이글루코퍼레이션 기술지원센터 황범석 수석

이글루코퍼레이션 기술지원센터 황범석 수석
이글루코퍼레이션 기술지원센터 황범석 수석

[아이티데일리] 최근 보안업계에서는 날로 진화하는 보안 위협에 대응하기 위한 색다른 시도가 끊이질 않고 있다. 이미 너무나 친숙한 탓에 다시금 생각해 볼 필요조차 느끼지 못했던 각종 보안 용어의 기본적인 개념부터, 공격의 정의와 이를 대하는 방식, 또 대응을 위한 전략과 기술 등 각양각색의 관점에서 변화를 꾀하고 있는 움직임으로 미뤄 볼 때, 보안이 그 어느 때보다 중요해진 시점임을 실감하게 된다. 이러한 흐름에 따라, 필자 역시 다시 기본으로 돌아와 정보 보안의 사전적 정의를 살펴보고자 한다.


정보 보안에 대한 재정의가 필요한 시점

정보 보안이란 정보통신망 및 정보시스템을 통해 수집, 가공, 저장, 검색, 송·수신되는 정보의 유출이나 위·변조, 훼손 등을 방지하기 위해 관리적·물리적·기술적 수단을 강구하는 일체의 행위를 말한다. 이에 정보 보안 담당자의 역할은 보안 규정에 맞게 정보시스템이 구축 및 운영되도록 조치하고, 보안 사고 예방을 위한 구체적인 계획을 수립하고 실천하는 데 있다.

보다 자세하게는 내부 IT 자산에 대한 파악, 운영체제(OS) 설정 및 사용자 권한 현황 파악, 소프트웨어 설치 현황 파악 등 조직 내 IT 인프라 환경에 대한 정확한 인지와 통제를 기반으로 침해 사고나 취약점 발생 시 즉각적인 조치를 취해야 한다. 또 보안 기능이 있는 제품에 대해 안전성을 검증하는 활동인 ‘보안 적합성 검증’을 수행하고, 정보 보안 정책에 대한 이행 여부를 확인하는 ‘정보 보안 관리 실태 평가’를 수행하는 등 정기적인 현황 확인 및 대응이 이뤄져야 한다. 마지막으로 사이버 공격을 실시간으로 탐지, 분석, 대응하는 일련의 활동인 보안관제는 정보 보안의 핵심 업무로 여겨지며, 날로 고도화되는 공격에 따라 보안관제 모니터링의 중요성은 더욱 부각되는 추세다.

여기서 더 나아가 코로나19가 촉발한 디지털 전환은 이러한 정보 보안의 범위를 한층 넓히는 계기가 됐다. 과거 정보보호시스템을 비롯한 각종 정보시스템들은 대체로 조직이 자체적으로 보유한 전산실 서버에 직접 설치돼 운영됐다. 그러나 오늘날 기업 인프라는 기존 온프레미스 환경에서 클라우드 환경, 온프레미스와 클라우드가 혼재된 하이브리드 환경, 메타버스와 같은 가상 환경으로까지 다변화하고 있다. 다시 말해 다양해진 인프라 환경에 따라 오늘날 보안 운영 환경은 한층 복잡해졌고, 이러한 변화에 발맞춰 정교히 진화하는 보안 위협과 더욱 까다로워지는 컴플라이언스로 인해 정보 보안에 대한 재정의가 필요한 시점이 도래했다. 그리고 그 첫 단계로는, 자산관리 범위의 재설정이 있다. 달라지는 정보 보안 패러다임에 맞는 새로운 자산관리가 필요하다는 말이다.

그림1. 확대되는 정보시스템 대상 (출처: 이글루코퍼레이션)
그림1. 확대되는 정보시스템 대상 (출처: 이글루코퍼레이션)

통합된 자산 및 취약점 관리의 필요성

먼저 정보 보안 담당자는 조직 내 IT 자산 중 컴플라이언스와 연관된 자산이 무엇인지 사전에 파악하고, 주요 자산에 대한 현행화 및 관리되는 자산에 대한 취약점 진단 업무를 수행해야 한다. 그러나 대다수의 경우, 자산 위협 정보가 수작업으로 관리되고 있으며 매년 강화되고 복잡해지는 정보보호 관련 법규 및 컴플라이언스로 인해 대상 파악부터 진단 및 대응까지, 취약점 관리 전반적인 과정에서 어려움을 겪고 있는 게 현실이다. 그뿐만 아니라 추가되는 자산에 대한 진단 미시행 및 설치된 소프트웨어 식별의 어려움으로 침해 사고 대응에도 지연을 초래하고 있다.

