2016.09.07

탐지와 대응, 어디서 어떻게 시작할까

Kacy Zurkus | CSO
위협 환경이 끊임없이 진화하는 가운데 사이버 보안 전문가들이 탐지와 사고 대응 비중을 높이면서 보안 분야에서 협업 영역이 늘고 있다. 하지만 이 협업을 어디서부터 어떻게 시작해야 할까?


Credit: Getty Images Bank

많은 보안 전문가가 로보틱스 클러스터협회가 주최한 MASSTLC 컨퍼런스에서 이에 관한 논의를 시작했다.

IBM 엑스포스(X-Force) 연구 전략가인 크리스 폴린은 "문제는 환경을 이해해야 한다는 것이다. 다운로드 또는 업로드되는 데이터의 양은 어느 정도인가? SIEM은 정책과 규정 준수를 파악하기 위한 임계점을 주시하지만 환경에 대한 지식도 필요하다. 일반적으로 사용자들이 업/다운 로드하는 파일은 특정 크기로 정해져 있지 않다"고 말했다.

환경을 이해하기 위해서는 이에 따른 인력이 필요하지만 현재 대부분의 기업은 이런 인력을 보유하고 있지 않다. 그렇다면 경보의 범람에 직면하고 며칠 동안 문제 해결에 골몰하는 보안 팀이 환경을 이해하려면 어떻게 해야 할까?

폴린은 "자산 인벤토리와 데이터 검색, 두 가지 개념이 있다. 이 두 가지 개념은 긴밀히 연계된다. 어떤 시스템과 애플리케이션이 있는지, 이 애플리케이션의 소유자는 누구인지, 인증된 사용자는 누구인지, 애플리케이션에 대해 누가 어떤 권한을 가졌는지를 알아야 한다"고 말했다.

정책을 적용하기 전에 먼저 인벤토리와 접근 제어에 대해 알아야 한다. 폴린은 "어떤 데이터가 있는지, 소스코드 데이터 또는 금융 데이터를 기준으로 PCI 데이터는 어디에 위치하는지와 같은 상황 인식이 필요하다"고 말했다.

사용자 행동 분석(User behavior analytics)은 매우 오래 전부터 사용되고 있지만 기계가 집계하고 연계할 수 있는 데이터의 규모가 커지면서 최근 몇 년 사이에 크게 확산됐다.

폴린은 "보안 팀은 환경에서 일어나는 활동에 대해 알아야 한다. 이메일 서버 또는 금융 데이터나 소스코드, 기타 비즈니스에 가장 중요한 자료가 저장된 서버에서 얼만큼의 데이터가 전송되는지, 어느 사용자가 해당 데이터를 사용하는지를 알아야 한다"고 말했다.

활동 패턴을 파악하지 않으면 규칙을 만들어 적용할 수도 없다.
물론 비교적 규모가 작은 회사에서는 모든 사용자를 대상으로 다양한 임계점을 확인할 수 있겠지만 예를 들어 직원 수가 5만 명이 넘는 환경이라면 어떻게 해야 할까?

폴린은 "컴퓨터가 모든 측면을 감시한다"고 말했다. 머신러닝을 통해 기계는 인간에게는 불가능한 양의 데이터를 소화할 수 있다. 그러나 폴린은 "이를 위해서는 기계를 교육시켜야 한다. 기계는 맥락(context)을 항상 사람에게 의존한다. 충분한 맥락을 기계에 공급하고, 맥락을 알려주고, 데이터와 그 데이터가 발생하는 맥락을 교육시켜야 한다"고 말했다.

그러나 모든 기술이 그렇든 머신러닝은 전체 보안 인프라를 구성하는 많은 계층 가운데 하나다. 폴린은 "머신러닝은 시스템을 보완하고 튜닝하는 데 도움이 되는 SIEM 위의 부가적인 계층"이라고 말했다.

CISO는 이 계층 중에 가장 중요한 계층이 무엇인지 판단하는 데 어려움을 겪는다. 또한 계층이 지나치게 많아지면 기술 중복과 부조화가 발생한다. 폴린은 "핵심은 관점이다. 개인적으로는 목공업에서 말하는 '두 번 측정하고 한 번 자른다'는 규칙에 따른다. 정보를 측정할 무언가가 필요하다"고 말했다.

