김미희 이글루시큐리티 보안분석팀장

[컴퓨터월드]

▲ 김미희 이글루시큐리티 보안분석팀장


보안 솔루션, 다다익선?

지난 해 인기리에 방영됐던 tvN 예능 프로그램 ‘알아두면 쓸데없는 신비한 잡학사전(이하 알쓸신잡)’은 분야를 넘나드는 잡학박사들이 국내를 여행하면서 다양한 관점으로 이야기를 전달하는 색다른 시도로 큰 화제가 된 바 있다. ‘잡학사전’이라는 이름에 걸맞게 프로그램에서 다뤄지는 주제는 정치, 과학, 철학, 역사 등 매우 다양했는데 인공지능, 사물인터넷, 빅데이터, 모바일을 기반으로 한 4차 산업혁명 또한 그 중 하나였다. 패널들은 4차 산업혁명이 도래함에 따라 모든 사물의 정보가 데이터화되고 인공지능을 토대로 저비용으로도 고속의 데이터 분석이 가능해지면서 야기되는 인간 노동력의 가치하락에 대해 이야기를 나눴다.

그러나 사실 4차 산업혁명이 수반하는 보다 큰 문제는 데이터화된 사물들의 ‘보안 위협’이다. 다양한 IT인프라 활용에 따라 정보에 대한 접근 방식이 다양해진 만큼 공격자가 침투할 수 있는 경로도 한층 더 많아졌기 때문이다. 네트워크 프린터기기 해킹을 통한 정보유출, 미라이 봇넷(Mirai Botnet)을 이용한 DDoS, 스마트 냉장고나 TV를 통한 도청, 라우터를 통한 악성코드 유포 등 멀티벡터 기반의 대규모 보안사고가 꾸준히 증가하면서 데이터화된 사물 정보는 우리가 기존에 경험하지 못했던 새로운 보안 위협으로 대두되고 있다.

이렇듯 빠르게 변화하는 IT환경에서 사이버 공격에 대응하기 위해 보안업체들은 다양한 솔루션을 속속 개발하고 있다. 그리고 기업은 각각의 환경에 맞는 솔루션을 도입해 사이버공격에 대응하고 있으나 보안 솔루션의 역량과 한계에 대한 적절한 이해 없이 구색 맞추기식 도입을 하거나 비슷한 형태의 솔루션을 도입하는 것은 오히려 대응 프로세스의 복잡성만 심화시키는 역효과를 초래하기 마련이다. 이에 다양한 보안 솔루션 적용으로 인해 발생되는 문제점을 도출해보고 직면한 보안 위협에 보다 효율적으로 대응할 수 있는 방안에 대해 살펴보는 시간을 가져보고자 한다.


보안 오케스트레이션과 자동화의 등장

기업은 보안 위협으로부터 기업의 소중한 정보자산 및 인프라를 보호하기 위해 실시간 감시 및 분석, 대응이 가능한 보안관제센터(Security Operation Center, SOC)를 구축하고 보안 솔루션을 도입해 정보보안 인프라의 유지 및 관리를 위한 보안 관리 서비스(Managed Security Service, MSS)를 이용하고 있다.

그러나 최근 지능형 지속 위협(APT) 공격의 증가로 인해 타깃형 공격이나 파워셸(PowerShell), DDE(Dynamic Data Exchange) 등 시그니처 기반의 탐지 방식에서 탐지하기 어려운 공격벡터가 증가하면서 새로운 탐지 방식이 필요하게 됐다. 또 기존의 네트워크나 엔드포인트 솔루션에서 주로 사용하던 시그니처 기반의 탐지방식 이외에 사용자 행위 분석(User Behavior Analysis, 이하 UBA)을 위한 엔드포인트 탐지 및 대응(Endpoint Detection and Response, 이하 EDR)기술이 각광받으면서 보안관리 서비스 영역에서 모니터링해야 하는 범위가 일반 사용자 단말부터 네트워크까지 확대됐다.

