[데이터넷] 공격은 수시로 변하지만, 보안은 비즈니스 환경과 생산성을 고려해야 하기 때문에 공격자만큼 유연하게 변화시키지 못한다. 새로운 보안 기술로 인해 보안 복잡성이 높아지며, 다양한 우회공격이 또 다시 등장하기도 해 보안의 어려움이 가중된다. 진화하는 보안위협에 대응하기 위한 차세대 보안관제에 대해 심층분석한다. <편집자>

<연재 순서>
1. 보안관제 및 보안위협대응 체계 구축시 고려사항(이번호)
2. 차세대 SIEM 선택시 고려사항
3. 차세대 SIEM을 이용한 위협자동대응체계 구축 전략

보이지 않지만 언제나 사람 곁에 상존하면서 건강을 위협하는 바이러스처럼, 보안 위협도 보이지 않지만 늘 네트워크 상에서 움직이고 있다. 이러한 위협을 탐지, 대응하기 위해 수많은 보안 장비와 탐지 기법이 발전하고 있지만, 여전히 많은 보안사고가 발생하고 있고, 새로운 공격 기법들이 보안 관제와 대응체계를 흔들 고 있다.

이번 연재에서는 끊임없이 진화하는 보안 위협에 대응할 수 있는 보안 시스템을 구축할 때 고려해야 할 사항과 보안관제 대응 체계 구축을 위한 차세대 SIEM 선택 시 고려사항, 차세대 SIEM을 이용한 지능형 위협 자동 대응체계 구축 전략에 대해 살펴보고자 한다.

이번 회차에서는 보안관제와 보안위협 대응체계 구축 시 고려사항을 살펴보고, 어떠한 부분에서 보안 취약점이 발생할 수 있는지에 대해 알아본다.

가시성 확보 어려워진 HTTP/2

HTTP 1.0을 개선하기 위해 HTTP 1.1이 제정, 사용된지 오래 됐다. 웹 페이지가 점점 더 복잡해지고, 방대해지면서 미디어의 양과 함께 상호작용을 위한 스크립트의 양과 크기가 증가하면서 오버헤드가 늘어나고 복잡도가 높아지게 됐다.

이에 구글은 2010년 실험적인 SPDY 프로토콜을 구현해 클라이언트와 서버간 데이터 교환 속도 및 응답성, 데이터 중복 문제 등을 개선했고, SPDY 프로토콜은 추후 HTTP/2 표준 프로토콜로 발전하게 됐다.

새로운 프로토콜은 보안 담당자에게 새로운 숙제를 안겨주는데, 바로 ‘가시성’이다. 대부분의 기업과 금융, 공공기관에서는 내부정보 유출이나 유해사이트 차단을 위해 DLP나 유해사이트 차단 솔루션을 운영하고 있고, 외부로부터 공격 차단 대응을 위해 IPS나 웹방화벽과 같은 보안 솔루션을 운영하고 있다.

내부정보 유출 방지나 유해사이트 차단을 위해 사용하는 유해사이트 차단 솔루션이나 웹 서버 보호를 위해 구성된 웹 방화벽처럼 HTTP 트래픽을 중점적으로 분석하는 장비의 경우 HTTP/2 프로토콜은 가시성에 문제점을 야기할 수 있다.

HTTP/2 외에도 계속 개선되는 암호화 알고리즘과 DNSSEC, DoH(DNS over HTTPS)와 같은 HTTP 이외 프 로토콜로의 암호화 확장도 보안 담당자에게 숙제를 안겨주고 있다.

지난 6월 애플은 연례 개발자 행사 ‘세계 개발자 회의 2021’에서 자사 기기 운영체제 iOS 15를 소개하면서 강력한 개인정보 보호 서비스인 ‘프라이빗 릴레이(Private Relay)’ 기능을 소개했다. 개인정보를 보호하는 좋은 목적의 서비스와 기능이지만 아이폰, 아이패드, 맥북과 같은 애플 기기를 사용 할 경우 내부 유해사이트 차단 솔루션을 무력화해 통신할 수 있는 가능성이 생기게 됐다.

HTTP/2를 지원하는 보안 솔루션도 많지 않은데, UDP 기 반의 HTTP/3이 제정되고 글로벌 회사들의 일부 서비스들이 HTTP/3을 적용되고 있는 만큼 새로운 프로토콜과 암호화 서비스에 대한 가시성 확보는 보안 운영에 중요한 고려 요소로 자리 잡아가고 있다.