복잡한 데이터를 헤쳐 나가기 위해 해야 할 일은 경계, 사용자 역할 관리, 데이터 접근 등 문제의 위치를 확인하는 것이다. 데이터는 너무 많고 인력은 부족하다고 느끼는 사람들이 자주 느끼는 문제는 '어디서부터 시작해야 하는가'다.

IBM 자회사 리질리언트(Resilient)의 비즈니스 개발 부사장이자 자문 위원인 그랜트 레드몬과 보스턴 연방 준비 은행의 엔터프라이즈 네트워크 보안 서비스 운영 부사장인 폴 쉬디가 청중에게 "사고 대응 계획 수립에 대해 알고 싶은 것이 무엇이냐"고 묻자 청중은 "어디서부터 시작해야 하나요?"라고 질문했다.

사고 대응 계획을 위해 CISO 또는 CPO에게는 기본적으로 갖추어야 하는 전반적인 인식 이상의 정보가 필요하다. 레드몬은 "사고 대응 기술은 어떤 기술이고, 운용 설명서를 협업적 실행으로 옮기기 위해서는 어떻게 해야 하느냐는 질문을 자주 받는다"고 말했다.

사고 대응 계획의 초기에는 대부분의 사람이 스프레드시트나 이메일을 사용했지만 기업이 수집하는 데이터의 양이 기하급수적으로 증가하면서 사고 대응 팀이 계획을 수립할 때 고려해야 할 요소도 엄청나게 많아졌다.

레드몬은 "기술을 통해 예를 들어 '이런 일이 발생하면 저것을 실행하라'와 같은 여러 가지 다양한 계획을 둘 수 있다"고 말했다. 더 중요한 부분은 사고와 이벤트의 차이를 파악해야 한다는 점과 모든 이벤트를 기록해야 한다는 점을 문서로 입증할 수 있어야 한다는 것이다.

레드몬은 한 곳에 이러한 정보를 모두 수집하는 방법이 더 쉽고 효율적이라면서 "시스템 내에서 사람들이 커뮤니케이션하기 위한 장소가 필요하다"고 말했다.

쉬디는 커뮤니케이션과 모니터링이 더욱 빠른 탐지를 가능하게 해주는 두 가지 중요한 전략이며 "탐지가 무엇보다 중요하다"고 말했다. 쉬디는 "이상 현상을 모니터링하고 탐지해야 한다"고 말했다. 모니터링과 탐지를 위해서는 인텔리전스를 수집해야 한다. 보안 팀은 인텔리전스를 수집함으로써 비즈니스에 맞는 효과적인 IR 계획을 어떻게 구축해야 할지 더 정확히 알 수 있다. 인텔리전스의 시작은 '트랜잭션을 주시'하는 것이다.

트랜잭션을 모니터링하면 어떤 것이 비즈니스 측면에서 정상적인 요소인지를 알 수 있게 된다. 이 정상 범위를 벗어나는 모든 것이 이상 현상이다. 쉬디는 "정상부터 시작하면 된다. 평균적인 트랜잭션 크기, 평균적인 트랜잭션의 길이와 빈도 등이 해당된다"고 말했다.

기반이 되는 정상 범위를 정해두면 정상이 아닌 행동을 더 신속하게 탐지할 수 있지만 이 경우 사람들은 쉽게 압박감을 느끼고 현실 안주에 주력하게 된다. 레드몬은 이러한 이유로 "항상 시뮬레이션을 실행하는 것이 중요하다"고 말했다.

모의 실행을 통해 계획의 공백도 찾아낼 수 있다. 무엇을 알고 무엇을 모르는지가 드러난다. 레드몬은 "차분함을 유지해야 한다. 절대로 성급하게 결론을 도출해서는 안 된다"고 조언했다.

모르는 무언가에 직면한다면 이는 과제를 부여하기 위한 아주 좋은 기회다. 누군가 연구를 하는 동안 다른 사람들은 모두 현재에 집중하면서 계획에 따르면 된다.

