2018.03.08

칼럼 | 데이터 주도형 보안으로 가는 길

Roger A. Grimes | CSO
데이터 기반 방어는 조직의 자체 데이터를 사용하여 가장 중요한 위협을 식별하고 완화한다. 그럴듯하게 들리지만, 막상 조직이 데이터 기반 방어를 도입하려 하면, 내부 저항에 부딪힐 것이다.



필자는 남은 경력을 데이터 주도형 컴퓨터 보안 방어 고취에 전념하기로 했다. 한 마디로 경험을 통해 기업의 로컬 데이터를 활용하여 더욱 효율적이고 효과적인 컴퓨터 보안 방어를 구축하는 것이다.

필자는 약 10년 동안 백서, 서적 및 각종 행사 발표를 포함한 여러 프레젠테이션 등 데이터 주도형 방어를 강력히 주장했다. 자체 데이터를 활용하여 더 나은 방어를 구축하지 않는 기업들은 요즈음의 간단한 해킹에도 뒤떨어진다. 이는 비효율적이고 비효과적인 방어로 이어져 대부분의 경우에 더 많은 해커와 악성코드가 기업에 침투할 수 있게 된다.

데이터 주도형 방어가 우수하다는 것을 알더라도 기업이 이를 도입하기 위해 문화를 바꾸는 것은 어렵다. 필자가 배운 교훈이 이런 수고를 더는 데 도움이 될 수 있다.

반발을 예상하라
필자는 자체 데이터를 더욱 잘 활용하여 방어적인 완화책을 유도해야 한다고 말할 때 보이는 반발에 놀랐다. 필자가 이전에 근무했던 기업에서는 필자가 데이터 주도형 방어에 대한 설파를 멈추지 않으면 해고를 당할 수도 있다는 말을 들었다. 필자의 아이디어에 강력히 반대했던 사람들은 직업상의 적으로 기억할 수 있을 뿐이다. 그들은 필자의 모든 아이디어와 프로젝트를 좌절시켰다.

그러다 하루는 필자의 데이터 주도형 방어 아이디어가 문화의 한 부분이 되었고 너무 잘 수용된 나머지 그들은 우리가 한 거의 모든 것을 주도했다. 필자가 기업 임원들과 참석한 회의에서 고위 임원이 그룹에게 이렇게 말했다. “우리는 데이터 주도형 방어에 대한 로저(Roger)의 아이디어를 더욱 자주 따라야 한다.” 필자는 놀라움을 금치 못했다. 몇 주 후, 필자의 적이 필자를 한 신입 직원에게 “세상에서 만나 본 가장 똑똑하고 집요한 사람”이라고 소개했을 때 필자가 결국 기업의 문화에 승리했다는 사실을 깨달았다.

필자는 필자의 기업에서조차도 수년 동안 사람들이 데이터 주도형 방어의 비전을 이해하도록 하는 데 어려움을 겪었다는 사실을 밝히기 위해 이런 개인적인 이야기를 공유하고 있다. (대부분이 그렇지만) 자신의 기업이 아직 그런 수준에 도달하지 못했다면 모두가 참여하도록 하려면 싸워야 한다.

어떤 패러다임의 변화가 필요하다. 패러다임의 변화는 절대로 바로 수용되지 않는다. 그렇게 되면 상식이라고 부르는 게 맞다. 패러다임의 변화를 위해서는 사람들에게 현재 상황의 무가치를 보여준 후 다른 것으로 이동해야 할 필요성이 증가하고 있음을 이해시켜야 한다. 인간은 수십 년 동안 비즈니스를 수행한 방식에 관한 사고를 잘 바꾸지 못한다.

데이터 주도형 방어를 신속하게 이해시키는 방법
데이터 주도형 컴퓨터 보안 방어를 설명하는 가장 빠른 방법은 보험사와 비교하는 것이다. 모든 보험 상품은 가입자가 보험사에 내는 금액이 보험사가 적용 시나리오에 따라 가입자에게 최종 돌려주는 금액보다 많아지도록 하는 재정적인 내기다.

