세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
파이어아이의 CTO와 럭비 이야기를 했다
  |  입력 : 2017-11-15 12:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엔드포인트 보안, 더 뒷단에서부터 시작해야 참 보안
첩보 수집부터 엔드포인트용 백신까지...통합적인 접근 필요


[보안뉴스 문가용 기자] 보안 업체 파이어아이(FireEye)의 CTO인 브라이스 볼랜드(Bryce Boland)에게서 남반구 영어의 향기가 났다. 물어보니 아니나 다를까 뉴질랜드 출신이란다. 기자는 “나도 남반구에서 오래 살았다”며, 그 지역 영연방 국가들의 공통 스포츠인 럭비 이야기를 꺼냈다. 미식축구가 아닌 럭비는 우리나라엔 잘 알려져 있지 않지만 해외에서는 나름 큰 인기를 유지하고 있는 스포츠다. 특히 뉴질랜드의 ‘올 블랙스’는 누구도 막을 수 없는 팀이란 이미지를 가지고 있다.

[이미지 = iclickart]


파이어아이라는 보안 업체의 보안 공식 행사장에서 보안 전문가와 보안 기자로서 만났는데 럭비 팬이 되어버렸다. 특히 럭비 역사의 한 획을 그은 인물이자 올 블랙스의 전설인 조나 로무(Jonah Lomu) 이야기를 하지 않을 수 없었다. 그는 덩치들만 모아놓은 럭비 팀에서조차 가장 무거우면서 동시에 가장 빠른 발을 가진 윙어로, 한번 가속이 붙으면 그 누구에게도 태클을 허하지 않았다. 아니, 모두가 그 육중한 가속에 튕겨나갈 뿐이었다. 95년 열린 럭비 월드컵에서 세계는, 마치 보안 업계가 갖은 해커들의 질주를 지켜보기만 하듯, 그의 주파를 기록하는 것 외에는 아무것도 할 수가 없었다.

하지만 브라이스와 기자는 그 월드컵의 결과를 알고 있었다. 역사상 최고의 플레이어를 보유했던 올 블랙스가 준우승에 그쳤다는 충격이 아직까지 남아있었기 때문이다. 결승에서 뉴질랜드가 맞붙었던 상대는 남아공의 스프링복스 팀. 이날 조나 로무는 달리지 못했다. 공을 잡는 순간 무조건 허벅지 아래로 들어오는 태클 때문에 가속을 낼 시간이 없었기 때문이다. 그는 공을 잡자마자 고꾸라지기만 했다. 그리고 그 경기는, 축구로 치면 ‘승부차기’로만 끝난 지루한 경기가 됐다.

어떤지 당시 남아공 대표팀의 조나 라무 견제 전략이 파이어아이가 새롭게 가지고 온 엔드포인트 보안 전략과 일맥상통한 부분이 있었다. 브라이스 볼랜드는 이날 발표 시간에 남반구 억양으로 “엔드포인트 보안이라는 것이 단순히 엔드포인트에서만 시작되고 종결돼서는 아무런 효과가 없다”고 주장했는데, “공격이 엔드포인트에 도달할 때쯤에는 가속이 붙을 대로 붙은 상태라 제대로 막을 수도 없고, 근본적인 해결책이 되지 못한다”는 게 그 이유였다. 더 뒷단에서부터 조치를 취해야 한다는 뜻이다.

그는 실패 사례를 통계적으로 보여주었다. “95년도 월드컵 때 조나 라무는 신기록을 수립해가며 결승전까지 올라왔어요. 아무도 막을 수가 없었던 겁니다. 지금 해커들이 어떤지 아세요? 2016년에는 하루 평균 11건의 침해사고가 발생했습니다. 차단이 되지 않고 있다는 뜻입니다. 심지어 탐지조차 제대로 하고 있다고 할 수 없어요. 침해 사실을 내부로부터 발견하는 데 걸린 시간이 평균 80일, 외부로부터 인지하는 데 걸린 시간이 평균 107일입니다. 이 기록이 매년 갱신되고 있기도 하고요.” 해커들은 라무요, 우리는 필드일 뿐.