사실 취약점 관리에 대한 중요성은 아무리 강조해도 지나치지 않다. 지능화된 악성코드를 활용한 내부 해킹 공격에 필수적으로 악용되는 게 다름 아닌 OS 취약점 또는 애플리케이션(Applicaition) 취약점이기 때문이다. 대개 이러한 취약점 공격은 한 번의 공격에서 끝나는 것이 아니라 1차 공격 지점을 또다시 악용해 이번에는 ‘내부로부터의 공격’으로 2차, 3차 감염을 야기하며 보안 사고의 규모를 키워가는 게 일반적이다. 이러한 배경에서, 조직 내 자산에 대한 취약점을 사전에 파악하고 조치하는 것이 보안 사고를 예방하는 가장 근본적인 방법이라고도 할 수 있겠다.

그림2. 취약점을 통해 사이버 공격이 전파되는 과정 (출처: 이글루코퍼레이션)
그림2. 취약점을 통해 사이버 공격이 전파되는 과정 (출처: 이글루코퍼레이션)

이렇듯 자산 및 취약점 관리의 현실적인 어려움과 그로 인해 야기되는 사이버 공격의 광범위한 확산까지, 오늘날 정보 보안 담당자가 직면한 문제를 어떻게 해결할 수 있을까. 핵심은 통합에 있다. 개별적으로 파편화돼 있는 IT 자산을 목록화하고 통합적으로 관리함으로써 누락 없는 보안 진단 및 취약점 점검을 수행하고, 이를 통해 취약 자산에 대한 신속한 대응과 보안 위협에 대한 효과적인 탐지까지 가능하도록 하는 것이다. 다시 말해 기업 인프라의 보안성 확보를 위해서는, 내부 자산의 보안 현황 파악을 기반으로 한 통합 관리 전략이 요구되며, 이는 ▲계획 및 팀 구성 ▲보안점검 항목 최신화 ▲정보시스템 대상 적용 ▲수행 등의 4단계를 걸쳐 체계적으로 수립될 수 있다.

그림3. 자산 통합보안 관리 프로세스 (출처: 이글루코퍼레이션)
그림3. 자산 통합보안 관리 프로세스 (출처: 이글루코퍼레이션)

위 프로세스를 통해 자산의 통합보안 관리를 위한 기반이 마련됐다면, 그다음은 이와 연계해 보안관제체계를 한층 고도화할 차례다.


SOAR 중심의 차세대 보안관제체계

그에 앞서 오늘날의 보안관제 현황을 먼저 짚어보자. 최근 내부 기밀정보 유출이나 사회기반시설 공격과 같은 직접적인 공격으로 인한 피해가 급등하고 있는 것에 반해, 여전히 대다수의 보안관제센터(SOC)는 소수의 전문 인력에 의한 수동 대응 중심으로 운영되고 있는 실정이다. 날로 진화를 거듭하는 사이버 공격에 발맞춰 보안관제 방식에도 변화가 요구된다.

이와 같은 맥락에서 오늘날 보안관제 패러다임은 보안 정보 이벤트 관리(SIEM) 기반의 빅데이터 보안관제에서 인공지능(AI)과 보안 오케스트레이션·자동화·대응(SOAR)을 더한 지능형 보안관제체계로의 변화를 꾀하고 있다. 특히 한정된 인력과 예산으로 SOC를 보다 효율적으로 운영하기 위한 방안으로 플레이북(Playbook)을 기반으로 한 자동 대응이 핵심으로 부각되고 있다.

