Offcanvas

CSO / How To / 보안

블루팀 운영을 성공으로 이끄는 6가지 베스트 프랙티스

2022.08.25 Chris Hughes  |  CSO
사이버보안팀에 관한 오늘날의 대화에서는 무지개가 연상된다. 레드, 블루팀에 이어 이제는 퍼플팀까지 등장한다. 각 팀마다 관점과 해야 할 일이 따로 있지만, 가장 중요한 임무를 맡는 팀은 사이버보안 위협과 취약점에서 조직을 보호하는 블루팀일 것이다.
 
ⓒ Getty Images Bank

블루팀은 조직의 비즈니스/목표 요구사항과 유의미한 위협, 디지털 발자국 및 관련 취약점을 인식해야 한다. 이 인식을 시작으로 보안 컨트롤과 완화 대책을 구현해서 가장 시급한 위협과 취약점을 해결함으로써 조직의 보안 태세를 강화한다.

어콰이어(Aquia)의 선임 보안 엔지니어이자 퍼플팀 책임자인 매릴 버논은 블루팀의 역할에 대해 다음과 같이 말했다.
 

“블루팀은 SOC 분석가 및 IT 운영자 외에도 비즈니스 정보 보안 책임자(Business Information Security Officer, BISO)부터 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)팀, 엔터프라이즈 위험 및 비즈니스 연속성 계획(Business Continuity Plan, BCP) 전문가에 이르기까지 매우 다양한 인력으로 구성된다. 결국은 레드팀도 블루팀의 편에서 일을 한다.

블루팀의 목적은 보안을 선제적으로 검증하고 개선하는 데 있다. 퍼플팀 업무에서 가장 중요하고 핵심적인 부분은 여러 블루팀의 적절한 구성원을 파악하고 편입시켜서 이들에게 적대적인 목표와 사고방식, 기술을 제대로 교육하는 것이다. 핵심은 블루팀이 다양한 수준에서 1차, 2차, 3차 방어선을 구축한다는 점과 이런 방어선의 역량을 도박에 맡기지 않는 것이다. 보안 사고의 한복판에서 프로세스와 컨트롤의 공백을 찾아 수정할 수는 없다. 적과 정정당당하게 싸우는 것이 아니라 우위를 점해야 하는데, 블루팀의 적절한 성숙함이 우리에게 그런 우위를 제공한다.”


블루팀이 핵심 업무를 수행할 때 따를 수 있는 베스트 프랙티스 6가지를 정리했다. 


1. 사이버보안 프레임워크 사용

사이버보안 프레임워크라고 하면 부정적으로 생각하는 사람도 있지만, 프레임워크가 없으면 일관성 있는 사이버보안 프로그램을 계획하고 구현하기 어렵다. 여러 사이버보안 프레임워크 중에서 NIST의 CSF(Cybersecurity Framework)RMF(Risk Management Framework)가 가장 대표적이다.

예를 들어 NIST CSF는 조직적인 사이버보안 위협을 완화하기 위한 가이드라인을 제공하는데, 이 가이드라인은 식별, 보호, 감지, 대응, 복구에 관한 기초적인 활동 전반에 해당한다. 조직은 위험과 위협이 나타나는 과정에서 이런 단계를 많이 경험하게 된다. CSF의 특징은 프로파일을 지원하는 점이다. 조직에서 선택할 수 있는 여러 예시 프로파일이 제공되며, 각 업계 및 조직에 맞춰 CSF를 최적화할 수 있다. 


2. 보호 자산에 대한 가시성과 인식

효과적인 사이버보안 프로그램을 위해서는 보호해야 할 자산에 대한 적절한 가시성과 인식이 필수적이다. 하드웨어소프트웨어 자산 인벤토리 같은 컨트롤이 오래전부터 CIS(The Center for Internet Security)의 보안 컨트롤(Security Controls)의 토대가 된 것도 이런 이유에서다. 

사이버보안에 대한 근본적인 사실은 볼 수 없거나 존재를 모르는 것을 보호할 수는 없다는 것이다. 오늘날의 클라우드 중심 환경에서 전통적인 자산은 소프트웨어로 정의되어 클라우드 서비스 제공업체(CSP)의 환경에 존재하는 경우가 늘고 있다. 가상 데스크톱 사용이 계속해서 증가하고 있으므로 엔드포인트도 마찬가지다. 가시성은 물리적 자산과 가상 자산을 불문하고 조직의 모든 자산에 적용된다.


