Home > 전체기사
사이버 보안 첩보 시장 좀먹는 내부의 적, “잘난 체 문화”
  |  입력 : 2020-10-08 13:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블랙햇 아시아서 전문가들 나서서 적나라하게 꼬집어...“우리의 생존 문제”
보안은 고고한 순수학문 아냐...실용적으로 활용되어 도움이 되어야 가치 생겨


[보안뉴스 문가용 기자] 사이버 위협 첩보를 담당하는 팀들이 해결해야 할 당면과제는 이미 산적해 있다. 인력의 부족, 자원의 부족, 투자의 부족 등이 대표적인 ‘외부’ 요소들이다. 그런데 스스로의 사을 파먹는 내부 요소들도 존재한다. 그 중 가장 심각한 것은 ‘잘난 체 문화’라고 최근 열린 보안 컨퍼런스에서 보안 전문가들이 직접 얘기했다.

[이미지 = utoimage]


‘잘난 체 문화(snobbish culture)’라는 건 ‘보안 비전문가들을 깔보는 것’과 ‘새로운 취약점이나 익스플로잇에 높은 가치를 두는 행태’를 말한다고 메리마운트대학교의 사이버 보안 첩보 분석가인 제나 올센(Xena Olsen)은 풀이했다. 가상으로 열리고 있는 블랙햇 아시아 컨퍼런스에서였다. “제로데이 취약점을 발견하면 모두가 집중하죠. 실상 현장에서 진짜 문제가 되고 있는 건 비밀번호 재사용, 피싱 공격 등과 같은 건데도 말이죠.”

즉 현실을 반영하지 않은 연구만 진행하는 게 지금 사이버 위협 첩보 업계의 문제라는 것이다. “실제 어떤 공격이 일어나는지, 실제 네트워크에서 도사리고 있는 위협의 대다수는 무엇인지는 전혀 고려하지 않고 오로지 공개적으로 발표함으로써 주목받을 것을 생각합니다. 처음 발견된 제로데이나 거대한 음모와 배후를 가지고 있는 APT를 발굴해내는 것이 대표적이죠. 실제 해커들은 아주 사소한 틈을 파고드는 것을 계속해서 연마하고, 실제로 그런 부분에서의 실력이 좋아지고 있는데 말입니다.”

게다가 첩보 분석 팀이 조직 내 다른 부서들과 동떨어진 별도의 기능으로서 운영되는 것도 문제라고 올센은 지적했다. “분석가들은 조용한 곳에서 혼자 연구하고 싶어 합니다. 그래서 조직의 다른 기능들에서 독립된 공간과 영역에서 활동하죠. 대부분 그렇습니다. 그런데 이건 첩보 분석이라는 기능의 본질을 깨닫지 못하고 있기 때문에 벌어지는 일입니다. 첩보 내용에 따라 다양한 부서와 공동으로 대처해야 첩보의 가치가 높아지는 건데, 왜 자꾸 이걸 순수학문처럼 다루는지 모르겠습니다.”

여기에 파이어아이(FireEye)의 제이미 콜리어(Jamie Collier)도 동의한다. “우리가 스스로 이런 문화를 극복하지 못하면 사실 첩보 분석은 ‘그들만의 리그’로 전락할 가능성이 높습니다. 쓸모가 없어진다는 겁니다. 보안 비전문가가 접하는 보안 소식들은 무섭고 걱정되는 것일 수밖에 없습니다. 그 두려움의 대부분은 ‘뭘 어떻게 해야 할지 모르겠다’는 것에서부터 오는데, 보안 전문가들은 이를 다뤄주기는커녕 자기들만의 언어로 자기들만 이해하는 대화를 하고 있습니다. 보안은 늘 실용적이며, 구체적인 도움이 되어야 할 분야입니다.”

이러한 지적은 ‘2020 SANS 사이버 위협 첩보 조사(2020 SANS Cyber Threat Intelligence Survey)’에서 이미 등장한 바 있다. 보안 상황에 스스로 대처할 수 있는 조직들은 대부분 자체 첩보 탐지 및 분석 부서를 운영하고 있는데, 정작 그러한 조직 내에서 가장 활발하고 적극 소비되고 있는 첩보는 ‘오픈소스 첩보’인 것으로 조사되었기 때문이다. 내부 첩보 팀이 만든 정보는 5순위를 기록했다. 가장 현장감 넘치고 실제적인 도움이 되어야 할 정보가 아무런 가치를 발휘하지 못하고 있다는 뜻이다.