심층방어, 수평이동하는 공격 탐지 못해

다계층 보안이라고도 하는 심층방어(Defense in Depth)가 보안의 핵심 원리로 여겨지던 때가 있었다. 심층방어는 아직도 유효하고 중요한 보안 개념이지만, 많은 기업·기관에서 채택한 방식은 한계가 있다. 디도스, 방화벽, IPS 등 남북 트래픽(North-South Traffic)을 모니터링하고 대응하는 경계 보안 솔루션 위주로 도입하다 보니, 내부에서 내부로 이동하는 동서(East- West) 보안은 상대적으로 취약하게 구성돼 있다.

공격의 진화에 따라 IPS, 디도스, 웹방화벽과 같은 패턴 기반 보안 솔루션 외에 APT 솔루션이나 머신러닝 학습 기반의 네트워크 트래픽 분석(NTA) 또는 네트워크 위협 탐지와 대응(NDR) 솔루션이 등장했지만, 그 어떤 솔루션도 진화하는 공격자의 공격 기법이나 악성코드를 100% 완벽하게 차단할 수 있다고 말할 수 없다.

이메일 APT 보안 기능을 우회하기 위해 사람만이 이해하는 언어로 풀어서 들어오는 악성 메일, 고전적이지만 여전히 유효한 슬로우 브루트포스(Slow Bruteforce), 악성코드 배포사이트로 전락된 수많은 인터넷 사이트, 그리고 보안의 허점을 이용해 들어와 파일 암호화 뿐 아니라 내부로 전파, 외부로 정보 유출 기능까지 포함된 랜섬웨어들이 기업 보안을 심각하게 저해하는 위협이 됐다.

이러한 보안 위협은 단일 호스트에 그치지 않고 내부에서 내부로 전파를 통해 기업 전반의 취약한 호스트로 확장하는 경향이 있기 때문에, 내부에서 내부로의 위협 전파를 식별하고, 차 단하는 시스템에 대한 고려가 필요한 때가 됐다고 생각된다.

또한 내부간 모니터링, 가시성 확보를 위해 DHCP를 운영하는 사이트의 경우 DHCP 가시성에 대한 고민이 필요하다. 많은 기업과 금융 사이트에서 스마트워크, 모바일 오피스 등을 위해 무선 환경을 구성하거나 가상화 솔루션을 이용한 망분리 구성을 하는데 이런 환경에서는 대부분 호스트나 가상 VM이 DHCP로 IP를 할당받도록 돼 있다.

이러한 환경에서는 보안 사고가 발생하더라도 당시 해당 IP를 할당받았던 호스트를 추적하기 어렵고, DHCP IP를 할당 받는 내부 호스트에 대한 장기간 분석이 어려워 자산, 호스트, 사용자 기반의 분석을 하는 사용자 엔티티 행위 분석(UEBA)이나 NTA를 운영하는데 한계가 발생할 수밖에 없다

공격자, 정밀한 정찰로 취약점 스캔

공격에서 가장 중요한 요소이자 필수적인 요소 중 하나가 ‘정밀한 정찰’이다. 과거에는 다양한 취약점 진단 도구를 이용해, 다양한 스캔 옵션과 임계치를 조정해 대상 시스템을 보호하는 각종 보안장비를 우회해 정찰하는 수고를 들였다면, 이제는 취약점 정보를 스캔하고 결과를 검색할 수 있는 사이트를 통해, 대상시스템의 취약점을 쉽게 찾을 수 있다.

이미 오래전 쇼단, 센시스와 같은 사이트가 많이 알려져 있지만 알려진 쇼단, 센시스 IP나 도메인을 차단하는 식으로 대응하는 경우를 많이 보았다. 하지만 이러한 대응방법은 더 이상 효율적이지 않다.

취약점 정보를 제공하는 검색 엔진이 쇼단이나 센시스만 있는 것이 아니라, 줌아이, 그레이 노스와 같은 또 다른 검색 엔진들이 공격에 유용한 정보들을 제공하고 있고, 쇼단이나 센시스 검색 엔진 IP도 비정기적으로 변경되기 때문이다.

AI의 장점과 한계

AI가 대세인 시대가 됐다. 이제는 새로운 프로젝트를 진행 하거나 솔루션 도입 시 AI가 붙지 않은 프로젝트를 진행하거나 제품을 구매하는 것은 힘들 정도다. 하지만 적어도 IT 보안 에 있어서 만큼은 성공적인 AI 기반 보안 솔루션 구축 사례를 찾기 어렵다.

조금 더 뼈아픈 이야기를 하자면 보안 솔루션을 개발하는 개발사 혹은 제안사가 AI를 마케팅 삼아 검증되지 않은 알고 리즘이 적용된 제품을 소개하고, 정확하지 않은 정보를 고객 에게 전달해 시장 전반에 AI에 대한 불신으로 이어지고 있다.