모니터링 대상의 증가는 다수의 보안 솔루션에서 탐지되는 탐지 이벤트의 증가로 이어졌다. 여기서 탐지 이벤트는 ▲실제 공격을 탐지하는 TP(True Positive, 정탐) ▲정상 트래픽을 공격으로 오인하여 차단하는 FP(False Positive, 오탐)가 결합된 것을 의미하기 때문에 탐지 이벤트의 증가는 관제요원이 수동으로 정탐과 오탐을 구분해 처리하는 시간이 ,증가하는 것을 의미하게 된다.

따라서 급변하는 보안 환경 속에서 보안관제센터(SOC)를 효율적으로 운영하기 위해서는 적절한 탐지 및 대응 관리(Managed Detection and Response, MDR)가 요구된다. 단순 모니터링 중심이었던 전통적인 MSS를 넘어 실시간으로 대응 및 조치를 수행하며 얼마나 빨리 공격을 탐지하고 대응하느냐에 중심을 둔 MDR MSS의 필요성이 높아진 것이다. 그리고 신속한 탐지 및 대응을 위해서는 결국 사람(People), 프로세스/프로시저(Process/Procedure), 기술(Technology)의 3가지 요소가 잘 맞물려야 하며 이를 어떻게 운영하는가에 따라 서로 다른 결과가 도출될 수 있다.

▲ 사람, 프로세스, 기술의 관계(출처: 이글루시큐리티 보안분석팀)

사람, 프로세스, 기술의 교차점이자 목표인 위협 인텔리전스(Threat Intelligence)를 향상시키기 위해 데이터를 수집하고 표준화를 통해 소모적인 작업의 자동화로 평균 해결 시간(Mean Time to Resolution, MTTP)을 개선할 수 있는 프로세스나 플랫폼을 ‘보안 오케스트레이션과 자동화(Security Orchestration and Automation, 이하 SOA)’라고 부른다.

위키피디아(Wikipedia)에 따르면, 오케스트레이션(Orchestration)을 ‘제어 이론 요소를 활용한 자동화 과정 또는 시스템에 나타날 수 있는 효과(Orchestration is largely the effect of automation or systems deploying elements of control theory)’라고 정의하고 있다.

즉, SOA는 보안에 오케스트레이션 개념을 접목시키면서 보안 프로세스의 자동화를 반영한 표현인 것이다. 앞서 언급했듯이 최근의 보안은 빠른 탐지와 빠른 대응에 초점이 맞춰져 있는 만큼, 보안의 세부 기능들을 종합해 표준화해 체계적으로 관리하고 자동화함으로써 효율성을 높여주는 SOA는 오늘날 직면한 보안 위협을 대응하기 위한 가장 효과적인 대안으로 떠오르고 있다.

SOA의 개념에 대해 살펴보면, 기존의 통합보안관제솔루션인 SIEM(Security Information & Event Management)과 다소 유사하다고 느껴질 수 있다. 그러나 2015년 가트너에서 발간한 ‘보안 운영, 분석 및 리포팅을 위한 혁신적인 기술 인사이트 보고서(Innovation Tech Insight for Security Operations, Analytics and Reporting)’의 ‘보안 운영, 분석 및 리포팅 스택(Security Operations, Analytics and Reporting Stack)’을 보면, 이 둘의 차이점은 명확히 구분된다.

▲ 보안 운영, 분석 및 리포팅 스택(출처: 가트너)

일반적으로 SIEM이 빅데이터 수준의 데이터를 심층 분석하고 그 결과를 토대로 한 탐지(Detection)를 수행하는 것이라고 한다면, SOA는 정책(Polices), 프로세스(Process), 플레이북(Playbooks) 등을 토대로 보안 프로세스의 절차를 개선하고 자동으로 수행하는 작업을 의미한다.

