환영받는 자동화 기술, 우린 받아들일 준비가 됐을까?

인력 부족, 자동화로 해결...하지만 근본적인 대책 될 수 없어
보안 분석가들은 자동화 통해 ‘비판적 사고력’ 길러내야

[보안뉴스 문가용 기자] 보안 인력난을 해소할 길이 없어 자동화 기술이 반사 이익을 얻고 있다. 보안 담당자들의 업무량은 늘어만 가고, 보안 전문 업체들은 사람을 현장에 배치해줄 수 없어, 자동화 솔루션들을 만들어 제공하고 있는 것이다. 물론 자동화만을 특징으로 하는 솔루션들이 아니라 기존의 오케스트레이션 툴이나 환경설정 관리 툴, 사건 대응 플레이북 솔루션 등에 자동화가 덧붙어서 나오는 형식이다.

[이미지 = iclickart]

이는 현대 사이버 보안 업계가 직면한 가장 핵심적인 문제를 해결하는 데에 있어 중요한 시작점이 되고 있다. 그러나 자동화가 보안의 업무에 도입된다고 마냥 기뻐할 것만은 아니다. 자동화에도 분명한 한계가 있고, 자동화가 보안 인력난의 본질적인 해결책은 될 수 없기 때문이다. 또한 자동화 때문에 해커들도 만만치 않은 이득을 보고 있어, 이 기술을 받아들이는 우리들 편에서의 고민이 필요하다.

현재 자동화 기술은 대부분 프론트 엔드(front end)에서 주로 활용되고 있다. 즉, 위협을 탐지해내고 보안 경보를 중요한 순서대로 정리하는 역할을 맡고 있다는 것이다. 위협 첩보 피드와 SIEM, 사건 대응 플랫폼을 통해 생성되는 사건 데이터를 1차적으로 처리하는 데에 있어 어느 정도 자동화 기술이 정착되어 가고 있기도 하다. 하지만 현장의 보안 전문가들은 “원래 프론트 엔드에서 보내던 시간은 전체 업무 시간의 30% 정도에 불과했다”고 말한다. 진짜 보안 업무는 위협이 탐지되고 우선순위가 결정된 다음부터 시작된다는 것이다.

필자가 직접 경험하고 관찰해본 바, 보안 팀이 가지고 있는 자원의 40%는 사건을 하나하나 손으로 조사하는 데에 투자된다. 보안 업무 중 가장 길고 지루하며 고통스러운 작업이다. 이러한 업무를 보안 분석가들이 처리하고 있는데, 일주일에 1000건의 경보를 분석해내는 게 보통이다. 여기에 각종 첩보에 대한 구독까지 신청하면 문제는 더 복잡해진다. 한 가지 사건만으로도 한 달에 약 3백 5십만 개의 침해지표가 발생할 수 있기 때문이다. 현장에서의 이런 저런 상황을 다 덧붙이면, 사실 보안 분석가들이 진지하고 고통스럽게 파악해내는 데이터는 10%에 불과하다. 90%는 버려진다.

30%와 40%가 저렇게 쓰이면 나머지 30%의 시간은 어떤 업무에 활용될까? 사건이 끼칠 수 있는 영향을 완화시키는 작업이나 보고서를 작성하는 데에 쓰인다. 이 결산의 30%가 보안 담당자들에게는 가장 중요한 시간이다. 이 시간에 학습 효과가 발생하기 때문이다. 하지만 현실이 반드시 그렇지만은 않다. 이 30%를 생략하는 전문가나, 그렇게 하도록 종용하는 단체가 굉장히 많기 때문이다.

또한 각 사건을 수사한 결과물은 독립적으로 보관된다. 이 사건과 저 사건의 관계성에 대한 분석은 진행하지 않을 때가 대부분이다. 사업 진행방향이나 시장이라는 상황 정보와 엮인 패턴 파악이나 분석은 진행되지 않는다. 기업이 고유한 침해지표를 만드는 상황에서도 보안 담당자가 악성 IP 주소를 블랙리스트 목록에 손으로 하나하나 입력하는 것도 흔히 볼 수 있는 장면이다. 사건 하나로부터 건져 올린 귀중한 ‘통찰’이 성긴 보안 업무 구조 사이로 다 빠져나가고 있다. 그러므로 미래 위협에 대한 대비가 되지 않고 있다.

자동화 기술이 이런 상황 속에 도입되어 봤자 크게 바뀌는 건 없을 것이다. 일정 부분 도움이야 되겠지만 큰 구조를 바꾸지 않으면 핵심적인 부분에서 결국 이전과 같아질 것이다. 자동화 기술을 도입함으로써 최대한의 가치를 끌어내려면, 보안 사건들을 보다 ‘총체적으로’ 다룰 수 있어야 한다. 즉 보안 전문가들이 데이터를 통해 여러 맥락을 논리적으로 이어 붙이는 ‘비판적 사고력’을 갖춰야 한다는 것이다.

보안 분석가들의 일 중 조금 더 ‘고통스러운 부분’에 자동화 기술을 할당하고, 분석가들에게는 생각할 여력을 제공해야 한다. 자동화가 문제를 해결해주지 않는다. 최종 결론은 분석가들의 깊은 사고로부터 나온다. 이것도 해보면 해볼수록 빨라지고 정확해질 수 있다. 자동화 기술이 수고로운 일들을 도맡아 주는 것을 기회로 삼아 데이터와 별개 사건의 연결, 히스토리 분석, 보안 장비들이 생성한 데이터들 간 상관관계의 추리를 분석가들이 할 수 있게 된다면, 그때서야 자동화 기술의 참 가치가 드러날 것이다.

글 : 리즈 메이다(Liz Maida), Uplevel Security

[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다