모의 실행을 최대한 활용하기 위해 시뮬레이션에 폭탄을 몇 개 투하하고, 이후 팀은 무엇을 모르는지를 확인한다. 모르는 것에 대한 이러한 인식은 해답이 필요한 질문을 끌어내게 된다. 쉬디는 다음과 같은 질문에 답할 수 있어야 한다고 말했다.

- 어떤 작업을 수행하도록 허용되었는가?
- 무엇을 할 것인가?
- 어떻게 구분할 것인가?
- 어떤 종류의 시스템을 사용하는가?
- 완전히 종료할 수 있는가?
- 격리? 차단? 특정 트랜잭션의 비활성화?
- 이러한 조치를 취하기 위한 조건은 무엇인가?


시작하기 위해 애플리케이션 하나를 선택하고 그 애플리케이션의 트랜잭션을 모니터링한다. 정상적인 패턴을 알아낸 다음, 한 번에 한 단계씩 전진한다. 쉬디는 "중요한 애플리케이션을 파악하고 운용 설명서를 제작하고 시뮬레이션을 실행한 다음 IR 계획을 수립하라"고 말했다.

이 계획에서는 과제의 부여에 대해 명확해야 한다. 레드몬은 "나는 이것을 고양이에게 먹이 주기라고 표현한다. 한 사람에게 고양이 먹이 주기를 맡겨야 한다. 그렇지 않으면 모든 사람이 고양이에게 먹이를 주고 결국 고양이는 죽게 된다"고 말했다.

커뮤니케이션 준비를 하고 연락 창구를 선택하고 법률 부서 또는 경찰에 연락해야 할 시점을 파악하고 위협 인텔리전스를 공유해야 한다. 계획을 잘 수립해야 부실한 실행이 방지되기 때문이다.

이 일은 끝이 없다. 계속 실천하면서 정책에 생명을 부여해야 한다. 시간이 지나면 정책은 필연적으로 바뀌어야 하기 때문이다. editor@itworld.co.kr



2016.09.07

탐지와 대응, 어디서 어떻게 시작할까

Kacy Zurkus | CSO
위협 환경이 끊임없이 진화하는 가운데 사이버 보안 전문가들이 탐지와 사고 대응 비중을 높이면서 보안 분야에서 협업 영역이 늘고 있다. 하지만 이 협업을 어디서부터 어떻게 시작해야 할까?


Credit: Getty Images Bank

많은 보안 전문가가 로보틱스 클러스터협회가 주최한 MASSTLC 컨퍼런스에서 이에 관한 논의를 시작했다.

IBM 엑스포스(X-Force) 연구 전략가인 크리스 폴린은 "문제는 환경을 이해해야 한다는 것이다. 다운로드 또는 업로드되는 데이터의 양은 어느 정도인가? SIEM은 정책과 규정 준수를 파악하기 위한 임계점을 주시하지만 환경에 대한 지식도 필요하다. 일반적으로 사용자들이 업/다운 로드하는 파일은 특정 크기로 정해져 있지 않다"고 말했다.

환경을 이해하기 위해서는 이에 따른 인력이 필요하지만 현재 대부분의 기업은 이런 인력을 보유하고 있지 않다. 그렇다면 경보의 범람에 직면하고 며칠 동안 문제 해결에 골몰하는 보안 팀이 환경을 이해하려면 어떻게 해야 할까?

폴린은 "자산 인벤토리와 데이터 검색, 두 가지 개념이 있다. 이 두 가지 개념은 긴밀히 연계된다. 어떤 시스템과 애플리케이션이 있는지, 이 애플리케이션의 소유자는 누구인지, 인증된 사용자는 누구인지, 애플리케이션에 대해 누가 어떤 권한을 가졌는지를 알아야 한다"고 말했다.

정책을 적용하기 전에 먼저 인벤토리와 접근 제어에 대해 알아야 한다. 폴린은 "어떤 데이터가 있는지, 소스코드 데이터 또는 금융 데이터를 기준으로 PCI 데이터는 어디에 위치하는지와 같은 상황 인식이 필요하다"고 말했다.