예를 들어 최근 한 달간 발생한 스캐닝(Scanning) 공격의 결과를 조회하려는 경우, SIEM에서는 검색 날짜를 한 달로 설정하고 스캐닝에 해당하는 공격 패턴을 선택해 조회하는 과정을 거친다. 이 과정에서 내부적으로는 조회를 위한 쿼리가 동작해 결과를 출력한다. 반면 동일한 업무를 SOA관점에서는 다음과 같이 설명할 수 있다. 조회하고자 하는 기간, 스캐닝이라는 공격을 인지할 수 있는 보안 솔루션의 목록, 보안 솔루션에서 확인할 수 있는 정보, 도출된 정보를 바탕으로 결과물 확인 방법, 결과물을 토대로 한 대응 방안 등 특정 기간 동안 특정 공격에 관련된 조회 및 결과 도출에 대한 전반적인 절차를 프로세스화시킴으로써 자동화하는 것이다.

▲ 보안 성숙도 모델(출처: 트러스트웨이브)

그렇기 때문에 보안 오케스트레이션(Security Orchestration)의 범위는 다음과 같다. 로그와 이벤트 기반의 전통적인 MSS(Traditional MSS)에서는 단일 장비의 로그를 관리하고 수집, 모니터링해 자동으로 경보를 발생시켰지만, MDR MSS는 엔드포인트 기반의 데이터와 네트워크 기반의 데이터 수집을 통해 사용자의 행위를 분석할 수 있게 됐고 더 나아가 위협 사냥(Threat Hunting)이 가능해졌다. 보다 넓은 범위의 데이터 수집을 기반으로 보안 오케스트레이션 영역이 생겨나게 된 것이다.


보안 오케스트레이션과 자동화 활용 사례

보안관리서비스(MSS)에 SOA를 활용하면, 보안 위협 분석의 자동화를 통한 관제 프로세스 내재화로 관제 역량의 향상, 방어 체계의 강화, 침해사고 대응능력 강화 등의 효과를 얻을 수 있다. SOA를 활용한 보안관제서비스의 자동화 및 효율성을 제고시킬 수 있는 세부 방안에 대해 함께 살펴보도록 하자.

SOA를 구성하기 위해서는 대시보드, 플레이북, 침해대응(Incident Response), 보고서(Reporting) 등이 필요로 하게 된다. 그리고 그 가운데 가장 중요한 요소로 플레이북을 꼽을 수 있다. 여기서 말하는 플레이북이란 사용사례(Use Case), 흐름도(Flow Chart), 자동화(Automation), 작업(Jobs) 등으로, 간단히 말하면 업무에 대한 프로세스 정리서라고 할 수 있다. 특정 사건이 발생했을 때를 가정하고 이에 대한 행동 수칙이나 수행 과제, 프로세스를 사전에 정리한 대응 가이드를 의미한다.

침해대응 과정에 SOA를 적용하기 위해 플레이북을 구성한 사례와 그 방법을 소개하고자 한다. 이글루시큐리티는 NIST의 ‘사이버 보안 프레임워크(Cybersecurity Framework)’를 차용해 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)의 5단계로 분류되는 보안관제센터(SOC)관점의 ‘사이버 보안 프레임워크’에 기반한 침해대응서비스를 제공하고 있다.

▲ 이글루 사이버 보안 프레임워크(출처: 이글루시큐리티 보안분석팀)

5단계의 ‘사이버 보안 프레임워크’를 SOA에 적용하기 위해서는 카테고리 별로 상세 업무 프로세스를 업무 흐름도 형식으로 도식화하는 과정이 필요하다. IACD(Integrated Adaptive Cyber Defense)에서는 입력 데이터에 의해 하나 이상의 이벤트에서 트리거(trigger)되는 하나 이상의 동작을 설명하는 규칙의 집합으로 플레이북을 정의하고 있다.

플레이북의 구성요소로 ▲시작조건(Initiating condition) ▲프로세스 단계(Process Steps) ▲모범사례 및 개별정책(Best practices and local policies) ▲최종 상태(End state) ▲거버넌스 및 규제요구사항 관련(Relation to governance and regulatory requirements)을 들 수 있는데, 이와 같은 구성요소를 모두 포함해 보안관제센터 운영 시에 탐지 이벤트가 발생했을 경우 침해여부를 인지하고 처리하는 과정을 플레이북으로 구성해보도록 하자.

