Offcanvas

CSO / 리더십|조직관리 / 보안

인터뷰ㅣ“패치 속도보다 중단 제로에 주목” ARM CISO의 취약점 관리 전략

2022.01.24 Mary K. Pratt  |  CSO
지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다. 
 
ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다. 

그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.  
 
ⓒArm

패치 적용에 집중
피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다. 

이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다. 

이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품을 테스트하고 검증하는 방식에서 굉장히 중요하다. 따라서 다운타임을 허용할 수 없었다”라고 설명했다. 

그 결과 엔지니어링 부서는 패치 작업이 엔지니어링 컴퓨팅 및 인프라 환경을 오프라인 상태로 만들기 때문에 패치 적용을 계속 연기하려고 했다. ARM은 패치 일정보다 치열한 제품 개발 니즈를 우선시하는 비즈니스 케이스를 가지고 있었다. 피츠제럴드는 “시스템이 중단돼서는 안 됐다. 하지만 최신 상태로 유지해야 할 시스템도 엄청났다. 정말 큰 도전이었다”라고 말했다. 

너무 많은 위험을 감수하다
그러나 이 비즈니스 케이스에는 대가가 따랐다. 고가용성 니즈는 위험과 취약점을 빠르고 효과적으로 관리하는 역량을 무력화시키는 데 일조했다. 피츠제럴드가 ARM에 합류했을 때 직면했던 문제였다. 기술 부채는 쌓4여갔고, 조직 탄력성도 떨어졌다. 

그는 ARM의 워너크라이 위협 대응에서 이러한 문제가 명확히 드러났다고 밝혔다. 또한 워너크라이 위협에 대응하기 위한 패치 적용 시스템으로 인해 다른 우선순위에서 중요한 엔지니어링 및 보안 리소스가 계획되지 않은 방향으로 전환되는 등 상응하는 프로세스의 비효율성도 표면화됐다고 덧붙였다. “적절한 프로세스가 없었기 때문에 원하는 것보다 더 많은 위험을 감수하고 있었고, 대량의 리소스를 허비하고 있었다”라고 피츠제럴드는 전했다. 

피츠제럴드는 ARM의 위협 및 취약점 관리 역량에 영향을 미치는 다른 문제도 파악했다. 이를테면 보안팀의 인프라 가시성이 50% 정도에 불과했고, 문제를 해결하기 위해 협력해야 하는 그룹 간에 불신과 책임감 부재가 있었다. 

아울러 ARM은 다른 모든 기업과 마찬가지로 더 많은 공격 시도를 겪고 있었다. 하지만 그는 이러한 모든 문제를 처리할 방법에 관한 비전이 있었다고 말했다. “목표는 환경 내에 있는 모든 시스템을 확실하게 파악하고, 이를 패치하는 동시에 계속 사용할 수 있도록 하는 것이었다. ARM의 환경에서 상당히 복잡한 일이었다”라고 설명했다. 

지원 확보 
피츠제럴드는 2018년 초부터 이 비전을 향해 나아가기 시작했다. 그는 우선 인적 요소를 고려했다고 말했다. 예를 들면 이니셔티브에 대한 동의를 얻고, 팀들이 협력하도록 장려하며, 직원들에게 필요한 도구를 제공하는 등이다. 

그는 “위협 및 취약점 운영 전문성을 달성하기 위한 계획을 이해시켜야 했다. 동료 경영진에게 해당 이니셔티브의 비즈니스적 필요성과 이를 달성하는 데 따르는 과제를 설명했다. 또 비즈니스 니즈(고가용성)에 영향을 주지 않으면서 운영 효율성을 높일 수 있다는 점을 설득해야 했다”라고 전했다. 

이어서 피츠제럴드는 팀들이 문제와 해결책을 함께 소유하도록 하기 위해 ‘내가 아닌 우리(We, not I)’라는 기업 핵심 가치를 내세웠다고 언급했다. 그는 “이러한 관점은 팀들이 새로운 프로세스를 채택하도록 설득하는 데 도움이 됐다”라면서, ARM의 핵심 미션과 제품 개발 작업을 지원하는 엔지니어링 환경부터 손보기 시작했다고 덧붙였다. 
 
