보안 시스템 제대로 작동하는지 확인하는 BAS 필요
[데이터넷] 보안 조직과 예산이 충분해 정기적인 취약점 점검과 이행으로 IT 시스템의 공격면을 줄이고 있는 기업이라 해서 보안 우려에서 자유로운 것은 아니다. 최선을 다해 공격 가능성을 제거했지만 제거하지 못한 보안홀이 있는지, 보안 시스템과 정책에 파악하지 못했던 문제가 있는지 확인하는 과정도 필요하다.
독감 예방을 위해 미량의 바이러스를 주입해 면역력 을 갖게 하듯, IT 시스템도 일정한 영역에서 공격을 진행해 취약점 문제가 해결됐는지, 잘못된 설정이나 사용자 실수를 유도할 수있는 가능성이 있는지 등을 확인하는 프로세스가 마련돼야 한다. 이를 모의해킹, 침투 테스트라 하는데, 국가주요시설은 연 1회 이상 침투테스트를 실시해 주요 시스템이 잘 보호되고 있는지 확인 해야 한다.
대부분의 침투테스트는 전문기업의 인력들이 정해진 기간 동안, 정해진 시스템을 대상으로, 미리 정해놓은 시나리오대로 공격을 진행해보고 공격 가능 여부를 점검한다. 예산과 시간의 한계 때문에 전체 시스템에 대 해 진행하지 못하고 일부 중요 시스템에 대해서만 진행한다. 그러나 대부분의 공격은 정기적으로 테스트하고 관리하는 중요 시스템이 아니라 중요하지 않아 잘 관리 하지 않은 시스템을 통해 진행된다. 따라서 중요 시스 템 일부에 대해서만 침투테스트 하는 것은 완벽한 보안 점검이 가능하지 않다.
충분한 예산과 시간을 확보한 상태에서 전문인력을 투입한다 해서 완벽해지는 것도 아니다. 침투테스트 인력의 전문성 수준에 따라 탐지 결과가 크게 달라질 수 있으며, 전문가가 미처 발견하지 못한 취약점도 있을 수 있다. 또한 레드팀의 실수나 테스트 설계를 잘못해 실제 운영 서비스가 침해를 당하는 사고도 간혹 발생한다.
사람에 의존하는 침투테스트는 기업·기관이 필요로 하는 시기에 테스트를 이용하지 못한다는 문제도 있다. 침투테스트는 몇 달 적어도 몇 주 전에 계획해 서비스 기업과 계약하고 테스트 범위와 시나리오, 투입되는 인력의 규모 등을 정해야 한다. 긴급한 보안 문제가 발생하거나 중요한 신규 서비스 출시 전 테스트를 해야 할 때, 규제준수를 위해 정해진 기한 내에 테스트를 완 료해야 할 때 적합한 서비스 기업을 찾지 못할 경우도 있다.
전사·실시간 침투테스트 가능한 자동화 툴 필요
자동화된 침투테스트 솔루션을 이용하면 상기 제기된 문제를 상당부분 해결할 수 있다. 화이트해커, 레드팀 인력들도 자동화된 도구를 이용해 테스트 결과의 정확도를 높인다. 이 솔루션을 기업·기관이 직접 운영할 경우, 적시에, 더 많은 시스템을 대상으로 테스트할 수 있으며, 테스트에 투입되는 인력이 더 높은 수준의 위협에 집중할 수 있도록 만든다.
침투테스트 도구는 정해진 시나리오로 공격을 진행해 공격자가 침입할 수 있는지 여부를 알려주며 해결 방안도 제시한다. 전문성이 낮은 침투테스트 인력도 중급 이상 수준의 테스트 결과를 도출할 수 있도록 하기 때문에 인력의 전문성 수준을 보장하지 못한다는 문제도 해결할 수 있다. 또한 사람이 보지 못한 섀도우IT 까지 파악할 수 있어 보안 가시성을 넓힐 수 있다는 장점도 있다.
그러나 침투테스트 툴은 정해진 시나리오대로만 공격하기 때문에 최신의 지능형 공격에 대한 답을 주지 못한다. 공격 형태는 ‘정해진’ 것이 없다. 공격자들은 목표 시스템을 정찰해 가장 효과적인 침투 방법을 정할 뿐 아니라, 목표를 달성할 때까지 다른 방법을 사용하 면서 공격한다. 정해진 시나리오를 따르지 않고 예상하지 못한 다양한 방법을 이용한다.