그런 상태에서 필드 상태는 ‘태클러’들에게 더 불리하게 만들어지고 있다. “불안전한 사물인터넷 기기들이 폭발적으로 사이버 공간 안으로 들어오고 있습니다. 생성되고 소모되는 데이터 양도 비슷하게 증가 추세라 이미 제타바이트 단위를 바라보고 있죠.” 마치 라무가 체중을 더 늘리고 주파 속도도 높여 파괴력을 키웠다는 것과 같다. 아니면 필드가 넓어져서 그가 가속을 붙이고 뛰어다닐 자리가 더 생겼다거나.

“그런데 전문가는 줄어들고 있죠. 미국의 경우 인력이 46%나 부족했고, 2018년까지는 이 수치는 53%로 늘어날 전망입니다. 2019년에는 전 세계적으로 사이버 보안 담당 인력이 1백 5십만 명 부족할 것으로 예상됩니다. 필드가 커지고 라무는 더 무서워지는데 수비수가 하나 둘 퇴장한다는 말과 같아요.” 심지어 “대부분의 웹사이트에서 SSL을 사용하지 않고 있기도 해서” 그 희박하게나마 있는 수비수들의 방어 의지에도 의문을 제기할 수밖에 없는 상황이다.

“엔드포인트 보안이라고 해서 모바일 기기들에서만 작동하고, 그 기기들만 보호해서는 안 됩니다. 그 엔드포인트가 붙어있는 네트워크 전체의 가시성, 검색 문제, 위협 사냥, 첩보 수집부터 시작해서 엔드포인트를 지켜야죠.” 필드 반대편에서부터 수비가 시작되어야지, 골대 앞에 팀 전원이 서 있는 것이 얼마나 효과적이겠냐는 것이다. 축구라면 몰라도 점수가 인정되는 부분을 물리적으로 다 ‘커버’할 수 없는 럭비에서는 불가능하다. 현대의 사이버 보안도 마찬가지라는 게 파이어아이의 논지다.

“엔드포인트를 분석하려면 네트워크 내의 행위분석도 해야 하고, 알려진 공격을 탐지하고 차단하는 백신 기능도 필요하고, 클라우드 및 가상 환경, 온프레미스 하드웨어별로 차별화된 관리 계획도 수립되어야 합니다. 다양한 OS에 대한 지원은 물론이고요. 보안 사고가 일어나면 가장 눈에 띄는 것이 엔드포인트이지만, 그 방어는 저 뒷단에서부터 시작해야 합니다.” 마치 남아공 대표팀이 라무가 가속을 아예 하지 못하게 미리 손을 쓴 것처럼 엔드포인트를 대해야 한다는 것이다.

“공격자들은 대단히 많은 공격의 방법들을 보유하고 있습니다. 그것들을 모두 아우르지 않으면 소용이 없어요. 이제 어떤 특정 공격에만 특화된 보안 솔루션은 큰 쓸모를 찾기 힘들 겁니다. 그렇다고 모든 경우의 수를 엔드포인트에서만 대비한다면 지나치게 무거워지겠죠. 모든 위협에 대비해서 보안 솔루션의 가치를 제대로 갖추려면 클라우드를 기반으로 한 통합적인 솔루션을 동원해야 합니다. 통합적인 것이 완전한 솔루션입니다. 현재 우리가 바라보고 있는 위협들이 한두 가지가 아니기 때문입니다.”

그래서 파이어아이는 엔드포인트 백신과 엔드포인트 APT는 물론 가시성 확보와 활동 모니터링, 익스플로잇 탐지 및 방어, 엔드포인트 포렌식, 통합된 워크플로우 플랫폼, 첩보 수집 및 분석, 사건 대응 및 평가 기능까지 다 갖춘 엔드포인트 솔루션을 개발했다. 물론 새로운 제품에 대한 홍보 행사이기는 하지만, “엔드포인트를 엔드포인트 단에서만 해결할 수 없다”는 메시지는 밑줄 그을 만하다. 파이어아이 스스로도 “(파이어아이 외에) 이러한 통합적인 엔드포인트 솔루션이 곧 쏟아질 것”이라고 예측하고 있다.

골대는 골키퍼만의 것이 아니다. 보안 역시 전문가들만의 것이 아니다. 엔드포인트를 위한 통합적인 접근이, 모든 사용자가 다 보안에 참여하는 보안 문화로 향하는 물꼬가 될 듯도 싶다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)