대부분 보험사는 사고 발생을 예측하기 위해 데이터 분석을 활용하는 고연봉 보험계리인들이 있기 때문에 수익성이 높다. 데이터 주도형 방어는 보험사와 마찬가지로 단순히 기업의 컴퓨터 방어에 더 많은 데이터 분석을 활용하여 실제 위험과 결과를 더욱 잘 분석하도록 강제하는 것이다.

데이터 주도형 방어의 기초
데이터 주도형 컴퓨터 보안 방어는 무엇보다도 마음가짐과 문화가 중요하다. 발생할 가능성이 가장 높은 미래의 보안 이벤트를 더욱 잘 예측하기 위해 자체 로컬 데이터를 사용하고 있는 경우 이미 그렇게 하는 것이다. 대부분 기업은 몇몇 곳에서만 제한적으로 사용하고 있다. 필자는 대부분의 컴퓨터 보안 방어 시나리오에서 이것이 주요 동인이 되어야 한다고 주장하고 있다.

데이터 주도형 방어는 우선 최근에 받은 공격이 얼마나 성공적이었는지(얼마나 큰 피해를 입었는지), 그리고 앞으로는 취약점 공격이 얼마나 성공적일지 확인하는 데서 출발한다. 위협은 악성코드나 해커집단이 아니라 초기 취약점 공격의 기저 원인(패치되지 않은 소프트웨어, 소셜 엔지니어링, 구성 실수 또는 암호 공격 등)이다. 공격자가 조직에 발을 들여놓는 방식을 차단하지 못하면 위협을 막을 수 없다. ‘해가 없는’ 애드웨어(Adware)와 악성 백도어 트로이 목마가 동일한 취약점 공격 방법을 사용해 침투하기 때문에 이를 이해하고 나면 애드웨어도 트로이 목마만큼 무서워질 것이다.

그러고 나서 상위 위협을 조직의 모든 이에게 전달하여 이를 인지할 뿐 아니라 완화하는 데 도움을 줄 수 있다. 그러면 조직은 이런 위협을 잘 물리치는 방법을 위해 현재의 위협 정보, 위협 감지, 완화를 분석한다. 최고의 완화책을 적용한 후 이런 상위 위협에 대해 평가하여 완화하는데 정말로 얼마나 도움이 되는지 파악한다.

올바르게 적용하는 경우 데이터 주도형 방어책은 초기 위반과 결과적인 해커 활동을 더욱 효율적으로 최소화한다. 그 핵심 목표는 다음과 같다.

• 데이터 수집 및 분석 향상
• 더 나은 위협 정보 수집
• 위협 감지 개선
• 기저 원인 집중
• 기업 소통 및 조율 개선
• 완화책과 가장 중대한 위협 사이의 일치도 개선
• 책무성 강화

공통 예
수년 동안 패치되지 않은 채 가장 많이 악용된 소프트웨어는 썬/오라클 자바였다. 필자가 접근한 거의 모든 기업에서 자바가 패치되지 않았고 이를 이용한 취약점 공격이 가장 흔했다. 사실, 시스코는 2014 연례 보안 보고서에서 패치되지 않은 자바가 자사 고객에 대해 성공한 전체 웹 공격의 91%에 기여했다고 밝혔다. 즉, 기타 웹 취약점 공격은 9%밖에 되지 않는 것이다!

이 때문에 필자는 고객들이 추후에 패치되지 않은 자바를 줄이기 위해 열심히 노력하는 대신 운영 문제 때문에 해당 문제를 해결할 수 없다고 판단하고 다른 것에 집중했다는 사실을 알아채지 못할 것이다. 왜냐하면 그들의 자체 데이터에서 패치되지 않은 자바가 해킹을 당한 가장 큰 이유라는 점이 밝혀졌고 방어와 관련된 모든 사람이 이같은 사실을 알고 있었기 때문이다.