3. 잡음 줄이기

블루팀 전문가들은 모니터링하고 보호해야 하는 환경을 위한 다양한 툴과 플랫폼, 소스를 다룬다. 여기서 발생하는 수많은 경고와 알림은 이들의 주의력과 변별력, 심지어 사기에도 부정적인 영향을 미친다. 블루팀의 가치를 극대화하기 위해 해야 하는 한 가지는 진짜 위협과 위험에 대한 주의를 분산하는 오탐지와 중복 경보, 가치를 더하지 않는 알림 수를 최소화하는 것이다. 한 가지 방법은 툴 포트폴리오를 정비해서 중복을 없애고 충실도가 높은 데이터를 받아 대응하도록 보장하는 것이다.


4. 팀이 숙달하고 효과적으로 사용할 수 있는 툴 선택

사이버보안 리더는 위협과 위험에 맞서 싸우기 위해 많은 툴을 구매하고 구현해야 할 필요성을 느낄 수 있다. 하지만 보안 툴의 급격한 증가에도 불구하고 사용자가 툴에서 원하는 효과를 얻지 못하고 있다는 우려스러운 연구 결과가 많다. 예를 들어 포네몬(Ponemon)의 보고서에 따르면, 조직에서 사용하는 보안 툴의 수는 평균 40가지 이상인데, 정작 팀원들은 이런 툴이 얼마나 효과적으로 작동하는지 잘 알지 못한다. 마켓 큐브(Market Cube)는 연구를 통해 팀이 툴을 효과적으로 사용할 수 있는 속도보다 툴을 추가하는 속도가 더 빠르다고 지적했다.

역설적이게도 툴 유지보수의 부담은 위협 대응, 궁극적으로 보안 태세를 약화시킨다. 새로운 툴이 도입될 때마다 팀이 겪는 전체적인 인지 부하는 늘어난다. 툴을 배우고 프로비저닝하고 구성한 다음 모니터링하면서 툴의 텔레메트리를 활용하기까지는 시간이 걸린다.

사이버보안 업계의 번아웃과 인지 과부하는 심각한 문제다. 팀 에너지와 사기를 갉아 먹을 뿐 아니라 툴이 너무 많으면 툴을 최적화하고 조직 위험을 낮출 수 있는 시간이 그만큼 줄어들기 때문이다. 결과적으로 툴 난립(tool sprawl)은 보안 위협과 취약점을 완화하는 것이 아니라 되려 악화시킬 수 있다. 또한 툴 자체도 조직의 공격 표면의 일부이며, 공격자에게 악용되는 승격된 권한을 가진 경우가 많다.


5. 공격자 입장에서 생각하기

사이버보안 업계에는 ‘공격자처럼 생각하라’는 말이 있다. 악의적 활동을 차단하려면 적의 사고를 이해해야 한다는 면에서 타당한 말이다. 따라서 최선의 방법은 공격자의 입장이 되어 보는 것이다.

이는 곧 블루팀 전문가가 공격 관점에서 움직이는 데 시간을 투자할 가치가 있다는 의미다. 블루팀 전문가가 악의적 행위자의 TTP(Tactics, Techniques, Procedure)를 이해하면 방어 활동에 필요한 정보를 얻을 수 있다. 공격적 보안 경험을 통해 공격자의 심리를 더 잘 파악하게 된다는 주장도 있다. 이를 위해 공식적인 역할 변경이나 실제 표적을 상대로 한 공격까지는 필요 없지만, 실험실 환경이나 깃발 빼앗기(Capture The Flag, CTF) 훈련을 활용할 수 있다.


6. 실전은 훈련처럼

제2차 세계대전에서 활약한 미국의 조지 패튼 장군은 “실전은 훈련처럼”이라고 말했다. 싸워야 할 때가 되면 훈련받은 대로 움직여야 한다는 의미다. 조직과 개인은 위급 상황에서 기적처럼 싸우는 것이 아니라 훈련받은 수준에 따르게 된다. 모의 훈련뿐 아니라 실제 레드팀 훈련을 정기적이고 철저하게 시행하는 것이 왜 중요한지 설명한다. 이런 성숙한 접근 방식을 통해 조직은 보안 사고를 감지하고 악의적 행위자로부터 조직을 보호하고 궁극적으로 공격에서 회복하는 역량을 추측이 아니라 실제로 입증할 수 있다. 팀과 조직은 실전에 대비한 훈련을 통해 실제 위협에 더 잘 대비할 수 있다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.