세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
구조화되지 않은 데이터가 불러올 위협, 인지 보안에 답이 있다
  |  입력 : 2017-10-13 10:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구조화되지 않은 데이터 급증하는 때 경계 보안은 근시안적
인지 보안, 수집된 데이터 의미 분석 및 행동 취하는 데 도움


[보안뉴스 오다인 기자] IT 보안 팀은 감당할 수 없을 만큼 많은 데이터를 매일 받는다. 보안 사건, 네트워크 흐름, 구성 정보 등 끝없이 제공되는 데이터에 파묻히는 것이다. 이런 데이터를 한 데 모아 분석하지 않으면 향후 취약점에 노출될 위험이 크다. 예컨대, 어느 보안 팀이 데이터가 낳을 잠재적인 위험과 관련해 탄탄한 전략을 구축한 상태라고 하자. 훌륭하다고 칭찬할 만하지만 과연 이것으로 충분할까?

[이미지=iclickart]


방화벽이나 백신 소프트웨어 등 대부분의 보안 툴이 수집하는 데이터는 구조화돼 있다. 즉, 쉽게 찾아볼 수 있고, 연관성 높은 데이터베이스로 조직화돼 있다는 말이다. 그러나 구조화된 데이터는 더 크고, 더 복잡한 퍼즐의 일개 조각일 뿐이다. 보안 팀이 수집과 분석에 애를 먹고 조치를 취하기 어려워하는 데이터, 즉 구조화되지 않은 데이터는 아직까지 그대로 남아있다. 그리고 구조화되지 않은 데이터의 양은 앞으로도 계속 확대될 뿐이다.

보안 팀이 통제하지 않는 소스들에서 얼마나 많은 보안 데이터가 나오는지 생각해보라. 블로그, 게시판 같은 온라인 공론장, 즐겨찾기한 사이트 등 검색으로 찾을 수 없는 모든 웹페이지에 살아 숨 쉬는, 그 거대한 구조화되지 않은 데이터의 물결을 상상해보라. 인터넷이 갖고 있는 데이터의 대부분은 조직화되지 않으면서 텍스트가 주를 이루는 데이터가 차지하고 있다. IT 전문 미디어 콘텐츠 기업인 인터내셔널 데이터 그룹(IDG)은 구조화되지 않은 데이터가 해마다 62%씩 커지고 있으며 2022년에는 전체 데이터의 93%가 구조화되지 않을 것이라고 전망했다. IT 팀은 어떻게 따라잡을 수 있을까? 그 답은 인지 보안(cognitive security)에 놓여 있다. 인지 보안은 빅데이터 플랫폼과 데이터 마이닝, 인공지능, 머신 러닝을 사용해 데이터가 구조화돼 있든 아니든 최초 수집한 데이터를 분석한다.

그러나 인지 보안에 대해 논하기 전에, 구조화되지 않은 데이터의 문제부터 살펴보자.

이 문제가 중요한 이유
이 사안의 중요도에 대해 이해하려면 현재 사용하고 있는 보안 조치들의 토대가 무엇인지 들여다봐야 한다. 전통적인 보안은 외부의 위협을 줄이는 데 초점을 맞춘다. 공격자가 가까이 오지 못하도록 방어벽을 세우고 경계를 치는 것이다. 그래서 보안 전략이라고 하는 것들은 대개 방화벽, 백신 소프트웨어, 안전한 비밀번호 등에 집중한다.

보안 혁신은 거의 언제나 ‘경계의 철학(perimeter philosophy)’을 그 핵심에 품어 왔다. 그러나 경계 보호에 집중하는 건 근시안적인 접근법이다. 이는 보안 전략을 전반적으로 제한하는 일이면서, 상호보완적이고 선제적인 조치들을 마땅히 있어야 할 곳에 배치하지 않게 한다. 결과적으로 효과가 없게 만드는 일인 것이다.

수십만 건의 보안 경고를 매일 받고 있는 IT 조직의 평균적인 반응을 생각해보라. 오늘날의 보안 팀이 통상적으로 밟는 프로세스는 백신 소프트웨어와 방화벽에서 제공하는 데이터를 분석하고 데이터 간 상관관계를 바탕으로 맥락을 짠 뒤 이에 상응하는 솔루션을 알려주는 것이다.

이런 프로세스에서 보안 전문가들은 엄청나게 많은 보안 경고를 수동으로 분석하고 실행해야 할 처지에 놓인다. 게다가 보안 전문가들이 예전 위협에 대처하느라 바쁠 때, 새로운 위협은 계속해서 탐지되지 않은 채로 늘어난다. 그 결과, 팀 전체가 진짜 문제를 해결하고 예방해야 할 시간에 불을 끄는 데 몰두하게 된다. 데이터를 종합하고 분석하는 건 더 어려운 것이다.

