공격 전·중·후 단계별 대응 프로세스 규정…지속적 학습하는 적응형 보안 모델 필요
[데이터넷] “사이버 보안에서 가장 문제는 ‘매뉴얼이 없다’는 것이다.”
임현호 트렐릭스코리아 지사장은 23일 ‘차세대 보안 비전 2022’의 두번째 키노트 세션에서 이 점을 강조하면서 “보안인력은 너무 부족한데, 보안조직은 ‘무엇을 모르는지도 모른다’고 토로한다. 그 이유는 위협을 탐지하고 대응하는데 필요한 정리된 매뉴얼이 없기 때문”이라며 “공격이 발생하기 전, 공격이 진행되는 과정, 공격이 끝난 후 무엇을 해야 할지 정의해야 한다”고 강조했다.
예측할 수 없는 사이버 공격
보안조직이 ‘매뉴얼이 없다’고 토로하는 이유는 사이버 공격이 예측할 수 없는 방식으로 진화하고 있기 때문이다. 한 번도 보지 못한 새롭고 정교한 전술부터 오래되고 전통적인 공격 방식까지 사용하며, 유출된 계정, 과도한 권한 설정, 잘못된 구성, 노출된 취약점을 이용한다. 개별 보안 솔루션이 탐지한 이벤트의 44%는 제대로 조사되지 못하고 넘어가는데도 보안운영인력은 감소해 위협 대응 시간이 늘어나고 있다.
임현호 지사장은 “사이버시큐리티벤처스 조사에 따르면 사이버 범죄자의 수익은 매년 15% 증가하고 있다. 위협 환경은 미친듯이 살아있고, 매우 혼란스럽다. 그러나 보안조직이 가시화하고 탐지할 수 있는 위협은 매우 제한돼 있으며, 무엇을 놓치고 있는지도 정확하게 파악하지 못한다”고 지적했다.
이렇게 혼란한 보안 환경에서 조직을 안전하게 보호하기 위해 트렐릭스는 ‘적응형 방어 모델(ADM)’을 제안한다. ADM은 공격이 발생하기 전에 발생할 위협에 미리 대비하고, 공격이 발생했을 때 확산을 차단하며, 공격 후 이를 복기하면서 보안을 강화시킨다. 공격 라이프사이클 전반에서 필요한 조치를 취하면서 지속적을 학습하고 개선하면서 살아 움직이는 보안 위협에 체계적으로 대응한다.
지속적인 학습·강화로 보안 위협 관리
실제 위협 사례를 통해 ADM을 설명하면, 공격이 탐지되기 전, 공격자 행동을 모델링 하고 시뮬레이션을 통해 시스템의 취약점을 파악한다. 조직이 갖고 있는 보안 지식을 점검하고, 역량을 강화하며, 플레이북을 참고해 침해사고 발생 시 대응책을 결정한다. 제품의 정책을 업데이트하며, 학습된 학습된 내용에 따른 행동 조치를 마련한다.
공격이 발생하면, 모든 센서에서 데이터를 수집해 어떤 상황이 발생하고 있는지 분석하며, 침해 위치와 범위, 대응 우선순위 수준을 파악한다. 미리 마련된 플레이북을 참고해 컨텍스트를 기반으로 공격 진행 과정을 분석하고 공격자의 다음 움직임을 예측하면서 위협에 노출되는 것을 줄인다.
발견된 이벤트를 외부 기관이나 전문 인텔리전스 서비스를 참고해 어떤 종류의 공격인지 알아보는 것도 필요하다. 한국인터넷진흥원(KISA)이나 미국 사이버보안 및 인프라 보안국(CISA)의 권고, 보안기업의 인텔리전스나 권고사항 등을 참고하는 것도 공격 파악과 대응에 도움이 된다.
공격 후에는 대응 과정에서 수행한 활동이 공격 라이프사이클에 어떤 영향을 미쳤는지 분석하고, 더 빠르고 효과적으로 공격을 막을 수 있었는지, 대응 절차는 적절했는지 등을 평가한다. 예방과 탐지, 대책을 조율해 방어 플레이북을 개선하기 위한 구체적인 단계를 수행하며, 다음 공격에 대비해 방어 플레이북을 조정하고 보안을 강화한다.
임현호 지사장은 “군사작전 중 OODA(Observe, Orient, Decide, Act)는 정보를 바탕으로 빠르게 의사결정 하는 전략으로, 사이버 보안에도 적용할 수 있다. 그것이 ADM이며, 공격 라이프사이클 전 과정에서 학습하고 개선하면서 침해상황에 빠르고 정확하게 대응할 수 있도록 한다”며 “트렐릭스는 고객이 공격 전 과정에서 가장 빠르고 적절한 의사결정으로 위협을 완화하고 피해를 예방할 수 있도록 돕고 있다”고 말했다.
한편 트렐릭스는 공격 속도에 맞춰 살아있는 것처럼 역동적으로 움직이는 XDR 플랫폼을 제공한다. XDR 단일 통합 플랫폼으로 운영되는 트렐릭스는 정교한 위협의 탐지와 대응역량을 다양한 기술과 도구를 조합하며, 살아있는 것과 같은 다이내믹 한 보안 환경을 제공하기 위해 스스로 학습하며 진화한다.
포춘 500대 기업 중 80%, 전 세계 4만명 이상의 고객이 선택한 트렐릭스는 파이어아이와 맥아피 엔터프라이즈의 수준 높은 기술을 지속적으로 통합하고 있으며, 지능형 위협으로부터 조직을 보호하기 위해서 보안을 통합하고 올바른 전문지식과 프로세스를 효율적으로 적용할 수 있도록 최선의 제품과 서비스를 제공하고 있다.