사용자 행동 분석(User behavior analytics)은 매우 오래 전부터 사용되고 있지만 기계가 집계하고 연계할 수 있는 데이터의 규모가 커지면서 최근 몇 년 사이에 크게 확산됐다.

폴린은 "보안 팀은 환경에서 일어나는 활동에 대해 알아야 한다. 이메일 서버 또는 금융 데이터나 소스코드, 기타 비즈니스에 가장 중요한 자료가 저장된 서버에서 얼만큼의 데이터가 전송되는지, 어느 사용자가 해당 데이터를 사용하는지를 알아야 한다"고 말했다.

활동 패턴을 파악하지 않으면 규칙을 만들어 적용할 수도 없다.
물론 비교적 규모가 작은 회사에서는 모든 사용자를 대상으로 다양한 임계점을 확인할 수 있겠지만 예를 들어 직원 수가 5만 명이 넘는 환경이라면 어떻게 해야 할까?

폴린은 "컴퓨터가 모든 측면을 감시한다"고 말했다. 머신러닝을 통해 기계는 인간에게는 불가능한 양의 데이터를 소화할 수 있다. 그러나 폴린은 "이를 위해서는 기계를 교육시켜야 한다. 기계는 맥락(context)을 항상 사람에게 의존한다. 충분한 맥락을 기계에 공급하고, 맥락을 알려주고, 데이터와 그 데이터가 발생하는 맥락을 교육시켜야 한다"고 말했다.

그러나 모든 기술이 그렇든 머신러닝은 전체 보안 인프라를 구성하는 많은 계층 가운데 하나다. 폴린은 "머신러닝은 시스템을 보완하고 튜닝하는 데 도움이 되는 SIEM 위의 부가적인 계층"이라고 말했다.

CISO는 이 계층 중에 가장 중요한 계층이 무엇인지 판단하는 데 어려움을 겪는다. 또한 계층이 지나치게 많아지면 기술 중복과 부조화가 발생한다. 폴린은 "핵심은 관점이다. 개인적으로는 목공업에서 말하는 '두 번 측정하고 한 번 자른다'는 규칙에 따른다. 정보를 측정할 무언가가 필요하다"고 말했다.

복잡한 데이터를 헤쳐 나가기 위해 해야 할 일은 경계, 사용자 역할 관리, 데이터 접근 등 문제의 위치를 확인하는 것이다. 데이터는 너무 많고 인력은 부족하다고 느끼는 사람들이 자주 느끼는 문제는 '어디서부터 시작해야 하는가'다.

IBM 자회사 리질리언트(Resilient)의 비즈니스 개발 부사장이자 자문 위원인 그랜트 레드몬과 보스턴 연방 준비 은행의 엔터프라이즈 네트워크 보안 서비스 운영 부사장인 폴 쉬디가 청중에게 "사고 대응 계획 수립에 대해 알고 싶은 것이 무엇이냐"고 묻자 청중은 "어디서부터 시작해야 하나요?"라고 질문했다.

사고 대응 계획을 위해 CISO 또는 CPO에게는 기본적으로 갖추어야 하는 전반적인 인식 이상의 정보가 필요하다. 레드몬은 "사고 대응 기술은 어떤 기술이고, 운용 설명서를 협업적 실행으로 옮기기 위해서는 어떻게 해야 하느냐는 질문을 자주 받는다"고 말했다.

사고 대응 계획의 초기에는 대부분의 사람이 스프레드시트나 이메일을 사용했지만 기업이 수집하는 데이터의 양이 기하급수적으로 증가하면서 사고 대응 팀이 계획을 수립할 때 고려해야 할 요소도 엄청나게 많아졌다.

레드몬은 "기술을 통해 예를 들어 '이런 일이 발생하면 저것을 실행하라'와 같은 여러 가지 다양한 계획을 둘 수 있다"고 말했다. 더 중요한 부분은 사고와 이벤트의 차이를 파악해야 한다는 점과 모든 이벤트를 기록해야 한다는 점을 문서로 입증할 수 있어야 한다는 것이다.