▲ 침해 대응 프로세스와 보안 서비스 관리(출처: 이글루시큐리티 보안분석팀)

먼저 침해사고 대응은 7단계 프로세스 ▲보안관제 모니터링(Managed Security Service) ▲위협 인텔리전스 ▲침해사고 발생(Incident Response) ▲위협 헌팅(Threat Hunting)를 통한 이벤트 탐지 ▲이벤트 위험도 산정 ▲침해대응(Incident Response)프로세스로 전달 ▲침해사고 분석 및 대응 ▲개선방안 수립 ▲상황전파 ▲보고서 작성 등으로 분류할 수 있다. 그리고 플레이북의 요소 관점에서 ‘침해사고 분석 및 대응’ 단계를 공격 유형별로 세분화할 필요가 있는데 이는 ‘침해 대응 플레이북 콘테스트(Incident response playbooks contest)’에 제출된 아이디어 중 IOC지표를 활용해 피싱(Phishing) 메일을 탐지할 수 있도록 한 우승 사례를 바탕으로 이야기해보고자 한다.

▲ 피싱 플레이북 by nihalpasham(출처: Secopshub)

기본적인 구성은 <이미지5>에서와 같이 피싱 메일 탐지를 위한 전체 프로세스에 대해 단계화를 거치는 작업이다. 그러나 여기서 강조돼야 하는 점은 각 단계에서 해당 업무를 수행해야 하는 프로그램(Anti-Virus, Firewall, IDS/IPS, WAF, EDR등)의 수행 업무에 대해서도 상세히 명시돼야 한다는 것이다.

‘침해 대응 플레이북 콘테스트(Incident response playbooks contest)’에 닉네임 ‘니할파샴(nihalpasham)’이 제출한 피싱 플레이북을 보면 동작 단계를 크게 3가지 ▲1단계 이벤트 내에 파일해시(Filehash) 값이 존재하는지 확인 ▲2단계 파일해시 값을 ‘바이러스토털(VirusTotal)’, 쓰렛익스퍼트(ThreatExpert) 등의 평판조회 정보와 비교, ▲3단계 조회결과가 있는 경우 결과 통보 또는 조회결과가 없는 경우 샌드박스(Sandbox) 기반의 분석 수행 후 결과 통보 등으로 분류했으며 각 단계별로 수행돼야 하는 업무들 역시 세세하게 기재했다.


SOC에서 효율적인 SOA를 사용하기 위해서는?

미국의 해커이자 보안 컨설턴트인 케빈 미트닉(Kevin Mitnick)은 “보안은 상품이 아니다. 그것은 사람, 정책 그리고 기술로 구성된다(Security is not a product, consists of policies, people and technology)”고 말했다. 이는 보안위협 대응 프로세스를 구축하는데 있어 솔루션은 보조하는 역할에 지나지 않으며 실질적으로 탐지하고 대응수준을 결정하는 것은 보안 관제를 운영하고 있는 보안 전문가의 지식과 기술력에 기반 한다는 것을 시사한다.

보안관제센터(SOC)에 보안 오케스트레이션(Security Orchestration)을 적용시키고자 할 때 역시 마찬가지다. 효율적인 SOA 활용을 위해서는 기업의 비즈니스 분석, 적용돼 있는 보안 솔루션 목록 및 기능, 운영 프로세스 등의 현행화가 선행돼야 하며, 이를 토대로 자동화된 탐지 및 대응 프로세스 적용이 가능하다. 결국 보다 신속한 대응을 위해 보안관제 서비스 행위 자체는 자동화할 수 있지만 그것과 관련된 수많은 결정은 여전히 보안 전문가의 몫이라는 사실을 잊지 않았으면 하는 바람이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지