세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
정보보안, 과거에 대한 ‘뒤끝’있는 태도가 유용한 이유 4
  |  입력 : 2017-09-26 17:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
과거 사건들을 다시 복기해보면, 생각지 못한 패턴 및 통찰 얻어
단일 사건별로만 해결하고 분석하는 건 단시안적일 수 있어


[보안뉴스 문가용 기자] “과거는 우리 생각과 항상 다른 곳에 머무른다”는 말이 있다. 사이버 보안만큼 빠르게 변하는 분야도 드물 텐데, 그 말인 즉 우리는 수많은 과거를 양산한다는 뜻이다. 그 과거들을 우린 전부 제자리에 놓고 나서, 현재에 대응하고 있을까? 수많은 공격들에 시달리기 바쁜데 무슨 정신에. 그 말은 즉 우리는 했어야 할 패치를 잊었다거나, 보완했어야 할 프로세스를 잊는다거나, 제대로 된 솔루션 구매를 몇 달 또 연기하고 있다는 뜻이다. 그리고 이 과거들은 곧바로 현재로 거슬러 올라와 오늘의 위협이 되어버린다.

[이미지 = iclickart]


말을 길게 썼지만, 결국 사건이 일어나면 그것을 분석하고 현재의 시스템을 보완하는 데에 활용하는 것이 중요하다는 것이다. 그렇기에 이러한 ‘반성’은 사건의 해결 뒤에 따라와야 하는데, 우리는 좀처럼 그렇게 하지 못한다. 게을러서? 안일해서? 그럴 수도 있다. 하지만 반성을 뒷전으로 미뤄야 할 만큼 바빠서다. 현재의 위협들을 파악하고 대비책을 세워놓는 것만 해도 순식간에 시간을 잡아먹는다.

하지만 그런 바쁜 일과 중에 과거의 사건을 복기하는 것도 이제는 포함되어야 한다. 신기술을 하나라도 더 배우고, 보고서를 하나라도 더 완성시키고, 내부 취약점 점검을 한 번이라도 더 해보는 게 더 생산적이게 느껴질 테지만, 과거의 사건을 곱씹어보는 것도 그에 못지않게 유용하다. 그 이유를 몇 가지 제시해보겠다.

1) 유사한 점들이 발견된다 : 과거의 사건들을 일렬로 세워놓고 살펴보면 뭔가 유사한 점들이 보일 때가 있다. 같은 공격 혹은 유사 공격이 발견된다는 게 아니라, 비슷한 실수나 허점, 취약점들이 공격의 빌미를 제공한다는 걸 알 수 있다는 것이다. 현재 회사에서 사용하고 있는 피싱 메일 경보 시스템이 특정 형태의 피싱을 거르지 못한다든가, 특정 부서에서 유독 사고가 자주 발생한다든가 하는 것들 말이다. 또, 지난 사고 때 드러난 악성 IP 주소를 내부 공유하지 않아 같은 공격에 또 당하는 경우도 있다. 이런 유사점들은 ‘기술적인 해결책’ 외의 것들이 무엇인지 알려준다. 때로 非기술적인 해결법이 보안의 정답일 수도 있다.

2) 발전에 적응할 수 있다 : 새로운 공격들이 자주 나오는 게 사실이긴 하지만 뿌리로 거슬러 올라가다 보면 그 근본적인 동기나 원리 등은 같을 때가 많다. 그래서 ‘변종’이라는 말을 우리 많이 하지 않는가. 방어도 마찬가지다. 공격자는 살짝 뒤틀기만 할 뿐인데, 우리라고 대대적으로 시스템을 갈아엎을 필요는 없다. 이러한 면에서 완벽한 예는 랜섬웨어다. 랜섬웨어의 공격 동기나 방식은 그 어떤 변종이나 패밀리가 와도 변하지 않는다. 그러므로 랜섬웨어 대처만큼 과거 사례가 중요한 것도 드물다.

3) 예상치 못한 통찰이 있다 : 문제가 발생했고, 당신의 조직에서는 방금 막 해결했다. 보안 팀은 그 사건을 통해 얻어낸 교훈들을 정리해 문서를 만든다. 하지만 그 교훈이란 건 여러 사건들을 통틀어 봐야 나오는 때도 있다. 그리고 그렇게 숙성된 교훈은 진짜로 고쳐야할 지점이 어디인지를 정확하게 짚어준다. 그때 그때의 사안들을 정리하는 것도 필요하지만, 과거의 것들을 다시 불러와 한 걸음 뒤에서 뭔가 놓친 것은 없나 검토하는 것도 중요하다.

4) 생각지 못한 패턴이 보인다 : 위 3)번과 비슷할 수 있는데 단일 사건을 통해 볼 수 없었던 패턴이 발견되는 때도 있다. 하나하나 보면 전혀 위험해 보이지 않는 요소들이 과거와 현재의 순서대로 쭉 모아졌을 때 순식간에 다른 얼굴을 볼 수 있게 된다. 그저 스팸 메일의 출처 하나가 더 생겼을 뿐인데, 6개월 후에 보니 커다란 범죄단의 조직적인 캠페인의 일환이었더라, 하는 경우도 얼마든지 존재한다. 더 커다란 캠페인을 파악하게 되면, 이어지는 후속타를 막을 가능성도 높아진다.

과거는 무시되거나 망각되어야 할 대상이 아니다. 보안에서는 더욱 그렇다. 과거를 경시하는 건 정보보안에서 만큼은 지양되어야 할 바다. 아니, 과거로부터 의미 있는 뭔가를 이끌어 낼 줄 아는 게 우리의 기본 소양이 되어야 한다. 그것만이 해커들보다 한 발 더 앞서 나아가는 길이다.

글 : 리즈 메이다(Liz Maida), Uplevel
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#정보보안   #과거   #반성   #분석   #패턴   #지식   #통찰   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)