‘비지도 학습이 지도 학습에 비해 우월하다’, ‘지도 학습은 가짜 머신러닝이다’, ‘로그만 수집하는 시스템에 AI를 적용해 APT 공격을 탐지한다’ 등의 이야기를 들으면 AI로 포장된 부 정확한 정보 전달로 인해 고객과 보안 업체 모두 피해를 보게 되는 불행한 상황을 초래할 수 있다는 걱정이 든다.

AI는 학자들마다 정의가 다르고, 구분 방법도 다양하다. 목표나 범위에 따라 구분을 하면 ▲언어 처리, 지식 표현, 자동 추론 등 인간처럼 행동하는 시스템을 말하는 넓은 의미의 인공지능 ▲지능 소프트웨어나 행동 로봇처럼 합리적으로 행 동하는 시스템을 이야기 하는 좁은 인공지능 ▲인지 구조 및 신경망 등을 통해 인간처럼 생각하고 사고하는 강한 인공지능과 추론 및 논리 풀이처럼 합리적으로 생각하는 시스템을 말하는 약한 인공지능으로 구분할 수 있다.

요약하면 인간처럼 생각하거나 인간처럼 행동하는 시스템, 그리고 합리적으로 생각하거나 합리적으로 행동하는 시스템 으로 구분할 수 있다.

●인간 뇌 모방한 신경망

사람처럼 생각하고 추론하는 시스템을 만들기 위해, 최초 의 학자들은 인간 뇌를 모방해서 신경망을 만들었다.

인간의 뇌는 뉴런, 수상돌기,핵, 축삭돌기 등이 있다. 뉴런 내부의 칼륨 이온(음 전하)과 외부의 나트륨 이온(양 전하)이 열, 빛, 압력, 화학물질(호르몬)등으로 인해 자극을 받으면 전기신호가 발생한다.

이 점을 활용, 사람의 생각이 일어나는 과정을 전자와 양성자 운동으로 인한 전기파동으로 생각해 생물학적 뉴런을 모방 한 인공신경망이 만들어졌다. 최초의 신경망은 단층 신경망으 로 구성됐으며, 수학적으로는 N차원 선형분리함수의 계수를 찾아가는 과정이었다.

●지식 기반 기계학습

1969년 마빈 리 민스키(Marvin Lee Minsky) MIT 교수에 의해 단층 신경망(선형 분리)을 통해서는 XOR 연산을 할 수 없다는 것이 증명됐고, 이로 인해 이후 10년간 신경망 기반 기계학습은 암흑기로 접어들고 지식 기반 기계학습이 대세가 됐다.

기계학습 역시 학자마다 정의가 다르지만 ‘명시적으로 프로 그래밍하지 않고 스스로 학습할 수 있는 능력을 컴퓨터에게 주 기 위한 연구’라고 요약할 수 있다. 표현법에 따라 논리식, 규 칙, 함수, 트리, 그래프 등으로 나눌 수 있으며, 버전 스페이스 (Version Space), AQ, 신경망, SVM, 결정 트 리, 유전자, 베이시안 (Baysian) 등 다양한 알 고리즘들이 있다.

●다층 신경망

단층 신경망에서 지식 기반 기계학습을 지나 1980년 이후에는 역전파 알고리즘 (Backpropagation)이 탄생해 다층 신경망을 구성했고, 수학적으로는 선형 맞춤, 비선형 변환하는 과정을 통해 단층 신경망의 한계를 뛰어넘을 수가 있었다.

하지만 학습 데이터에 과최적화돼 실제 데이터, 환경 적용 시 에러가 크게 발생하는 문제인 오버 피팅(Over fitting)이나 진짜 해답을 찾지 못하고 틀린 답을 출력하고 끝내는 것, 본질 적인 한계인 로컬 미니멈(Local Minimum) 문제로 인해 다층 신경망 역시 20년 이상 개선안을 찾지 못했다.

●딥러닝

2006년 프리 힌톤(Geoffrey Hinton) 토론토 대학 교수에 의해 신경망 한계를 해결하기 위한 혁신적인 방안이 제시됐다. 이것이 딥러닝 알고리즘의 시작이며, 딥러닝 알고리즘을 이용해 이미지, 음성 인식, 자율주행 등에 비약적인 발전을 이룰 수 있었다.

딥러닝은 다층 신경망의 문제점을 해결하기 위해 각각의 신경망 층을 RBM(Restricted Boltzman Machine) 방식으로 따로 학습시켜, 은닉층에서 원하는 특성을 갖도록 학습시켰으며 각 층은 비지도 학습으로 진행해 최종적으로는 각 층마다 학 습을 역전파(Backpropagation)로 도출함으로써 로컬 미니멈 문제는 비지도 학습을 통해, 오버피팅은 RBM으로 개선했다.

