칼럼 | 빅 데이터 보안, 핵심 개념은 '맥락'

블로그를 통해 꾸준히 소식을 전해왔던 필자의 여정은 라틴 아메리카를 거쳐 아시아까지 이어져 이제 끝났다. 여행의 마지막 행선지는 호주와 뉴질랜드였다. 호주와 뉴질랜드에서 필자는 주요 인프라스트럭처를 구성하려는 정부 조직 및 기관들, 그리고 일반 기업들과 여러 업무를 진행했다.



이 지역의 기업 및 기관들이 관심을 두는 최우선 초점은 빅 데이터였다. 보다 구체적으로 설명하자면, 이들은 성공적인 빅 데이터 전략의 수립을 위해 어떤 요소들이 필요할 지에 많은 관심을 가지고 있었다.

수 년 전만 하더라도 이 남반구의 국가들은 사이버 보안과 물리적 보안에 동일한 접근법을 취하는 모습을 보였다. 물론 일부 깨어있는 이들도 있었지만, 이들 지역의 많은 기업들은 다른 국가들과의 물리적 단절성 때문인지, 세계를 휩쓰는 악의적인 활동들이 자신들과는 거리가 먼 일이라 여기고 있었다.

하지만 이제 우리는 알고 있다. 국가 기관, 사이버 범죄 조직, 혹은 사이버 활동가들이 개발한 각종 위협들은 초음속기나 대륙 간 탄도 미사일보다 더 넓은 영향력을 행사할 수 있다는 것을 말이다. 이러한 위협에 대응하기 위해 기관 및 기업들은 기계를 통한 작업 진행에 더해 인간의 직접 관리(manage by exception)가 더해진, 최적화된 빅 데이터 보안 방법론에 눈길을 주고 있다.

빅 데이터
비단 보안 분야뿐 아니라, 각종 소매 비즈니스에서 보험, 스포츠, 탐험 및 연구 분야에서 까지, 빅 데이터는 그 가치를 인정 받아가고 있다.

빅 데이터의 가치는 단순히 그것의 크기에 있지 않다. 빅 데이터의 진정한 가치는, 광활한 데이터의 우주 속에서 유용한 요소들을 적절히 엮어내는, 데이터 애널리틱스에서 나온다.

2011년 영화 머니볼(Moneyball)을 통해 그려진 스포츠 산업에서의 빅 데이터 활용 방안을 떠올려보자. 이제 선수 스카우트 등 과거에는 인간의 시각과 직관에 의해 이뤄져 왔던 많은 활동들은 수학적, 과학적 분석의 대상으로 편입됐다.

최근 온라인 쇼핑을 할때, 자신의 기호에 꼭 맞는 상품들이 모여있는 웹 페이지 구성에 감탄하지 않았는가? 모니터 상에 펼쳐진 그 정보는 당신의 연령이나 성별, 과거 구매 이력, 거주지 정보 등에 기초한 커스텀 페이지일 가능성이 높다. 모바일 기기, 사물 인터넷, 모바일 앱과 오프라인 매장들이 연계된 지리 정보 기반 프로모션 역시 새로운 변화의 대표적인 사례다.

또 과거에는 자동차 보험에 가입하려면 차량의 모델명 및 제조년, 그리고 연령 및 운전 경력 등의 정보만 기입하면 충분했다. 하지만 이제는, 결혼 여부, 자녀 수, 최종 학력, 주택 소유 여부 등 운전과는 전혀 상관 없는 정보까지 제공할 것을 요구 받는다. 이 모든 정보들이 사고 위험도를 판단하는, 통계적 정보로써 보험료 책정에 활용 가능해졌기 때문이다.

빅 데이터 보안
‘빅 데이터'라는 용어가 보안 업계에서 일반적으로 사용되기 전엔, 보안 정보 및 사건 관리(SIEM, Security Information and Event Management) 솔루션과 로그 관리 솔루션이 시장의 주된 트렌드였다. 이러한 경향 아래에서 보안 업체들은 대규모의 로그 데이터를 수집, 저장해왔다.