그렇다면 이러한 현 상황을 타개하기 위해 보안 첩보 분석 업계는 어떤 조치를 취할 수 있을까? 올센은 “실제 벌어지고 있는 일과 관련이 있는 첩보 생성에 집중해야 한다”고 제안했다. “이메일 함에 가장 많이 나타나는 위협이 무엇인지 주기적으로 알려보는 것부터 시작하는 것이 좋습니다. 그 다음 업무에 많이 활용되는 내부 애플리케이션들을 모니터링해서 관련 소식을 전파하고요. 즉 조직 내에서 일어나는 일들을 첩보의 재료로 삼고, 그 다음 외부 위협 소식을 가져오라는 겁니다.”

콜리어는 “여태까지 해왔던 것과 정확히 반대로 하면 된다”고 꼬집는다. “우리가 그 동안 가장 가치 높게 평가했던 것이 무엇입니까? 누구도 발견 못한 새로운 캠페인이나 멀웨어, 취약점을 처음 발견하는 것이었죠? 이제부터는 이를 가장 가치 없는 것으로 여기는 겁니다. 가장 가치 있는 첩보는, 피해를 입힐 가능성이 가장 높은 것을 다루는 것입니다. 그리고 모자라는 일손을 가까운 시일 내에 보충하기 위한 후진 양성에 힘써야 하겠지요. 새로운 뭔가를 찾는 건 지금은 조금 미뤄도 됩니다.”

여기에 콜리어는 “새로운 위협거리는 마케팅 용도로만 쓸모가 있다고 봐도 과장이 아니”라고 덧붙이기도 했다. “분석가분들, 상사가 당신들의 ‘새로운’ 업적을 좋아하는 건 영업에 활용할 자료가 생겼기 때문이라는 걸 기억해야 합니다. 즉 당신들을 그저 영업용 홍보 브로셔처럼 쓰고 있다는 겁니다. 영업이 나쁜 건 아니지요. 하지만 영업이라는 목적성이 노골적으로 강해지니, 새로운 위협을 찾았으므로 사람들을 더 잘 보호할 수 있게 되었다는 마음은 약해지고 있습니다. 우리 모두 사실은 알고 있는 거 아닙니까? 이를 알고도 변하지 않는다면, 당신은 분석가가 아니라 마케터입니다.”

올센이 예를 들었다. “이메일 피싱 공격과 인공지능 기반 공격 도구 중 어떤 것에 첩보 분석가들이 더 관심을 가질까요? 당연히 인공지능이죠. 새로운 위협이기도 하고, 실제 우리가 지금부터 대비해야 하는 위협인 게 맞습니다. 하지만 지금 당장은 이메일 피싱이 더 큰 피해를 일으키고 있음을 잊지 말아야 합니다. 누구나 다 인공지능에 매달린다면, 이메일 피싱에 대해 사람들은 속수무책으로 당할 수밖에 없습니다.”

올센은 “결국 첩보 발굴 및 전파 활동을 함에 있어서 우선순위를 정하는 기준이 바뀌어야 한다는 것”이라고 강연을 정리했다. “실제 피해를 줄이고 방어력을 높이는 데 기여해야 하지, 자신의 남다른 발굴 능력을 과시하는 것에서 끝나면 보안 첩보 분석가로서의 가치를 제대로 발휘하는 게 아닙니다. 보안은 순수학문이 아니라 실용학문입니다. 진짜 도움이 되어야 가치가 생기는 것이라는 걸 기억했으면 좋겠습니다.”

콜리어는 “보안이 고고한 태도를 계속해서 유지하니 사람들이 사이버 보험에 돈을 더 많이 쓰기 시작하고, 보안 업계의 충고를 무시한다”며 “지금 보안 업계가 보험업이나 클라우드 사업체들에 먹힐 위기라는 이야기가 종종 나오는데, 우리가 자초한 면도 적지 않다”고 지적했다. “즉 단순 공익 차원에서 실제적인 첩보를 생성해야 한다는 게 아닙니다. 이건 보안 업계 전체의 생존 문제와도 직결되어 있습니다.”

3줄 요약
1. 블랙햇 아시아에 등장한 강연자, 보안 첩보 시장의 내부 문제 꼬집음.
2. 꼬집힌 내용은 첩보 분석가들 사이에 만연한 ‘잘난 체 문화.’
3. 새로운 것을 먼저 찾아내려고만 하고, 비전문가들 무시하는 태도 자정 필요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상