딥러닝은 기계학습의 한 종류이기도 하지만 머신러닝 알고 리즘의 하나로 취급하기에 혁신적인 머신러닝 기반 기술의 한 분야이면서 AI에 가장 가까운 기술로 인식되고 있다.

딥러닝 알고리즘을 적용하기 위해서는 방대한 양의 데이터와 막대한 성능의 시스템이 필수다. 그래서 구글, 페이스북, 마이크로소프트 등 엄청난 규모의 서버와 막대한 데이터를 보유한 빅테크 기업들이 AI를 선도하고 있다.

딥러닝 기반 보안 솔루션이 제대로 동작하기 위해서는 방대한 데이터와 강력한 컴퓨팅 파워, 예를 들어 정형화된 로그나 메타데이터로 구분된 패킷 혹은 세션 데이터가 아닌 100%의 풀 패킷 혹은 100% 풀 데이터 기반으로 학습하는 강력한 컴퓨팅 파워를 보유한 시스템이 필요하다.

딥러닝이 만능이 아니며, 상당한 학습을 시켜야 하는 단점이 있어 때로는 베이지안과 같은 전통적인 머신러닝 알고리즘이나 메타 알고리즘이 훨씬 더 좋은 결과를 보일 수 있다. 항시 POC 등을 통해 실 사이트에서의 결과를 검증해 보는 것을 권장한다.

클라우드 보안 고려 사항

클라우드는 이미 IT의 대세를 이루고 있으며, 일반 기업이나 규제가 강한 공공·금융기관에서도 우선 도입하는 IT 인프라다. 그러나 보안에 있어서 클라우드는 여러 과제를 안고 있다. 클라우드 보안에 있어 우선적으로 고민해야 할 사항은 다음과 같다.

●비용 절감위한 클라우드 전환

지금은 인식이 많이 바뀌었지만, 예전에는 비용 절감만을 위해 클라우드 전환을 검토하는 기업이 있었다. 서비스와 환경 구성에 따라 다르지만 클라우드가 온프레미스에 비해 비용 절감을 할 수 있다는 생각에서 클라우드 서비스를 생각한다면 보안에 있어서는 많은 문제점을 야기할 수 있다.

클라우드 서비스 사업자들이 제공하는 기본 보안 기능을 활 용해서 보안을 운영한다면 비용이 크게 발생하지 않을 수 있지만 더 세밀하고 정밀한 보안 기능을 사용하기 위해 전문 보안 업체의 보안 솔루션을 도입할 때 검토해야할 도입 비용과 운용 비용은 결코 적지 않기 때문이다.

●보안 고려되지 않은 클라우드 구성

클라우드 보안을 적용하기 어려운 이유는 비용적인 문제 외 에 구성 부분에서도 발생할 수 있다.

클라우드는 온프레미스와 달리 물리적인 연결을 통해 트래 픽의 경로를 만들거나 제어할 수 없기 때문에 ELB, 트랜짓게 이트웨이(Transit Gateway), VPC 등 클라우드 서비스를 위한 망을 구성할 때 처음부터 보안을 고려해서 구성해야 한다.

또한 AWS 파게이트(Fargate)와 같은 서버리스 서비스들 이 많이 늘어나는 것도 보안 적용에 애로사항이다. 클라우드 보안을 위해 클라우드 네트워크 상에서 동작하는 보안 솔루션이 아닌 EC2와 같은 서버에 에이전트를 설치해 동작하는 보안 솔루션을 도입, 운영하는 회사가 많은데 서버리스 서비스에는 이러한 에이전트 기반 보안 솔루션을 적용하기 어렵기 때문이다.

●데브섹옵스와 CI/CD 고려

데브섹옵스(DevSecOps)와 CI/CD 모두 낮설지 않은 용어다. 개발 부분에서의 보안 적용은 온프레미스 환경뿐 아니라 클라우드에서도 고민하게 되는 보안 요소라고 생각된다.

최근에는 글로벌 서버 접근제어, 계정관리 솔루션 업체를 중심으로 제로 트러스트 측면에서 서버접근제어, 권한관리 솔루션과 함께 API 보안이 통합된 솔루션으로 출시하고 있다. 다만 API 보안은 전통적인 보안 엔지니어보다는 개발과 보안을 모두 경험하고 이해하고 있는 엔지니어가 필요하기 때 문에 아직까지는 활용 사례가 많지 않다.