황범석 이글루시큐리티 응용기술팀장

▲ 황범석 이글루시큐리티 응용기술팀장

[컴퓨터월드] 지난 7월 인터넷 쇼핑몰 인터파크가 해킹을 당해 우리나라 전체 인구의 약 20%에 해당하는 1,030만 명의 개인정보가 유출되는 사건이 발생했다. 주소, 연락처, 이메일 등의 주요 정보가 유출됐을 뿐더러, 유출된 개인정보를 악용한 2차 피해가 발생할 가능성이 남아있는 만큼 국민들의 우려가 날로 높아지고 있는 상황이다.

인터파크는 글로벌 벤더의 이메일 보안 솔루션을 사용하고 있었고, 망 분리가 필수적으로 요구되는 개인정보보호 관리체계(PIMS) 인증을 획득하는 등의 투자를 하고 있었다. 그러나 사고 이전에 진행한 인증 사후 심사에서 보완조치를 요구 받는 등 개인정보를 포함한 기업 주요 정보 관리가 부실했고, 데이터 유출 사실을 뒤늦게 알아차리는 등 탐지 및 대응 능력도 부족했던 것으로 나타났다.

충분한 보안 투자에도 고도화된 보안 사고가 잇달아 발생하는 원인은 무엇일까. 여러 요인이 있겠지만, 가장 근본적인 이유는 IT 환경의 변화로 인해 공격자가 공격할 기회는 점점 많아지고 있는데 비해, 방어자는 한정된 시간과 예산 내에서 이를 모두 막아내야 하고 단 한 번이라도 실패하면 큰 타격을 입는 비대칭적인 역학 관계에 놓여 있기 때문일 것이다.

또한, 장기적인 방어 전략 마련 없이 보안 솔루션 도입만으로 모든 공격을 막아낼 수 있을 것이라 기대하는 안일한 인식도 지적할 만한 부분이다. 인터파크 사고에서 확인했듯이 보안 위협에 대한 지속적인 탐지와 분석, 기업 자산에 대한 철저한 관리는 24시간 365일 중단 없이 이뤄져야 하는 필수적인 요소다.

지피지기 백전백승: 공격자는 물론 방어자 자신에 대한 철저한 이해가 요구된다

절대적으로 불리한 위치를 점하고 있는 방어자가 공격자에 맞서 싸우기 위해서는 공격자는 물론 방어자 자신에 대한 철저한 이해가 수반될 필요가 있다. 그 첫 단추는 공격자가 노릴만한 기업의 데이터 자산 현황을 파악하고 분류하는 것에서부터 시작한다. 기업 데이터가 다양한 형태와 특성을 가지고 있는 만큼 이를 노리는 공격 유형이 다르고, 따라서 이에 적용돼야 하는 보안 기술에도 차이가 있기 때문이다. 즉, 어떤 데이터를 안전하게 보호해야 하는지, 그 데이터의 특성은 무엇이며 이와 같은 특성을 가진 데이터에 대한 공격은 주로 어떤 형태로 발생하는지, 그리고 데이터가 유출됐을 때 발생할 수 있는 피해는 무엇인지에 대한 명확한 인지가 돼 있지 않은 투자는 기업의 보안성을 근본적으로 높이지 못하는 미봉책에 그칠 수도 있다는 얘기다.

▲ 기업이 보호해야 할 주요 자산과 예상되는 피해

다음은 공격자의 행동을 분석하는 단계다. 공격자들은 그들이 표적으로 삼은 정보 자산을 획득하기 위해 다양한 수단과 경로를 이용하고 있다. 방어자는 공격 목표, 수단, 표적, 예상 피해에 따라 공격 유형을 분류하고 이에 최적화 된 형태의 보안 데이터 분석을 수행할 필요가 있다. 공격자의 행동을 보다 정확하게 예측하고, 공격의 연결 고리를 끊어 더 큰 피해가 발생하는 것을 방지하기 위해서다.

▲ 공격 목표, 수단, 표적, 예상 피해에 따른 공격 유형 분류

사용자의 통찰력을 높이는 데이터 시각화의 중요성

이러한 배경에서 보안 데이터 분석의 효율성을 높이기 위한 여러 방안들이 제시되고 있다. 매일 수만 건이 넘게 발생하는 대용량의 보안 데이터를 한정된 시간과 예산 내에서 빠르게 분석하고, 보안 시스템이 제공하는 정보에 기반해 공격의 존재와 활동 여부를 정확하게 파악함으로써 기업의 보안성을 유지할 수 있는 최선의 의사결정을 내리기 위해서다.

