 것이 존재할 수 없다. 보안 사고를 그저 관찰하고 '와우, 사건이 일어났어!'라고만 말하려는 이가 있을까? 보안 업계의 고객은 모두 발생한 사건에 대해 대응하기를 원한다. ciokr@idg.co.kr 



2018.03.02

'이제는 놓아줘야 할' 보안 유행어 10가지

Fahmida Y. Rashid | CSO
'시너지와 패러다임의 전환'에 대해 이야기하는 영업 전문가가 있다. '차세대', '파괴적', '최첨단'이라면 사족을 못쓰는 기술 전문가들도 존재한다. 그러나 '레버리지'라는 명사를 활용한다고 해서 '레버리지'가 동사로 작용하는 것은 아니다.

보안 분야에도 무수한 유행어가 나타나고 사라진다. 이미 수십 번은 족히 들었을 유행어 중, 이제 은퇴시킬 만한 10가지를 골라봤다.



사이버

'사이버 스페이스', '사이버 보안', '사이버 방어', '사이버 범죄', '사이버 군대' 등등, 사이버는 온라인 세계의 모든 것을 나타내는 편리한 접두사다. 그러나 그 결과 해당 단어가 모든 의미를 상실하는 지경에 이르렀다. 굳이 '사이버'를 이용할 이유가 없는 경우가 빈번해지고 있다.

사이버는 총창기 기술과 사회의 경계를 넘는 개념을 참조할 때 유용한 접두어였다. 일례로 '사이버 보안'은 사람들이 기술을 사용하는 방식에 보안 개념이 적용된 방법에 대한 인식을 높이는 데 도움이 됐다. 그러나 이제 '사이버'라는 우산 아래 모든 것을 집중시키는 것은 오히려 부작용을 낳을 수도 있다. 가령 중요한 인프라에 대한 공격이 피싱 공격이나 잘못된 정보 캠페인과 동일한 수준으로 간주되어서는 안 된다. 이들은 서로 다른 해결책을 요구하는 다른 문제이기 때문이다. 모두 사이버로 분류된다면, 각각의 상황에 필요한 접근법을 확인하기 오히려 어려워진다.

AI
인간이 현재 수동으로해야하는 일을 스마트 로봇이 해낼 것이라는 미래를 약속 받고 있다. 보안의 미래 역시 자동화에 달려 있다. 그러나 복잡한 분석 및 계산과 관련된 모든 보안 기술이 AI인 것은 아니다.

머신러닝, 딥러닝 및 AI가 자동화된 보안 기술과 동의어로 사용되고 있다. 그러나 이는 결코 바람직한 생각이 아니다. 머신러닝은 여러 알고리즘과 모델을 사용해 데이터에 액세스하고 조작할 수 있으며 프로그래밍 할 필요없이 모델을 수정할 수 있음을 의미한다. 딥러닝은 구조화되지 않은 데이터 또는 레이블이없는 데이터를 가져 와서 패턴을 유도하거나 이전에 모르는 것을 학습 할 수있는 네트워크를 나타낸다. 이것들이 인공지능의 부분 집합인 것은 사실이지만 이들을 사용하는 것은 보안 방어와 공격 팀이 할 수 있는 다른 방법을 무시하는 결과를 낳을 수 있다.

APT
당초 APT는 '진보한 지속적 위협'(advanced persistent threat)을 의미했지만 최근에는 방어측이 알지 못했던 공격을 나타내는데 점점 더 많이 사용되고 있다. 그렇다. 공격은 분명히 위협이며 공격자가 목표의 인프라에서 머무르면서 지속성을 지니곤 한다. 그러나 '진보한'이라는 범주에 속하는 경우는 거의 없다. 오늘날 미디어 헤드라인을 장식하는 침입 사례의 대부분은 평범한 피싱 메일 또는 빈약한 암호 관리와 관련된 것들이다.

오늘날 'APT'는 보안 조직이 애용하는 변경 수단으로 되어가고 있다. 정보 보안이 어렵다는 것을 인정하고 방어측이 해야 할 많은 일에 대해 솔직한 대화를 나누는 대신 'APT'라는 용어의 뒤에 숨는 관행이 늘어나고 있다. '우리는 보안 문제를 심각하게 받아들이고 있다'라는 문장 만큼이나 상투적인 용어로 변모해가고 있다.

위협 인텔리전스
가트너는 위협 인텔리전스(threat intelligence)에 대해 "기존에 있었거나 새롭게 부상하는 위협 및 해로운 존재에 대해 알려주는 맥락, 메커니즘, 지표, 함의(implications), 실행 가능한 조언과 같은 증거 기반의 지식이다. 해당 위협이나 해로운 존재에 대해 반응할 수 있는 의사 결정에 활용될 수 있어야 한다"라고 정의하고 있다. 해석의 여지가 다양할 수 있는 용어인 셈이다.

