Offcanvas

보안 / 비즈니스|경제 / 애플리케이션

잉글랜드 은행이 '선제적 보안' 문화를 만든 비결

2019.01.08 Dan Swinhoe  |  CSO
해커의 최고 표적은 두말할 나위 없이 금융기관이다. 영국 금융 감독원(UK Financial Conduct Authority)에 따르면 금융기관이 신고한 공격 및 사건 수는 지난 12개월 동안 2배 증가했다. 경제적 피해도 심각하다. 액센추어 자료를 보면, 금융기관의 공격 관련 평균 대응 비용은 2017년 1,800만 달러를 넘어섰다.



이런 어려움은 영국에서 가장 중요한 금융기관인 영국의 중앙은행 '잉글랜드 은행(Bank of England, BoE)'도 마찬가지다. 1694년에 설립된 이 은행은 세계에서 8번째로 오래된 은행이고, 영국의 모든 은행을 감독하고 화폐를 발행하고 금융 정책을 수립하고 금융 안정을 유지하는 역할을 한다. 이 은행이 취급하는 거래 액수는 하루 약 8,830억 달러(7,000억 파운드)에 이른다. 

영국의 핵심 국가 인프라로써 이 은행의 업무는 중단이 없어야 하고 무결해야 한다. 그런데 사이버 범죄자, 국가 차원의 해커, 심지어 핵티비스트(hacktivists)의 정기적 공격은 이를 쉽지 않게 만든다. 실제로 2016년 어나니머스의 이카루스 작전(#OpIcarus campaign)은 잉글랜드 은행을 포함한 주요 중앙은행을 겨냥한 것이었다. 잉글랜드 은행은 이러한 해커보다 한발 앞서가기 위해 자동화에 집중 투자해왔다. 이를 통해 한층 선제적인 방어 태세를 유지해왔다. 

자동화를 통해 취약점 패치
잉글랜드 은행은 2013년 보안 업무를 한데 모으고 보안 관련 전문성을 일원화하기 위해 사이버 사업부를 만들었다. 최전방 보안 팀인 이 부서는 현재 약 70명으로 구성돼 있다.

중앙화 프로젝트 이후 이 은행은 기존 보안 기술 절반을 폐기하고 신기술로 대체했다. 그 중 핵심이 자동화와 선제성이었다. 잉글랜드 은행의 보안 및 인프라 총괄 닐 세미킨은 “이는 전적으로 인력의 지적 자본에 관한 것이다. 직원이 매일 잡무나 하는 것을 원치 않는다. 경보에 대응하는 누군가가 있는 모니터링 보안 센터 같은 것은 정말 낡은 방식이다. 대신 우리가 주목한 것은 저차원적 업무를 자동화해 직원은 더 고차원적 해킹 대응이나 더 부가가치가 높은 작업을 하는 것이다. 이런 분야에서 지성과 전문성을 발휘하며 해커를 제압하는 것이다"라고 덧붙였다.

구체적으로 이 은행은 스플렁크(Splunk)와 협력해 애널리틱스와 머신러닝을 도입하는 SOC 2.0 프로젝트에 진행했다. 지난해에는 퀄리스(Qulays)와 함께 취약점 관리 2.0 프로그램을 통해 잠재적 보안 취약점에 대한 가시성을 높였다. 

본래 이 은행의 보안 팀은 6,500곳의 엔드포인트와 400개가 넘는 IT 시스템을 대상으로 매달 약 20만 개의 자산에 패칭을 실시하고 있었다. 2017년 1만 7,000개의 취약점을 발견했고 중대 문제의 경우 0~5일, 정규 패치는 5~90일 주기로 처리했다. 작업량이 상당한 데다, 가시성과 자동화가 잘 안 돼 있어 업무를 제대로 처리하지 못했다.

기술 취약점 관리 상임 책임자인 데이비드 퍼거슨은 “24개월 전에는 문제가 있었다. 제때 패치하지 못하는 것이 다반사였다. 시스템의 취약점도 계속 쌓였다”라고 말했다. 패치가 늦어지는 와중에 해커가 잠재적 취약점을 악용하는 속도는 더 빨라졌다. 그는 “당시 우리는 정밀 검사를 지속적으로 하지 못했다. 정밀 검사 대부분이 시간 외 업무에서 이루어졌고, 전체 시스템에 대한 정확한 시야를 확보하는 데 약 30일이 걸렸다. 반면 취약점을 악용하는 속도는 과거보다 훨씬 빨라졌다. 48시간 이내다”라고 덧붙였다.

그러나 지속적 모니터링과 패치 자동화를 통해 보안 팀의 신속 대응 능력은 크게 강화됐다. 세미킨에 따르면, 현재는 패치가 완벽하게 이루어졌는지 수 분 이내에 진단할 수 있고, 현업에 현재 상황을 설명하는 메시지를 발송할 수 있다. 그는 “워너크라이 악성코드가 출현했을 때 우리는 약 1시간 이내에 현업을 안심시킬 수 있었다. 90분 이내에 완벽한 패치가 이루어졌다. 현업 담당자가 우리가 자신들을 보호하고 있음을 알 수 있도록 했다"라고 말했다.