가동 중 패치 
보안팀은 엔지니어링 그룹과 협력해 문제를 평가하고, 비즈니스 사례를 구축했다. 이를 통해 문제 해결에 대한 공동의 관심, 성공 달성에 있어서의 공동의 소유권을 확보하게 됐다. 그다음 환경을 중단하지 않고도 보안 패치를 할 수 있도록 프로세스를 재구성했다. 이는 해당 이니셔티브를 성공으로 이끈 핵심 요소였다. 

피츠제럴드는 “과거엔 주말이든 아니든 일정 시간 동안 데이터센터 자산을 중단하고 최대한 많은 패치를 적용한 후 재가동시켰다. 상당한 시간 동안 용량이 현저히 줄었고, 현업 부문은 ‘딜리버리 때문에 시스템을 중단할 수 없다’라고 말하곤 했다”라고 언급했다. 

“해결책은 패치를 더 빠르게 적용하는 것이 아니었다. 환경을 중단시키지 않으면서 해당 작업을 수행할 방법을 모색해야 했다. 5%만 사용하고 가동 중에 패치를 적용할 수 있도록 재설계를 고려해야 했다. 재설계된 구조는 반복적인 패치를 허용한다”라면서, “언제나 뒤처지지 않을 방법을 발견했다. 여기서 진정한 혁신이 시작됐다”라고 그는 설명했다. 

승리를 거두다 
또한 피츠제럴드는 인력을 추가했다. 보안팀은 3명에서 35명으로, 위협 및 취약점 관리 그룹은 1명에서 5명으로 늘었다. 아울러 그는 IT 엔지니어링 그룹, 제품 엔지니어링 그룹, 엔터프라이즈 보안을 통합하여 작업을 진행했다. 이 밖에 소프트웨어 개발사 케나(Kenna)의 새로운 취약점 관리 플랫폼에 투자해 보안팀이 전사적 가시성을 확보할 수 있도록 했고, 이를 통해 보안 기능이 필요한 작업의 우선순위를 정할 수 있게 됐다고 전했다. 

이어서 피츠제럴드는 새로운 플랫폼이 유효성을 입증하고 있다고 밝혔다. 900점을 넘던 취약점 점수가 (ARM이 허용할 수 있는 위험 범위인) 300점 미만으로 떨어졌기 때문이다. 

이런 초기 성과는 보안팀이 우선순위 업무 목록을 순서대로 처리하는 과정에서 다른 사람들의 참여를 이끌었다. 피츠제럴드는 “그 후 저절로 굴러가기 시작했다. 보안팀이 사람들에게 가서 ‘문제가 있습니다’라고 말하는 게 아니라 사람들이 보안팀을 찾아왔다”라고 말했다. 

그에 따르면 이러한 접근 방식을 통해 패치 적용에 필요한 엔지니어링 다운타임이 100%에서 0으로 감소하고, 중요 취약점을 수정하는 데 걸리는 시간이 14일에서 72시간으로 단축됐으며, 인프라 자산 가시성이 50%에서 100%로 급증했다. 동시에 보안팀은 2만 6,000개 이상의 자산에서 74만 8,097개의 취약점을 수정하는 등 엄청난 양의 취약점을 해결했다. 또 ARM의 회복 탄력성이 향상돼 예기치 않은 다운타임이 거의 절반으로 줄었다. 

게다가 취약점 관리 이니셔티브의 성공은 ARM의 다른 보안 이니셔티브에 좋은 모범이 됐다고 피츠제럴드는 덧붙였다. “이는 조직과 협력하는 방식을 정립했고, 보안팀을 비즈니스 인에이블먼트 기능으로 만들었으며, 수많은 이점을 가져왔다”라며, “다시 말해, 보안이 훌륭한 파트너로 자리매김했다”라고 그는 말했다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.