그래서 필자는 그들에게 패치되지 않은 자바 문제를 해결하지 않으면 기업 내의 다른 모든 컴퓨터 보안 위협을 해결하더라도 문제를 해결하지 못할 것이라는 사실을 입증했다. 이들의 자체 데이터를 통해 패치되지 않은 자바 문제를 무시하거나 인정하는 것이 컴퓨터 보안 문제의 핵심이었다는 사실이 드러났다. 그들은 데이터를 확보하여 경영진에 조직 내의 가장 큰 문제에 집중하기 위해 더 많은 자원과 권한을 요청할 수 있었다. 이 데이터를 통해 그들은 운영 문제를 제쳐 두고 할 일을 할 수 있었다. 데이터는 극단적으로 불확실하고 혼란스러운 세상에서 지원과 명확성을 제공한다.


해커와 악성코드를 물리치고 싶나? 데이터를 활용하라
필자는 현재 51세이며 30년 이상 컴퓨터 보안 일을 해왔다. 앞으로 15년 후에는 은퇴할 생각이다. 필자는 2005년 이후 이 분야에서 많은 주제에 관해 연간 52개의 칼럼을 작성했지만 정기 구독자들은 컴퓨터 보안 데이터 분석 주제를 반복적으로 다룬다고 생각할 것이다. 이 메시지가 모두에게 상식처럼 보일 때까지 전파하는 것보다 기업의 컴퓨터 보안 방어를 개선하는 더 좋은 방법은 없다.

데이터 주도형 컴퓨터 보안 방어에 대해 좀 더 자세히 알고 싶다면 3월 15일에 열리는 필자의 무료 웨비나에 참석하면 된다. 특정 상품 광고 같은 것은 없고 단지 패러다임 변화에 대해서만 다룰 예정이다.

*Roger A. Grimes는 컴퓨터 자격증을 40개 이상 보유하고 2005년부터 보안 칼럼니스트로 활동하며 컴퓨터 보안 관련 서적 8권을 저술했다. ciokr@idg.co.kr

2018.03.08

칼럼 | 데이터 주도형 보안으로 가는 길

Roger A. Grimes | CSO
데이터 기반 방어는 조직의 자체 데이터를 사용하여 가장 중요한 위협을 식별하고 완화한다. 그럴듯하게 들리지만, 막상 조직이 데이터 기반 방어를 도입하려 하면, 내부 저항에 부딪힐 것이다.



필자는 남은 경력을 데이터 주도형 컴퓨터 보안 방어 고취에 전념하기로 했다. 한 마디로 경험을 통해 기업의 로컬 데이터를 활용하여 더욱 효율적이고 효과적인 컴퓨터 보안 방어를 구축하는 것이다.

필자는 약 10년 동안 백서, 서적 및 각종 행사 발표를 포함한 여러 프레젠테이션 등 데이터 주도형 방어를 강력히 주장했다. 자체 데이터를 활용하여 더 나은 방어를 구축하지 않는 기업들은 요즈음의 간단한 해킹에도 뒤떨어진다. 이는 비효율적이고 비효과적인 방어로 이어져 대부분의 경우에 더 많은 해커와 악성코드가 기업에 침투할 수 있게 된다.

데이터 주도형 방어가 우수하다는 것을 알더라도 기업이 이를 도입하기 위해 문화를 바꾸는 것은 어렵다. 필자가 배운 교훈이 이런 수고를 더는 데 도움이 될 수 있다.

반발을 예상하라
필자는 자체 데이터를 더욱 잘 활용하여 방어적인 완화책을 유도해야 한다고 말할 때 보이는 반발에 놀랐다. 필자가 이전에 근무했던 기업에서는 필자가 데이터 주도형 방어에 대한 설파를 멈추지 않으면 해고를 당할 수도 있다는 말을 들었다. 필자의 아이디어에 강력히 반대했던 사람들은 직업상의 적으로 기억할 수 있을 뿐이다. 그들은 필자의 모든 아이디어와 프로젝트를 좌절시켰다.