이는 보안 벤더들이 막대한 수익을 올리는 데에는 도움을 줬지만, 정작 효율성에는 한계가 있었다. 위협 정보 제공이나 자동화, 상관성 분석, 예외 사항 감지, 패턴 포착, 우선 순위화 등의 역량을 갖추지는 못했기 때문이다.

그리고 이제 단순히 데이터를 수집하고 저장하는 것은 충분하지 못하다는데 시장은 인식을 같이하기 시작했다. 그리고 이제는, 일부 군사 수준의 데이터센터들이 요타바이트(Yottabyte) 규모의 스토리지를 관리할 수 있도록 구축되고 IPv6 내 IP 주소가 언데실리온(Undecillion, 10의 13제곱) 단위로 까지 늘어나는 등 예전에는 다룰 수 없었던 수준에서 빅 데이터가 다뤄지고 있다.

이처럼 막대한 규모와 속도, 다양성을 띄는 데이터의 홍수 속에서, 보안을 예외 관리의 문제로 다룰 수 있게 하는 가장 중요한 변수는, 바로 맥락(context)이다.

빅 데이터 보안의 맥락
만나본 시장 관계자들은 로그에서 경보, 패킷 캡처(packet capture), 메타데이터, 흐름, 위협 피드, 맬웨어 폭발 출력(malware detonation output) 등 수집 및 저장 가능한 데이터가 무엇인지를 이해하는 수준을 넘어서, 한 단계 높은 차원에서 데이터를 생각하고 싶다는 의견을 피력하곤 했다. 그들은 데이터에서 가치를 추출해내는 과정을 자동화하고 싶어했고, 다음과 같은 기계들을 원했다:

- 전통적 IT에서 클라우드, 모바일 등 데이터 출처 전반에 대한 평가
- 근본 원인 해석
- 공격 배열 시각화
- 기존 기록에 기반한 사고의 위협 수준 평가
- 운영 체제, 애플리케이션, 데이터, 규제 집행자 등의 타깃 시스템 지식과의 교류
- 출력물의 우선 순위 설정
- 사고(incident) 워크플로우 통합
- 단일 창 방식(single pane of glass)으로부터의 인적 애널리틱스 가능화
- 분석된 영향력과 연계된 경감책 제공

한 마디로 호주 지역의 보안 산업 관계자들은 맥락 전달 과정의 자동화를 통해 보안 애널리스트들에게 파편화된 조각이 아닌, 우선순위가 매겨진 하나의 ‘이야기'로써 결과물이 제시돼 보다 효율적인 분석이 가능해지길 원하고 있었다.

현실
(최소한 오늘날에는) 호주와 뉴질랜드의, 아니 사실은 세계의 모든 기업들은 이러한 수준의 맥락화를 어떠한 유토피아로써 바라보는 측면도 있는 듯하다.

맥락을 구성하는 퍼즐 조각들을 공급하는 여러 솔루션은 어떠한 수준에 있어선 서로 공통점을 발견할 수 없는 것들이며, 일부분에 있어서는 이 (상이한) 솔루션들 간의 통합이 이뤄지고 있기도 하다.

확장성과 효율성을 갖춘 모든 각각의 테크놀로지를 통합해 하나의 포괄적 솔루션을 개발할 수 있으리란 믿음은, 그리고 보안 애널리스트들이 진정한 예외 기반 관리를 수행할 수 있으리란 믿음은 분명 노력할 가치가 있는 과정일 것이다.

기업들이 빅 데이터 보안을 포용해가는 과정에서, 혹은 이미 관련 프로그램을 시작해 조정 단계까지 거치고 있는 상황 속에서, 맥락은 핵심적인 개념으로써 역할해야 한다. 맥락 없는 단순한 수학은 문제의 복잡성을 감당할 수 없는 수준으로 증대시킬 것이며 빅 데이터 보안을 거대한 쓰레기로 만들 것임을 기억하자.

* Brain Contos는 블루코드 APT 방어 그룹의 부사장이자 CISO다. ciokr@idg.co.kr