레드몬은 한 곳에 이러한 정보를 모두 수집하는 방법이 더 쉽고 효율적이라면서 "시스템 내에서 사람들이 커뮤니케이션하기 위한 장소가 필요하다"고 말했다.

쉬디는 커뮤니케이션과 모니터링이 더욱 빠른 탐지를 가능하게 해주는 두 가지 중요한 전략이며 "탐지가 무엇보다 중요하다"고 말했다. 쉬디는 "이상 현상을 모니터링하고 탐지해야 한다"고 말했다. 모니터링과 탐지를 위해서는 인텔리전스를 수집해야 한다. 보안 팀은 인텔리전스를 수집함으로써 비즈니스에 맞는 효과적인 IR 계획을 어떻게 구축해야 할지 더 정확히 알 수 있다. 인텔리전스의 시작은 '트랜잭션을 주시'하는 것이다.

트랜잭션을 모니터링하면 어떤 것이 비즈니스 측면에서 정상적인 요소인지를 알 수 있게 된다. 이 정상 범위를 벗어나는 모든 것이 이상 현상이다. 쉬디는 "정상부터 시작하면 된다. 평균적인 트랜잭션 크기, 평균적인 트랜잭션의 길이와 빈도 등이 해당된다"고 말했다.

기반이 되는 정상 범위를 정해두면 정상이 아닌 행동을 더 신속하게 탐지할 수 있지만 이 경우 사람들은 쉽게 압박감을 느끼고 현실 안주에 주력하게 된다. 레드몬은 이러한 이유로 "항상 시뮬레이션을 실행하는 것이 중요하다"고 말했다.

모의 실행을 통해 계획의 공백도 찾아낼 수 있다. 무엇을 알고 무엇을 모르는지가 드러난다. 레드몬은 "차분함을 유지해야 한다. 절대로 성급하게 결론을 도출해서는 안 된다"고 조언했다.

모르는 무언가에 직면한다면 이는 과제를 부여하기 위한 아주 좋은 기회다. 누군가 연구를 하는 동안 다른 사람들은 모두 현재에 집중하면서 계획에 따르면 된다.

모의 실행을 최대한 활용하기 위해 시뮬레이션에 폭탄을 몇 개 투하하고, 이후 팀은 무엇을 모르는지를 확인한다. 모르는 것에 대한 이러한 인식은 해답이 필요한 질문을 끌어내게 된다. 쉬디는 다음과 같은 질문에 답할 수 있어야 한다고 말했다.

- 어떤 작업을 수행하도록 허용되었는가?
- 무엇을 할 것인가?
- 어떻게 구분할 것인가?
- 어떤 종류의 시스템을 사용하는가?
- 완전히 종료할 수 있는가?
- 격리? 차단? 특정 트랜잭션의 비활성화?
- 이러한 조치를 취하기 위한 조건은 무엇인가?


시작하기 위해 애플리케이션 하나를 선택하고 그 애플리케이션의 트랜잭션을 모니터링한다. 정상적인 패턴을 알아낸 다음, 한 번에 한 단계씩 전진한다. 쉬디는 "중요한 애플리케이션을 파악하고 운용 설명서를 제작하고 시뮬레이션을 실행한 다음 IR 계획을 수립하라"고 말했다.

이 계획에서는 과제의 부여에 대해 명확해야 한다. 레드몬은 "나는 이것을 고양이에게 먹이 주기라고 표현한다. 한 사람에게 고양이 먹이 주기를 맡겨야 한다. 그렇지 않으면 모든 사람이 고양이에게 먹이를 주고 결국 고양이는 죽게 된다"고 말했다.

커뮤니케이션 준비를 하고 연락 창구를 선택하고 법률 부서 또는 경찰에 연락해야 할 시점을 파악하고 위협 인텔리전스를 공유해야 한다. 계획을 잘 수립해야 부실한 실행이 방지되기 때문이다.

이 일은 끝이 없다. 계속 실천하면서 정책에 생명을 부여해야 한다. 시간이 지나면 정책은 필연적으로 바뀌어야 하기 때문이다. editor@itworld.co.kr

X