기존 SIEM 중심의 보안관제체계에서 나아가 AI, 위협 인텔리전스(Threat Intelligence) 등 공격 유형별 대응을 위한 수많은 요소들을 SOAR 중심으로 결합한다면, 플레이북 기반의 ‘자동 대응’ 영역과 보안 전문가가 직접 수행하는 ‘전문가 대응’ 영역으로 업무를 배분해 SOC의 효율성을 한층 높일 수 있게 된다. 단순 반복적인 프로세스를 표준화된 절차에 따라 자동으로 처리함으로써 정보 보안 담당자는 분석 업무와 같이 전문가의 판단이 반드시 요구되는 중요도 높은 업무에 집중할 수 있게 된다.

그림4. SOAR 아키텍처 (출처: 이글루코퍼레이션)
그림4. SOAR 아키텍처 (출처: 이글루코퍼레이션)

한마디로 SOAR를 활용한다면, 보안관제 오케스트레이션(Orchestration)의 구현을 통한 차세대 보안관제체계 수립이 가능해진다. 국내외 이기종 보안 솔루션과 업무 시스템의 연동을 통해 보다 통합적인 대응을 실현할 수 있고, 보안 위협 유형별 최적의 대응 방안을 매뉴얼화한 플레이북을 활용해 보안 위협 탐지부터 대응에 이르는 과정을 실질적으로 단축시켜 기존 SOC가 직면한 여러 문제점들을 개선할 수 있다.

그림5. SOAR를 통해 자동화된 침해대응 프로세스 (출처: 이글루코퍼레이션)
그림5. SOAR를 통해 자동화된 침해대응 프로세스 (출처: 이글루코퍼레이션)

여기서 한 단계 더, 차세대 보안관제체계의 완성을 위해서는…

지난해 발견된 오픈소스 소프트웨어 취약점 로그포제이(Log4j)는 사상 최악의 보안 취약점으로 손꼽히며 전 세계 보안업계를 긴장시켰다. 로그포제이 공격 발생 시 SOC가 할 수 있는 대응은 크게 두 갈래로 나뉜다. 먼저 침입방지시스템(IPS)이나 웹방화벽(WAF)을 통해 탐지한 후 정보보안 담당자가 수동으로 대응하는 것이 가장 기본적인 대응이며, 여기서 한 발짝 더 나아가 SOAR를 도입한 SOC의 경우엔 플레이북을 통해 자동으로 공격자 IP에 대한 차단을 수행하는 방법이 있다.

그림6. 로그포제이 공격에 대한 플레이북 예시 (출처: 이글루코퍼레이션 SPiDER SOAR)
그림6. 로그포제이 공격에 대한 플레이북 예시 (출처: 이글루코퍼레이션 SPiDER SOAR)

이 말인즉슨 SOAR에 앞서 강조한 자산 및 취약점 정보에 대한 통합적인 관리가 더해진다면 더욱 발전된 플레이북 제작 및 대응 업무를 수행할 수 있고, 결국엔 보안 위협의 평가에서부터 대응까지 한층 더 강화된 보안체계를 구현해낼 수 있다는 것이다. 또 다른 말로는 차세대 보안관제체계의 완성을 위해서는 이러한 IT 자산관리 및 취약점 진단을 수행해 주는 솔루션과의 연동이 필수불가결한 조건이라고도 할 수 있겠다. 둘의 유기적인 연동이 선행돼야만 내부 자산 및 취약점에 대한 실시간 확인 및 조치까지를 일원화할 수 있고, 이를 통해 보다 근본적인 대응이 가능해지기 때문이다.

그림7. 로그포제이 공격에 대한 탐지 결과 예시 (출처: 이글루코퍼레이션 Smart[Guard])
그림7. 로그포제이 공격에 대한 탐지 결과 예시 (출처: 이글루코퍼레이션 Smart[Guard])

날이 갈수록 고도화되고 다양해지는 보안 위협에 선제적으로 대응하기 위해서는 단편적인 보안 기술 적용을 넘어 보안 환경 전반을 아우르는 통합적인 보안관제체계를 수립할 필요가 있다. 현재 운영 중인 IT 인프라 내 중요한 자산이 무엇인지 파악하고, 각 자산에 대한 정보 및 취약점 관리를 현행화해, 이를 SOAR와 연동 및 적용함으로써 차세대 SOC로의 전환을 꾀해보길 바라는 바다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지