좀더 간단히 말하자면 위협 인텔리전스는 여러 소스의 데이터를 수집하고 집계한 다음 관련 정보를 적용해 정보를 풍부하게 하고 해답을 찾기 위해 결과를 분석하는 것이다.

오늘날 원시 데이터(Raw data)가 종종 인텔리전스로 잘못 표시된다. 이벤트 데이터를 집계하는 로그 파일과 시스템이 '위협 정보'로 표기되기도 한다. 데이터를 수집하고 분석하는 것만으로는 충분하지 않다. '인텔리전스'라고 불리기 위해서는 그 이상이 요구된다.

위협 인텔리전스라는 표현을 사용할 수 있으려면 맥락이 요구되며 사용 가능한 형태로 전달되어야 한다. '맥락화된 인텔리전스'라는 용어도 최근에는 등장하고 있는데, 이 역시 새로운 의미 없이 소음만 증가시키는 존재다. '사이버 위협 인텔리전스'라는 괴상한 단어도 추방시킬 만하다.

차세대
새롭게 출시하는 모든 제품과 서비스에 대해 '차세대'(Next-generation)라는 용어를 사용하는 관행은 정보보안 분야에 머무르지 않는다. 그러나 '차세대'라는 용어의 남발은 정보 보안 분야에서 확실히 문제가 될 수 있다.

오늘날 차세대는 새로운 사용자 인터페이스, 사용자 친화적 기능, 더 커진 트래픽 관리 기능, 증가한 사용자 및 엔드포인트 처리 능력을 묘사하는 용어로도 사용되고 있다. 그렇다면 새로운 아키텍처와 새롭게 등장하는 위협을 처리하기위한 재설계된 접근법은 무엇이라고 불러야 할까? 차차세대? 어쩌면 'AI'라는 용어가 범람하고 있는 이유이기도 하다.

클라우드
이제는 모든 것이 '클라우드'에 있다고 있다고 해도 과언이 아니며 보안 역시 마찬가지다. 그러나 타인의 인프라를 이용한다고 해서 모든 문제가 사라지는 것은 아니다. 또 로컬에서 작업할 때와 동일한 일을 할 수 있음을 의미하지도 않는다. 클라우드 애플리케이션에 관해 이야기할 때 네트워크 경계의 개념은 매우 다르며 다양한 신원 및 인증 문제가 새롭게 나타날 수 있다.

한편으로는 '엣지 컴퓨팅'의 부상을 눈여겨볼 만하다. 즉 사용자가 보유한 컴퓨터, 자체 저장장치 등 로컬 데이터센터를 이용하는 경향이 다시 나타나고 있다. 어쩌면 이제 비-클라우드의 시대가 도래하고 있는 것은 아닐까?

데이터 기반
센서, 애플리케이션 로그, 시스템 이벤트 및 트랜잭션 세부 정보를 모두 분석하여 패턴을 발견할 수 있으며, 오늘날 이용되고 있는 보안 기술은 거의 모두 데이터 기반(Data-driven)이라고 표현할 수 있다. 데이터베이스 또는 로그가 있다는 이유만으로 '데이터 기반'이라는 수식어를 붙이기에는 무리가 있다. '위협 인텔리전스'가 맥락 활용성을 요구하는 것처럼, '데이터 기반'이라는 용어는 정보가 실용적인 방식으로 사용되고 있음을 의미해야 한다.

실시간
실시간(Real-time)은 보안 기업들이 더 빠르고 효율적임을 강조하기 위해 애용하는 용어다. 그러나 데이터를 분석하고 페이로드를 실행하는 과정은 아무리 짧을지라도 시간이 소요된다. 특히 분석이 그렇다. 엄밀히 말해 '실시간'이라는 용어보다는 '실시간에 가까운'(near real-time)이라는 용어가 더 정확한 이유다.

사고 리더
'사고 리더'(thought leader)는 권위 있고 영향력 있는 이를 의미하는 용어다. 정보 보안 업계에는 이른바 사고 리더로 가득차 있다. 몇몇은 트렌드, 기술, 철학에 앞서 있지만, 그저 유행어와 거품을 향해 자신의 의제를 추진하는 이들도 있다.

사고 리더는 인터뷰, 기고, 각종 회의와 커뮤니티에서 다양한 방식으로 인사이트와 아이디어를 공유하는 이들이다. 스스로를 꾸미기 위해 치장할 만한 단어가 아니다.

실행 가능한
정말이지 의미 없는 용어 중 하나가 '실행 가능한'(actionable)이다. 많은 보안 기업들이 이 용어를 활용하고 있지만 실행 가능하지 않은 신제품라는 것이 존재할 수 없다. 보안 사고를 그저 관찰하고 '와우, 사건이 일어났어!'라고만 말하려는 이가 있을까? 보안 업계의 고객은 모두 발생한 사건에 대해 대응하기를 원한다. ciokr@idg.co.kr 

X