세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
가장 효과적인 대안, 보안 오케스트레이션
  |  입력 : 2017-06-18 23:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 툴 종합해 능률 높이는 보안 오케스트레이션
현실적 한계 돌파하고 효과적으로 대응할 여력 키워


[보안뉴스 오다인 기자] 대기업은 흔히 보안 제품은 왕창 사들이면서도 이를 실질적으로 다룰 보안 분석가는 제대로 두지 않는 경우가 많다. 실제 보안 침해나 턱 밑까지 닥친 공격을 사전에 찾아내는 일은 백사장에서 바늘 찾기와 비슷한 일이고, 사람 손을 직접 거쳐야 하는 일이라 보안 전문가가 꼭 필요한데도 말이다.

운영 인텔리전스 플랫폼 공급업체 스플렁크(Splunk)의 최신 연구에 따르면, 사건 발생 후 보안 분석가가 이를 해결하기까지 보통 2시간에서 4시간 정도가 걸린다고 한다. 그러나 이 시간 동안 공격자는 이미 깊숙이 침투한 뒤라서 피해를 멈추기엔 역부족일 가능성이 높다.

엎친 데 덮친 격으로 보안 전담부서의 인력도 부족하다. (ISC)2는 새로 발표한 통계에서, 2022년까지 전 세계 사이버 보안 인력이 약 180만 명 정도 부족할 것으로 내다봤다. 2015년에 비해 20%나 뛴 수치다.

[이미지=iclickart]


그렇다면 보안 오케스트레이션에 주목하자. 보안 오케스트레이션은 여러 가지 보안 툴과 체계를 종합해 능률을 높임으로써 보안 조치를 더 탁월하게 실행시키는 새 기술이다. 오케스트레이션을 보안 자동화로 혼동하거나 이와 똑같이 취급해서는 안 된다. IT 연구업체 ESG(Enterprise Strategy Group)에 따르면, 보안 자동화는 단순히 하나의 업무나 절차에 사용되는 경우가 대부분이기 때문이다.

보안 오케스트레이션이 상대적으로 새로운 기술이자 시장이기 때문에, 아직까지 이에 대한 정보가 많이 없다. 그러나 ESG의 선임 수석 분석가 존 올트식(Jon Oltsik)은 이 시장 규모를 대략 1천억 원에서 1천5백억 원 선에서 추정하고 있다. ESG가 사이버 오케스트레이션 전문업체 DFLabs와 함께 조사한 바에 따르면, 약 90%의 조직들이 자동화 및 오케스트레이션 기술을 향후 적용하거나 이미 적용한 것으로 나타났다. 응답자의 3분의 1 이상은 자동화보다 오케스트레이션을 더 우선적으로 고려하는 것으로도 밝혀졌다.

보안 오케스트레이션 스타트업인 팬텀(Phantom)의 설립자이자 CEO인 올리버 프리드리히(Oliver Friedrichs)는 산업 베테랑으로서, 보안 오케스트레이션을 “연결된 조직으로 구성된 하나의 층(a layer of connective tissue)”으로 생각해보라고 주문한다.

“당신 회사가 팔로알토 네트워크(Palo Alto Networks)의 방화벽, 카본 블랙(Carbon Black)의 엔드포인트 탐지 및 대응(EDR: Endpoint Detection and Response), 파사이트(FarSight)의 위협 첩보를 사용하고 있다면, 오케스트레이션은 이 모든 것이 함께 작동할 수 있도록 만들어줍니다. 만약 팔로알토가 위협을 발견했다면, 파사이트에 문의를 넣을 수 있을뿐더러 카본블랙 상의 파일을 막아둘 수 있는 것이죠.” 프리드리히는 “이런 일들이 현재까진 수동으로 이뤄지고 있다”고 덧붙였다.

‘수동으로 이뤄지고 있다’는 뜻은 보안 분석가들이 이 브랜드 솔루션에서 저 브랜드 솔루션으로 옮겨갈 때의 어려움을 나타내는 표현이다. 파사이트의 위협 첩보를 손으로 적어, 카본 블랙 제품에 또 다시 수동으로 명령을 내려야 한다는 것이다. 이는 즉, 보안 관제 센터 근무자가 사건을 발견하기까지 몇 시간이 걸릴 수 있다는 뜻이기도 한데, 데이터 유출을 막기에는 이미 늦어버린다.

지금까지는 보안 오케스트레이션이라는 신기술을 제대로 활용하지 못하고 있는 것이 사실이다. 피싱 공격을 조사한다거나 이미 알려진 악성 C&C IP 주소를 막는 데 활용되는 것이 거의 전부라고 해도 될 정도다. 하지만 이것도 점점 바뀔 것이다. 지난 몇 년 간 오케스트레이션 영역에는 다수의 스타트업이 생기고 있으며 인수합병도 활발해지고 있기 때문이다.