그러다 하루는 필자의 데이터 주도형 방어 아이디어가 문화의 한 부분이 되었고 너무 잘 수용된 나머지 그들은 우리가 한 거의 모든 것을 주도했다. 필자가 기업 임원들과 참석한 회의에서 고위 임원이 그룹에게 이렇게 말했다. “우리는 데이터 주도형 방어에 대한 로저(Roger)의 아이디어를 더욱 자주 따라야 한다.” 필자는 놀라움을 금치 못했다. 몇 주 후, 필자의 적이 필자를 한 신입 직원에게 “세상에서 만나 본 가장 똑똑하고 집요한 사람”이라고 소개했을 때 필자가 결국 기업의 문화에 승리했다는 사실을 깨달았다.

필자는 필자의 기업에서조차도 수년 동안 사람들이 데이터 주도형 방어의 비전을 이해하도록 하는 데 어려움을 겪었다는 사실을 밝히기 위해 이런 개인적인 이야기를 공유하고 있다. (대부분이 그렇지만) 자신의 기업이 아직 그런 수준에 도달하지 못했다면 모두가 참여하도록 하려면 싸워야 한다.

어떤 패러다임의 변화가 필요하다. 패러다임의 변화는 절대로 바로 수용되지 않는다. 그렇게 되면 상식이라고 부르는 게 맞다. 패러다임의 변화를 위해서는 사람들에게 현재 상황의 무가치를 보여준 후 다른 것으로 이동해야 할 필요성이 증가하고 있음을 이해시켜야 한다. 인간은 수십 년 동안 비즈니스를 수행한 방식에 관한 사고를 잘 바꾸지 못한다.

데이터 주도형 방어를 신속하게 이해시키는 방법
데이터 주도형 컴퓨터 보안 방어를 설명하는 가장 빠른 방법은 보험사와 비교하는 것이다. 모든 보험 상품은 가입자가 보험사에 내는 금액이 보험사가 적용 시나리오에 따라 가입자에게 최종 돌려주는 금액보다 많아지도록 하는 재정적인 내기다.

대부분 보험사는 사고 발생을 예측하기 위해 데이터 분석을 활용하는 고연봉 보험계리인들이 있기 때문에 수익성이 높다. 데이터 주도형 방어는 보험사와 마찬가지로 단순히 기업의 컴퓨터 방어에 더 많은 데이터 분석을 활용하여 실제 위험과 결과를 더욱 잘 분석하도록 강제하는 것이다.

데이터 주도형 방어의 기초
데이터 주도형 컴퓨터 보안 방어는 무엇보다도 마음가짐과 문화가 중요하다. 발생할 가능성이 가장 높은 미래의 보안 이벤트를 더욱 잘 예측하기 위해 자체 로컬 데이터를 사용하고 있는 경우 이미 그렇게 하는 것이다. 대부분 기업은 몇몇 곳에서만 제한적으로 사용하고 있다. 필자는 대부분의 컴퓨터 보안 방어 시나리오에서 이것이 주요 동인이 되어야 한다고 주장하고 있다.

데이터 주도형 방어는 우선 최근에 받은 공격이 얼마나 성공적이었는지(얼마나 큰 피해를 입었는지), 그리고 앞으로는 취약점 공격이 얼마나 성공적일지 확인하는 데서 출발한다. 위협은 악성코드나 해커집단이 아니라 초기 취약점 공격의 기저 원인(패치되지 않은 소프트웨어, 소셜 엔지니어링, 구성 실수 또는 암호 공격 등)이다. 공격자가 조직에 발을 들여놓는 방식을 차단하지 못하면 위협을 막을 수 없다. ‘해가 없는’ 애드웨어(Adware)와 악성 백도어 트로이 목마가 동일한 취약점 공격 방법을 사용해 침투하기 때문에 이를 이해하고 나면 애드웨어도 트로이 목마만큼 무서워질 것이다.