구조화되지도, 말해지지도, 알려지지도 않은
다음으로, IT 전문가들이 어떻게 보안 정보를 공유하고 소비하는지에 대해서 생각해보자. 특히, 대형 사고가 터졌을 때를 상상해보자. 현재 보안 전문가들이 갖고 있는 규범은 웹사이트와 대외 채널을 통해 그들이 특정한 보안 문제를 어떻게 해결했는지 업데이트하는 것이다. 해당 업데이트 내용이 모든 이해관계자에게 닿기를 마냥 바라면서 말이다. 예를 들어, 올해의 워너크라이 랜섬웨어(WannaCry Ransomware) 공격을 떠올려보자.

워너크라이 피해 기업들에게 실질적인 해결책이 처음 제공된 건 멀웨어테크(MalwareTech)로 알려진 사용자가 트위터에 공지했을 때다. 멀웨어테크가 분명 도움이 된 부분이 있지만, SNS는 전 세계 보안 팀이 찾아 헤맨 시급한 정보들을 순환하는 데 결코 완벽한 수단이 아니었다. 단순 온라인 포스팅만으론 대형 사고의 한 중간에서 정신없이 바쁜 보안 전문가들에게 충분한 정보를 제공할 수 없다. 보안 전문가들이 인터넷을 샅샅이, 수동으로 뒤지면서 누군가 제공하는 정보를 찾을 것이라고 기대할 수는 없는 것이다. 평상시에도 그런 일을 기대하긴 어렵건만 하늘이 무너지는 때는 어떨까?

정보 공유는 IT 보안에 핵심적이다. 개별 기업 간 뿐만 아니라 보안 산업 전체를 봤을 때도 마찬가지다. 사람들은 새로운 위협과 알려진 위협에 대한 정보를 공유하기 위해 서로 서로가 필요하다. 다른 사람의 지식과 경험으로부터 사람들은 이익을 본다. 안타깝게도, 침해, 위협, 멀웨어 등 보안 전문가들이 만들어내고 공유하는 정보의 대부분은 구조화된 데이터가 아니다. 즉, 실시간으로 발굴하고 적용하는 것이 훨씬 더 어렵다는 말이다. 특히 치명적인 보안 사고가 벌어졌을 때는 즉각적인 행동이 필요한 데도 이들이 제공하는 정보로는 실질적인 조치를 취하는 것이 어렵다.

같은 업계 종사자가 제공하는 즉시 실행 가능한 해결책들을 알지 못하거나 이에 대한 접근이 부족하다는 이유만으로 사람들이 얼마나 많은 시간과 재산을 잃어버리는지 생각해보자. 혹시 구조화되지 않은 채 범람하는 데이터들을 수집하고 분석하는 전략이 없기 때문은 아닐까? 바로 이 지점에서 인지 보안은 중요하고도 즉각적인 이익을 제공한다.

인지 세계로의 진입
인지 접근법은 인공지능, 데이터 마이닝, 머신 러닝 기술을 사용해 수천 건의 보안 피드와 데이터 소스를 분석한다. 숨어있는 정보, 예컨대 검색으로 나타나지 않는 화이트 햇이나 블랙 햇 해커들의 블로그와 공론장까지 아울러서 말이다. 이후, 인지 보안은 구조화됐건 안 됐건 모든 보안 데이터를 한 데 종합하고 분석한다. 그동안 보안 전문가는 예측 가능한 데이터 분석을 수행할 수 있고, 나아가 시스템과 기업 정책 등을 최고의 상태로 발전시킬 수 있다.

시간이 흐르면서 해당 시스템은 스스로 학습하기 시작할 것이다. 보안 경고들의 우선순위를 어떻게 매길지, 어떤 대응책이 권고되는지 등을 알려주는 때가 온다. 인지 보안은 백신 소프트웨어나 침입 방지 시스템 같은 현존하는 보안 툴을 대체할 수는 없지만, 생성한 정보를 원래의 경계 보안에 추가할 수는 있다. 이로써 IT 전문가들은 그들 손에 있는 데이터의 의미가 무엇인지, 그런 통찰을 어떻게 행동으로 옮길지에 대해 더 잘 이해할 수 있게 된다.

경계 너머
구조화되지 않은 데이터는 계속해서 급증할 것이다. 이젠 그 속도의 선두에 설 때다. 보안 팀이 위협을 더 잘 분석하고 대응할 수 있도록 움직여야 할 때다. 그렇게 하려면 경계 너머를 생각해야 한다. 그리고 기존의 방어를 북돋아주면서 더 선제적이고 지능적인 보안 전략을 제공할 보안 기술 또한 포용할 줄 알아야 한다.

글 : 찰스 풀우드(Charles Fullwood)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)