팬텀, 데미스토(Demisto), DFLabs, 코맨드(Komand), 스윔레인(Swimlane), IBM 리질리언트(Resilient) 등이 그런 사례이며, 파이어아이(FireEye)가 지난 해 인보타스(Invotas)를 인수한 것도 마찬가지다. 오케스트레이션 영역에 가장 최근에 합류한 업체는 6월 8일 헥사다이트(Hexadite)를 인수하겠다고 발표한 마이크로소프트이다.

IBM 리질리언트의 제품관리 부사장 테드 줄리안(Ted Julian)에 따르면, 오케스트레이션 기술은 “차세대” 보안 기술을 현존 기술과 화합시키는 방법이다. 기술이 발전상의 역사적 맥락없이 제각각 난립하지 않도록 해주는 완충제 역할도 한다. “(오케스트레이션 기술은) 제가 지난 12년 간 보안 영역에서 본 것 중에 가장 변화가 급진적인 분야입니다. 이 밖의 모든 기술은 점층적인 변화를 겪고 있습니다.”

ESG의 올트식은 오케스트레이션과 자동화가 둘 다 뜨거운 보안 주제라며, 여러 스타트업과 기업들이 펀딩 규모를 키우며 출발하는 중이라고 말한다.

“CISO들이 매우 제한적인 자원 상황을 깨닫고, 나아가 이를 외부적인 것으로 해결할 수 없다는 걸 깨달았기 때문입니다. CISO가 자신의 업무를 정확히 알면서 필요한 도움도 파악하고 있다면, 머신 러닝이나 자동화, 또는 오케스트레이션이나 외부 자원 등 여러 첩보의 종류를 찾게 될 것입니다.” 올트식은 말을 이었다. “보안 관계자들은 통제권을 내려놓는 걸 싫어하기 때문에 오케스트레이션과 자동화는 특히 더 매력적입니다. 간단히 말해, 보안 통제를 도와주는 애플리케이션이라고 할 수 있죠. 이것이야말로 가장 먼저 해야 할 업무라는 사실은 굉장히 타당하게 느껴집니다.”

보통, 보안 분석가는 다양한 보안 툴을 통해 첩보와 정보를 수동으로 수집하고 또 잘라 붙이는 식으로 작업한다. 오케스트레이션은 그들 대신에 첩보를 수집해줘 보안 전문가들이 능률을 높여 일하게 해주며, 재미없는 일상적인 업무들을 자동화해주기도 한다. 덕분에 보안 전문가들은 더 심각하고 복잡한 사건에 더 많은 시간을 쓸 수 있게 된다.

보안 전문업체 크라우드스트라이크(CrowdStrike)의 CISO이자 전직 US-CERT 공무원인 제리 딕슨(Jerry Dixon)은 전문가들이 오케스트레이션 기술을 통해 각본을 짤 수 있게 되며, 사건을 다루는 데 더 자동화되고 통합된 절차를 갖게 된다고 말한다. “오케스트레이션 기술은 빠르게 정보를 가져다주기 때문에, 분석가가 우려스런 부분이 있는지 없는지 분류하고 판단을 내리는 데 도움을 줍니다.”

보안 관제 센터를 능률화하고 자동화하는 데는 맞춤 제작한 파이선 스크립트가 필요하다고 딕슨은 말한다. “이 작업의 담당자가 퇴사하는 경우에는 문제가 발생할 수도 있습니다. 그럴 때 CISO는 이 모든 것들이 제대로 작동하도록 만들어야 하는 상황에 처하게 됩니다. 그렇지만 오케스트레이션 툴의 장점은 CISO들이 전문성을 활용해 각본을 짤 수 있도록 돕는다는 데 있습니다.”

오케스트레이션을 추동하는 주요 요인 중 하나는 보안 직원이 부족하다는 사실과 이를 또 유지해야 한다는 사실이다. 세계적인 금융 서비스 기업의 베테랑 CISO 산드로 부치아네리(Sandro Bucchianeri)는 자원이 쪼들려 전전긍긍하는 보안 전담 부서에 숨 쉴 공간을 주기 위해 오케스트레이션, 자동화, 머신 러닝 등을 사용하는 것을 고려하고 있다고 말한다.

부치아네리의 기업이 목격하는 보안 경고만 이미 수백만 건에 달한다. 그는 “보안 직원들을 이런 경고에 집중하게 만드는 건 엄청난 시간낭비”라며 “이런 방식으론 일일이 수동으로 작업해야 되고, 또 침입해 들어오는 모든 것을 면밀히 조사해야 되기 때문”이라고 설명했다. 또한, 어떤 경고들을 지나칠 위험도 있기 때문이다.