특히, 사용자가 의미 있는 정보를 직관적으로 이해할 수 있게 지원하는 데이터 시각화 기능은 보안 데이터 분석에 있어 빼 놓을 수 없는 필수불가결한 요소로 자리 잡고 있다. 보안 시스템이 동일한 정보를 제공한다 할지라도 이것이 공격인지 아닌지, 여러 공격 중 어느 것이 더 위험한지 판단을 내리는 것은 보안 업무를 수행하는 사용자의 몫이기 때문이다.

따라서 사용자가 작은 이상 징후도 넘기지 않고 숨겨있는 의미를 파악할 수 있도록 사용자의 통찰력을 높이는 데이터 시각화 기능 구현에 많은 관심이 집중되고 있는 상황이다. 이에 일반적으로 많이 사용되고 있는 데이터 시각화 유형을 알아보며, 우선적으로 해결해야 할 이슈, 위협요소들을 직관적으로 빠르게 인지하기 위한 방법을 모색해보고자 한다.

주요 데이터 시각화 유형

‘육하원칙’은 어떤 내용을 명확하게 전달하거나 발생한 사건을 역으로 분석하기 위한 여섯 가지 핵심 요소를 의미한다. 보안 데이터를 분석하는데 있어 이 육하원칙을 이용하면 일련의 과정에서 어떤 일이 있었는지 좀 더 효과적으로 이해하는 것이 가능하다. 즉, ‘누가(Who)’, ‘언제(When)’, ‘어디서(Where)’, ‘무엇을(What)’, ‘어떻게(How)’, ‘왜(Why)’ 했는지를 시각화함으로써 보다 구체적이고 직관적인 분석 결과를 도출해낼 수 있게 된다.

▲ 보안 이벤트에 대한 5WH1

1. 데이터 그리드 뷰
일반적으로 가장 많이 사용되는 시각화 유형은 이기종의 보안 장비에서 수집된 방대한 보안 데이터를 표 형식으로 표시하는 ‘데이터 그리드’ 방식이다. 검색된 데이터를 가장 자세하게 볼 수 있는 것이 특징으로 텍스트의 패턴을 서술하기 위한 표기법인 정규 표현식(Regular Expression)에 따라 인덱싱 된 필드들을 표 형태로 나눠봄으로써, 방대한 원본 데이터를 분석하는데 유용하게 활용될 수 있다. 단, 그리드 표현 방식의 경우, 10행을 초과할 시에는 분석이 어려운 단점이 있다.

▲ 데이터 그리드 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

2. 피벗(Pivot) 뷰
‘피벗’은 대용량의 데이터를 처리하기 위한 분석 방식으로 데이터 그리드 분석을 대체해 사용될 수 있다. 최소 10만 행에서 수천만 행에 달하는 대용량의 방화벽, 웹 로그 데이터를 분석하기 위해서는 각각의 필드 별로 정렬해 분석을 할 필요가 있다. 이때 가장 많이 사용되는 정렬 방식은 필드 별 TOP N으로, 원하는 분석을 하기 위한 필드의 값(Value)을 정함으로써 다양한 관점에 따라 분석을 다르게 시뮬레이션 하는 것이 가능하다. 즉, 다양한 필드와의 연관 관계를 보다 쉽게 확인할 수 있게 된다.

▲ 필드 별 TOP N 피벗 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

3. 시계열(Timeline) 뷰
‘시계열 분석’은 규칙적인 시간의 간격을 두고 관측된 값을 차례로 나열하는 것으로, 전체 보안 이벤트를 기간 단위로 나눔으로써 사건이 발생한 시점을 찾는데 유용하게 활용될 수 있다. 특히, 이기종 보안 시스템에서 동일한 시간대에 생성된 데이터들을 통합적으로 시계열 분석함으로써 시스템 간의 상관관계를 파악하는데 효과적으로 쓰일 수 있다.

▲ 단일 시계열 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

▲ 이기종 이벤트 간 멀티 시계열 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

4. 네트워크 토폴로지(Network Topology) 뷰
‘네크워크 토폴로지’는 유·무선을 통해 연결된 네트워크상에 있는 다양한 요소들의 배치 및 연결 방식을 지도와 같이 이미지화한 것으로, 이기종의 보안 시스템에서 수집된 보안 데이터를 상관 분석하는데 유용하게 쓰일 수 있다. IP 검색은 물론 정규 표현식과 같은 정교한 검색 조건을 통해 각 노드에 남겨진 흔적을 찾아냄으로써 공격을 추적하는 것이 가능하다. 또한, 네트워크 토폴로지의 알람 기능을 통해 실시간 침해 여부를 육안으로 쉽게 확인할 수 있다.