그러고 나서 상위 위협을 조직의 모든 이에게 전달하여 이를 인지할 뿐 아니라 완화하는 데 도움을 줄 수 있다. 그러면 조직은 이런 위협을 잘 물리치는 방법을 위해 현재의 위협 정보, 위협 감지, 완화를 분석한다. 최고의 완화책을 적용한 후 이런 상위 위협에 대해 평가하여 완화하는데 정말로 얼마나 도움이 되는지 파악한다.

올바르게 적용하는 경우 데이터 주도형 방어책은 초기 위반과 결과적인 해커 활동을 더욱 효율적으로 최소화한다. 그 핵심 목표는 다음과 같다.

• 데이터 수집 및 분석 향상
• 더 나은 위협 정보 수집
• 위협 감지 개선
• 기저 원인 집중
• 기업 소통 및 조율 개선
• 완화책과 가장 중대한 위협 사이의 일치도 개선
• 책무성 강화

공통 예
수년 동안 패치되지 않은 채 가장 많이 악용된 소프트웨어는 썬/오라클 자바였다. 필자가 접근한 거의 모든 기업에서 자바가 패치되지 않았고 이를 이용한 취약점 공격이 가장 흔했다. 사실, 시스코는 2014 연례 보안 보고서에서 패치되지 않은 자바가 자사 고객에 대해 성공한 전체 웹 공격의 91%에 기여했다고 밝혔다. 즉, 기타 웹 취약점 공격은 9%밖에 되지 않는 것이다!

이 때문에 필자는 고객들이 추후에 패치되지 않은 자바를 줄이기 위해 열심히 노력하는 대신 운영 문제 때문에 해당 문제를 해결할 수 없다고 판단하고 다른 것에 집중했다는 사실을 알아채지 못할 것이다. 왜냐하면 그들의 자체 데이터에서 패치되지 않은 자바가 해킹을 당한 가장 큰 이유라는 점이 밝혀졌고 방어와 관련된 모든 사람이 이같은 사실을 알고 있었기 때문이다.

그래서 필자는 그들에게 패치되지 않은 자바 문제를 해결하지 않으면 기업 내의 다른 모든 컴퓨터 보안 위협을 해결하더라도 문제를 해결하지 못할 것이라는 사실을 입증했다. 이들의 자체 데이터를 통해 패치되지 않은 자바 문제를 무시하거나 인정하는 것이 컴퓨터 보안 문제의 핵심이었다는 사실이 드러났다. 그들은 데이터를 확보하여 경영진에 조직 내의 가장 큰 문제에 집중하기 위해 더 많은 자원과 권한을 요청할 수 있었다. 이 데이터를 통해 그들은 운영 문제를 제쳐 두고 할 일을 할 수 있었다. 데이터는 극단적으로 불확실하고 혼란스러운 세상에서 지원과 명확성을 제공한다.


해커와 악성코드를 물리치고 싶나? 데이터를 활용하라
필자는 현재 51세이며 30년 이상 컴퓨터 보안 일을 해왔다. 앞으로 15년 후에는 은퇴할 생각이다. 필자는 2005년 이후 이 분야에서 많은 주제에 관해 연간 52개의 칼럼을 작성했지만 정기 구독자들은 컴퓨터 보안 데이터 분석 주제를 반복적으로 다룬다고 생각할 것이다. 이 메시지가 모두에게 상식처럼 보일 때까지 전파하는 것보다 기업의 컴퓨터 보안 방어를 개선하는 더 좋은 방법은 없다.

데이터 주도형 컴퓨터 보안 방어에 대해 좀 더 자세히 알고 싶다면 3월 15일에 열리는 필자의 무료 웨비나에 참석하면 된다. 특정 상품 광고 같은 것은 없고 단지 패러다임 변화에 대해서만 다룰 예정이다.

*Roger A. Grimes는 컴퓨터 자격증을 40개 이상 보유하고 2005년부터 보안 칼럼니스트로 활동하며 컴퓨터 보안 관련 서적 8권을 저술했다. ciokr@idg.co.kr

X