보안 인력을 구하고 또 유지하는 일은 부치아네리의 가장 큰 과제 중 하나다. “가장 큰 문제는 적합한 인재를 찾아 훈련시킨 다음에 옵니다. 바로 그런 인재들을 계속 잡아두는 일이죠.” 부치아네리는 “다른 회사가 접근해서 연봉을 1천만 원에서 2천만 원 더 주겠다고 제안한다면, 그동안 훈련에 투자한 것과 지식을 전수해준 것들이 모두 다 회사 문 밖으로 날아가버리는 셈”이라고 강조했다. 부치아네리의 요청에 따라 그의 회사명은 공개하지 않기로 했다.

부치아네리의 회사는 피싱 대응, 긍정 오류(false-positives: 정상 이메일을 스팸으로 잘못 식별하는 것), 자동화된 알림 등에 대해 오케스트레이션을 고려함으로써 위와 같은 문제를 효과적으로 다루고자 한다고 밝혔다. “피싱은 저희가 직면한 가장 큰 단일 요소입니다. 경영진들에 대한 맹렬한 공격을 포함해서요.”

사업적인 측면에서 보안 오케스트레이션은 본질적으로 손에 잡히는 정보를 제때 제공하며 보안 예산 및 지출을 정당화하는 데 사용될 수 있는 비용 절감 기능도 제공한다고 부치아네리와 기타 보안 전문가들은 지적한다.

“분석가 한 사람을 쓰는 데 비용이 얼마나 드는지 잘 압니다.” 부치아네리는 설명을 이었다. 만약 보안 오케스트레이션이 하루에 네 사람의 인건비를 절약해준다면, 이는 상급 관리자가 해석할 수 있는 정량화된 정보가 된다고 그는 언급했다. IBM의 줄리안의 생각도 같다. “비즈니스 용어에 기초해 대화를 하면, CISO인 당신이 하고자 하는 바를 더 잘 전달할 수 있게 됩니다.”

어떻게 오케스트레이션을 할 것인가
오케스트레이션 소프트웨어나 서비스를 설치하기 전에, 오케스트레이션 하려는 그 절차에 대해 아주 잘 숙지해야 한다는 점을 기억하라고 IBM의 줄리안은 강조한다. “절차를 확인하기 위해서라도 모든 사람이 오케스트레이션을 시작해야 한다고 생각합니다.” 오케스트레이션을 통해 조직은 일관되게 절차를 추진할 수 있을뿐더러 제대로 된 절차를 반복 가능하게 만들 수 있기 때문이다.

적절한 계획이나 준비 없이 오케스트레이션을 도입하는 것은 위험하다. 절차를 개선하고 능률화하는 게 아니라 기존의 엉망인 절차를 단순히 자동화하는 것에 그칠 위험이 있기 때문이다. “안 좋은 절차를 오케스트레이션 한다는 건 말도 안 되는 소리입니다. 이건 (오케스트레이션을 도입하는 데 있어) 사람들을 주저하게 하는 요인 중 하나이기도 하죠.” 올트식은 경고한다.

수많은 다른 보안 조치들처럼, 인력과 절차는 함께 고려돼야 하며 동시에 이뤄져야 한다. 클라우드 컴퓨팅 전문업체 랙스페이스(Rackspace)의 사이버 보안 선임 관리자 개리 루이스(Gary Ruiz)는 오케스트레이션을 구축할 때 보안 분석가들과 긴밀하게 소통하고 협업하는 것이 중요하다고 말한다.

“모든 사람이 이런 일을 수동으로 하는 데 길들여져 있습니다.” 루이스는 보안 오케스트레이션을 구축하는 것이 곧 보안 전담 부서를 대체하는 것을 의미하진 않고, 오히려 더 도움이 되는 일이라는 걸 해당 부서원들에게 이해시키는 건 쉽지 않은 일이라고 덧붙였다. 루이스가 몸담은 랙스페이스는 피싱 공격 대응을 위해 팬텀의 오케스트레이션 시스템을 시험 운영하고 있다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



2017년 상반기, 가장 충격적인 보안 사건·사고는 무엇이었나요?
사드 배치 보복 차원 중국 해커들의 사이버공격
국내 웹사이트 타깃 동남아 해커들의 무차별 디페이스 공격
전 세계를 휩쓴 워너크라이 랜섬웨어 사태
웹호스팅 업체 인터넷나야나 타깃으로 한 랜섬웨어 공격
페트야 랜섬웨어 사태(랜섬웨어 공격으로 위장한 러시아의 사이버전)
대선 전후 정보탈취 위한 북한의 사이버전
비트코인 등 가상화폐 열풍과 가상화폐 거래소 계정 해킹 사건
금융권 타깃으로 한 디도스 공격 협박 사건
기타(댓글로)