▲ 네트워크 토폴로지 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

5. 리스크, 스코어링 뷰
지금까지 소개한 ‘데이터 그리드’, ‘피벗’, ‘시계열’, ‘네트워크 토폴로지’ 방식이 실시간으로 탐지, 차단되는 보안 이벤트 분석에 중점을 둔 것과 달리, ‘리스크’와 ‘스코어링’ 뷰는 기업의 전체 보안 현황을 평가하고 점수화하는데 최적화돼 있다. 예로, 이글루시큐리티의 통합보안관리 솔루션 ‘SPiDER TM’의 경우, 사용자가 기업의 보안 현황을 즉각적으로 확인할 수 있도록 정상>관심>주의>경계>심각의 5단계로 위험도를 평가한 리스크 뷰를 제공한다. 또한, 위험도 평가 조건을 보다 상세하게 확인하고자 하는 사용자를 위해 객관적 평가 지표를 제시하는 스코어링 뷰를 제공함으로써, 위험도의 신뢰성을 확보하고 있다.

▲ 리스크 산정 예시, 출처: 이글루시큐리티 SPiDER TM

▲ 리스크 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

▲ 스코어링 뷰 예시, 출처: 이글루시큐리티 SPiDER TM

6. 인터랙티브 대시보드(Interactive Dashboard)
방어자는 공격 행위를 완벽하게 파악할 수 있는 모든 정보를 제공받고 이를 실시간으로 분석할 수 있어야 한다. ‘인터랙티브 대시보드’는 기업 보안에 영향을 미칠 수 있는 의미 있는 핵심 정보, 즉 ‘보안 인텔리전스(Security Intelligence)’를 한 눈에 직관적으로 확인할 수 있게 하는데 중점을 두고 있다. 실시간 장애 및 위협 요소 상황, 악성 URL/IP, 취약 포트, 지속되는 혹은 종료된 경보 리스트, 로그/네트워크 패킷 상세 분석 진행 상태 등 사용자가 확인하고자 하는 모든 정보의 흐름을 즉각적으로 확인할 수 있게 지원함으로써, 공격지속시간을 단축시키고 사용자의 편의성을 향상시킨다.

사용자의 업무와 역량에 차이가 있는 만큼, ‘인터랙티브 대시보드’의 효용성을 높이기 위해서는 각 사용자에 최적화된 형태로 콘텐츠를 구성할 수 있는 유연성이 뒷받침될 필요가 있다. 웹 사이트 위험도를 산정하는 경우, 사용자는 해당 룰 세트에 따라 확보하고 있는 악성코드, 평판 DB, 모니터링 대상의 인프라 운영환경 정보, 외부 위협 정보를 한 화면에서 동시에 확인하고, 이를 통합 분석해 공격에 보다 기민하게 대응할 수 있게 된다. 업무에 최적화된 형태로 대시보드를 설정함으로써 보다 편리하고 빠른 업무 처리가 가능해지는 것이다.

▲ 인터랙티브 대시보드 예시, 출처: 이글루시큐리티 SPiDER TM

“보안 시스템이 제공하는 정보를 판단하는 보안 전문가의 존재 가치는 더욱 높아질 것”

오늘날, 데이터 분석에 있어 사람의 역할은 점점 축소되고 있는 추세다. 분석해야 할 정보가 기하급수적으로 증가하고 보안 위협이 날로 지능화되고 있는 만큼, 고도화된 보안 시스템을 통해 사람이 일일이 들여다봐야 했던 정보들을 보다 빠르게 자동적으로 분석하는 시도가 계속되고 있기 때문이다.

그러나 보안 시스템이 분석, 제공하는 정보를 정확하게 판단하기 위해서는 다년간 공격자와 맞서 싸우며 축적한 지식과 경험이 필수적으로 요구된다. 공격의 주체 역시 사람이며 사람의 감정, 습관 등 심리를 파고드는 공격이 지속적으로 증가하고 있기 때문이다.

이에 보안 위협에 대처하는 보안 전문가의 중요성은 더 커질 것으로 보인다. 이미 유리한 고지를 선점한 공격자에 맞서 전쟁의 흐름을 완전히 바꾸기 위해서는 장기적이고 복합적인 보안 데이터 분석과 더불어 보안 시스템이 제공하는 분석 정보에서 의미 있는 가치를 찾아내 올바른 의사결정을 내리는 사람이 반드시 필요하다.

현실적으로 모든 보안 관리자가 대용량의 보안 데이터를 분석해보고 공격자와 맞서 싸워본 경험을 보유한 것은 아닌 만큼, 기업은 보안 관리자의 통찰력을 한 단계 높여줄 수 있는 보안 전략을 적극적으로 받아들일 필요가 있다고 생각된다. 이것이 바로 데이터 분석 결과를 전달하는 마지막 단계로서 사용자가 보다 정확한 의사결정을 내릴 수 있게 도와주는 데이터 시각화의 가치에 주목해야 하는 이유다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지