잘 알려진 대규모 공격은 대부분 보안대책이 충분히 마련된 기업·기관에서 발생했다. 보안 시스템을 잘 갖추고 컴플라이언스에 따라 정기적인 취약점 점검, 침투 테스트를 이행해 온 기업들도 침해를 당했는데, 새로운 공격 방식뿐 아니라 잘 알려진 공격 방식, 오래된 공 격 방식을 통해서도 피해를 입었다.
그래서 금융기관이나 일부 중요 시설은 화이트해커를 고용해 시나리오를 정하지 않고 실제 공격자와 같은 방식으로 공격하는 침투테스트를 실시하기도 한다. 이를 진행하는 이유는 보안팀이 점검한 보안 수준과 실제 공격자가 이용하는 공격벡터에 상당한 시각차가 있기 때문이다.
보안팀은 잘 알려진 보안 방법론과 보안 아키텍처 및 프레임워크를 사용해 보호하려고 하지만, 공격자는 패턴화된 공격만 하는 것이 아니다. 알려진 보안 방법론, 보안 기술을 쉽게 우회하는 방법을 알고 있으며, 공격에 실패했다 해서 포기하는 것이 아니라 다른 경로를 통해 지속적으로 공격한다.
이 때문에 보안 조직을 레드팀(공격자)과 블루팀(방어자)으로 나눠 실제 시스템을 공격하고 방어하는 모의훈련을 진행하기도 한다. 레드팀은 실제 공격자가 되어서 정해진 시나리오 뿐 아니라 최근 알려진 성공한 공격 방식, 레드팀 인력이 고안한 방식으로 공격을 진행한다. 블루팀은 예상하지 못했던 다양한 공격을 방어하면서 실제 공격에 대비한다.
공격자 관점의 공격-방어 훈련 필요
공격-방어 모의훈련은 보안 조직이 실제 공격에 대 비한다는 점에서 의미가 있지만, 이 역시 인력에 의존하기 때문에 수동적이며 리소스 집약적이다. 간헐적으로 테스트하기 때문에 새롭게 발견된 취약점이나 공격 대응 방안을 마련하는데 한계가 있다.
공격자 관점의 모의훈련을 자동화한 ‘BAS(Breach and Attack Simulation)’가 이 문제를 해결할 수 있는 대안으로 주목받고 있다. 가트너는 BAS는 ‘현재 구축돼 있는 보안 시스템이 제대로 작동하는지’ 확인하는 솔루션이며, 침투테스트는 ‘해킹이 가능한지’ 확인하는 시스템이라고 설명한다.
BAS는 최신 공격 기술을 학습하고 평가, 검증해 공격과 방어를 수행한 후 발견된 취약점에 대한 우선순위를 지정하고 치료 단계 목록을 제공한다. 가상 시뮬레이션을 통해 진행하기 때문에 운영 중 시스템에 영향을 주지 않고 사람의 개입 없이 자동으로 평가하기 때문에 365일 24시간 중단없이 운영해 새로운 취약점을 빠르게 발견하거나 공격 의심 정황을 탐지할 수 있다.
수행인력의 경험 부족, 잘못된 판단, 인적 오류 등의 영향을 받지 않으며, 모든 공격 벡터에서 가능한 공격기법을 시뮬레이션해 중단없는 보호를 제공할 수 있 다. 또한 충분한 전문가를 고용하지 않고 최신 위협 대 응을 점검할 수 있어 비용 효과도 높다.
최홍준 페트로누스 부사장은 “기존 모의해킹 솔루션은 전문가가 아니면 운영하기 어려웠지만, BAS는 완전 자동화된 상태로 동작해 전문성을 부족한 사람들도 운영할 수 있으며, 탐지된 취약점을 빠르게 해결 할 수 있다. 가상 시뮬레이션 기술로 공격-방어를 진 행하기 때문에 운영 중 시스템에도 영향을 주지 않으 며, 중단없이 실시간으로 점검하기 때문에 전체 시스 템에 대한 관리되지 않은 보안홀을 제거할 수 있다”고 설명했다.
