환영받는 자동화 기술, 우린 받아들일 준비가 됐을까?

인력 부족, 자동화로 해결...하지만 근본적인 대책 될 수 없어
보안 분석가들은 자동화 통해 ‘비판적 사고력’ 길러내야

[보안뉴스 문가용 기자] 보안 인력난을 해소할 길이 없어 자동화 기술이 반사 이익을 얻고 있다. 보안 담당자들의 업무량은 늘어만 가고, 보안 전문 업체들은 사람을 현장에 배치해줄 수 없어, 자동화 솔루션들을 만들어 제공하고 있는 것이다. 물론 자동화만을 특징으로 하는 솔루션들이 아니라 기존의 오케스트레이션 툴이나 환경설정 관리 툴, 사건 대응 플레이북 솔루션 등에 자동화가 덧붙어서 나오는 형식이다.

[이미지 = iclickart]

이는 현대 사이버 보안 업계가 직면한 가장 핵심적인 문제를 해결하는 데에 있어 중요한 시작점이 되고 있다. 그러나 자동화가 보안의 업무에 도입된다고 마냥 기뻐할 것만은 아니다. 자동화에도 분명한 한계가 있고, 자동화가 보안 인력난의 본질적인 해결책은 될 수 없기 때문이다. 또한 자동화 때문에 해커들도 만만치 않은 이득을 보고 있어, 이 기술을 받아들이는 우리들 편에서의 고민이 필요하다.

현재 자동화 기술은 대부분 프론트 엔드(front end)에서 주로 활용되고 있다. 즉, 위협을 탐지해내고 보안 경보를 중요한 순서대로 정리하는 역할을 맡고 있다는 것이다. 위협 첩보 피드와 SIEM, 사건 대응 플랫폼을 통해 생성되는 사건 데이터를 1차적으로 처리하는 데에 있어 어느 정도 자동화 기술이 정착되어 가고 있기도 하다. 하지만 현장의 보안 전문가들은 “원래 프론트 엔드에서 보내던 시간은 전체 업무 시간의 30% 정도에 불과했다”고 말한다. 진짜 보안 업무는 위협이 탐지되고 우선순위가 결정된 다음부터 시작된다는 것이다.

필자가 직접 경험하고 관찰해본 바, 보안 팀이 가지고 있는 자원의 40%는 사건을 하나하나 손으로 조사하는 데에 투자된다. 보안 업무 중 가장 길고 지루하며 고통스러운 작업이다. 이러한 업무를 보안 분석가들이 처리하고 있는데, 일주일에 1000건의 경보를 분석해내는 게 보통이다. 여기에 각종 첩보에 대한 구독까지 신청하면 문제는 더 복잡해진다. 한 가지 사건만으로도 한 달에 약 3백 5십만 개의 침해지표가 발생할 수 있기 때문이다. 현장에서의 이런 저런 상황을 다 덧붙이면, 사실 보안 분석가들이 진지하고 고통스럽게 파악해내는 데이터는 10%에 불과하다. 90%는 버려진다.

30%와 40%가 저렇게 쓰이면 나머지 30%의 시간은 어떤 업무에 활용될까? 사건이 끼칠 수 있는 영향을 완화시키는 작업이나 보고서를 작성하는 데에 쓰인다. 이 결산의 30%가 보안 담당자들에게는 가장 중요한 시간이다. 이 시간에 학습 효과가 발생하기 때문이다. 하지만 현실이 반드시 그렇지만은 않다. 이 30%를 생략하는 전문가나, 그렇게 하도록 종용하는 단체가 굉장히 많기 때문이다.

또한 각 사건을 수사한 결과물은 독립적으로 보관된다. 이 사건과 저 사건의 관계성에 대한 분석은 진행하지 않을 때가 대부분이다. 사업 진행방향이나 시장이라는 상황 정보와 엮인 패턴 파악이나 분석은 진행되지 않는다. 기업이 고유한 침해지표를 만드는 상황에서도 보안 담당자가 악성 IP 주소를 블랙리스트 목록에 손으로 하나하나 입력하는 것도 흔히 볼 수 있는 장면이다. 사건 하나로부터 건져 올린 귀중한 ‘통찰’이 성긴 보안 업무 구조 사이로 다 빠져나가고 있다. 그러므로 미래 위협에 대한 대비가 되지 않고 있다.

자동화 기술이 이런 상황 속에 도입되어 봤자 크게 바뀌는 건 없을 것이다. 일정 부분 도움이야 되겠지만 큰 구조를 바꾸지 않으면 핵심적인 부분에서 결국 이전과 같아질 것이다. 자동화 기술을 도입함으로써 최대한의 가치를 끌어내려면, 보안 사건들을 보다 ‘총체적으로’ 다룰 수 있어야 한다. 즉 보안 전문가들이 데이터를 통해 여러 맥락을 논리적으로 이어 붙이는 ‘비판적 사고력’을 갖춰야 한다는 것이다.

보안 분석가들의 일 중 조금 더 ‘고통스러운 부분’에 자동화 기술을 할당하고, 분석가들에게는 생각할 여력을 제공해야 한다. 자동화가 문제를 해결해주지 않는다. 최종 결론은 분석가들의 깊은 사고로부터 나온다. 이것도 해보면 해볼수록 빨라지고 정확해질 수 있다. 자동화 기술이 수고로운 일들을 도맡아 주는 것을 기회로 삼아 데이터와 별개 사건의 연결, 히스토리 분석, 보안 장비들이 생성한 데이터들 간 상관관계의 추리를 분석가들이 할 수 있게 된다면, 그때서야 자동화 기술의 참 가치가 드러날 것이다.

글 : 리즈 메이다(Liz Maida), Uplevel Security

[국제부 문가용 기자(globoan@boannews.com)]

보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
	보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
	전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
	2023년 클라우드 생태계를 위협할 다양한 보안이슈들
	전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
	피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
	2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
	밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
	주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
	메타버스, 주목받는 만큼 증가하는 보안위협
	스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야