역량을 강화하는 여정은 아직도 진행중이다. 최종 목표는 실시간으로 대응하는 텔레메트리(Telemetry)를 확립해 잠재 위험이 아닌 실제 위험이 어디에 있는지 파악하고 알리는 것이다. 세미킨은 “취약점을 파악해 패치하는 사이에 공백이 있기 마련이지만, 중요한 것은 실제 위협이 존재하는지 아는 것이다. 익스플로잇은 실제 기업 시스템에 적용돼 있어야 비로소 익스플로잇인 것이다. 무엇이 안전한지 알고 있다면 허점에 집중할 수 있고, 이를 신속한 적시 대응으로 유효하게 치유할 수 있다”고 말했다. 

또한, 자동화 및 지속 모니터링에 집중하면서 은행 내에 선제적 대응 문화가 자리를 잡게 됐다. 퍼거슨은 “그동안은 엔지니어가 보고서를 보내면 그제야 무언가 작업을 시작하는 것이 일반적이었다. 선제적 대응이라는 것이 사실상 없었다. 그러나 지난해부터 문화가 바뀌었다. 엔지니어용 전용 대시보드를 만들어 어떤 자산이 영향을 받는지 파악해 책임지고 대응하도록 했다”라고 말했다. 
 
자동화로 더 명확해진 보안
심각한 데이터 침해 사고와 치명적인 보안취약점 관련 뉴스가 연일 이어지고 있다. 이는 보안 문제에 대한 사람들의 인식을 높이는 효과가 있겠지만, 보안 팀에게는 새로운 문제가 된다. 즉 그 '현란한' 용어는 취약점의 본질을 흐릴 수 있고, 현업 부서는 뉴스에서 뭔가가 나오면 덮어놓고 공포에 빠져 안전한지 묻기에 바쁜 것이다.

퍼거슨은 “취약점 관련 소식만 전해지면 현업은 그것이 무엇이든 무조건 빨리 대답을 듣고 싶어 했다. 무언가를 점심시간을 넘겨 처리하면 이메일이 70개 들어오곤 했는데, 이 중 60개 이상은 뉴스를 보고 자신의 업무 분야를 우려하는 직원에게서 온 것이었다”라고 말했다. 

실제로 방글라데시 중앙은행에 대한 스위프트(SWIFT) 공격이 발생하자 보안 팀에 전화가 폭주했다. 정확히 무슨 일이 일어났는지, 잉글랜드 은행에 어떤 영향이 있는지를 알고 싶어 하는 현업의 문의였다. 세미킨은 “이제는 사람들이 전화하기 전에 메시지를 발송할 수 있게 됐다. 완벽히 패치됐다는 사실을 전달하기 위해 구축했던 작은 기능이 가져온 큰 변화였다”라고 말했다. 

이제 보안 팀은 새로운 건수가 있으면 확실하고 신속히 대응할 뿐만 아니라, 모든 작업을 현업에 더 쉽게 전달할 수 있다. 그중 하나가 침투 테스트다. 퍼거슨은 “보통 침입 테스트에 대해 이야기하면 매우 기술적으로 접근한다. 그러나 이렇게 발견하는 취약점은 대개 현업에서 그렇게 신경 쓰지 않아도 되는 것들이다. 그래서 우리는 취약점 대신 원인과 결과를 이야기하려고 의식적으로 노력한다”라고 말했다. 

레드 팀(침투 팀) 테스트는 패치되지 않은 시스템을 단순히 악용하고 우회하는 것이 아니다. 시스템을 악용하려면 더 정교한 공격 체계를 만들어야 한다. 전문 용어에서 허우적거리는 것을 피하기 위해 레드 팀은 이른바 '현업 눈높이에 맞춘' 침투 테스트를 시행한다. 특정 시스템이 어떻게 악용될 수 있는지는 접어두고, 일련의 잠재적 사건이 통화 거래의 무결성을 훼손하는 것과 같은 이른바 ‘악몽 시나리오’로 현실화할 수 있다고 설명하는 식이다.

퍼서슨은 “우리는 현업과 이야기할 때 단순히 ‘아파치 스트러츠 2.0 CVE에 감염됐다’라고 말하지 않는다. ‘이러한 시나리오가 발생할 위험이 있다’라고 말한다. 아파치 스트러츠는 악몽 시나리오의 원흉이 될 수 있다. 그러나 평범한 언어로 이야기하고 신뢰를 쌓아, 결과적으로 우리가 뭔가를 해야 한다고 말하면 직원 모두가 그 심각성을 이해한다”라고 말했다. 

세미킨이 생각하는 최종 목표는 협업과 IT가 진정으로 우호적인 관계를 형성하고 보안이 비즈니스에 있어 소중한 자산임을 이해시키는 것이다. 그는 “보안 팀은 보안이 우리의 사업에 매우 중요하다는 사실을 현업이 이해하기를 바란다. 그냥 구석에 앉아 있는 팀이 아니고, ‘중대한 보안 사건’이 발생했을 때만 찾는 그런 팀도 아니라는 것이다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.