[데이터넷] 제로 트러스트는 매우 이상적인 보안 전략이지만, 제로 트러스트만으로 보안 위협을 차단할 수 없다. 가트너는 예측·예방·탐지·대응으로 구성되는 CARTA 모델 중 ‘예방’에 해당하는 영역이 제로 트러스트라고 설명한다. 예방 단계를 우회하는 공격에 대응하기 위해 탐지와 대응, 그리고 예측 영역이 반드시 필요하며, 각 영역 내에서, 그리고 각 영역간 지속적인 모니터링과 분석, 정책 변경과 최적화 적용이 이뤄져야 한다.

가트너는 CARTA가 여러 공급업체의 기술과 제품을 사용하는 환경에서 100% 가시성과 자동화를 구현해야 하며, 에이전트 없는 IoT와 OT 시스템까지 관리해야 하고 사이버 위험에 대한 지속적인 모니터링과 평가, 개선이 이뤄져야 한다고 설명한다.

CARTA 전략에 따라 IT 보안은 실행과 계획, 빌드라는 세 단계를 완성해 나가야 한다. 실행 단계에서는 자동화된 분석과 탐지 솔루션을 이용해 보안운영센터(SOC)는 심각한 위협 대응에 집중할 수 있게 한다. 실행 단계에서는 데브섹옵스(DevSecOps)를 도입해 프로덕션 코드에 내장되기 전에 보안 위험을 평가하고 식별해 개발 프로세스에 보안을 적용하는 작업이 포함된다. 빌드 단계에서는 위협에 대한 우선순위를 결정하고 생산성과 보안의 관계를 평가·분석하며 리스크를 낮춰가는 방법을 고민해야 한다.

CARTA 전략에서 반복적으로 강조하는 것은 ‘지속성’이다. 투팩터 인증까지 수행해 확실하게 권한을 가진 사용자라는 것을 확인하고 접근을 허락했다 해도 애플리케이션 내에서 사용자가 어떤 활동을 하는지 지속적으로 감시해야 한다. 실시간으로 사용자와 자산을 식별하고 발생하는 행위를 분석하고 위험과 신뢰 수준을 평가한다.

선제방어·자동화로 대부분의 위협 차단

가트너 CARTA 프레임워크 중 예측과 예방은 선제방어 기술이 포함된다고 할 수 있다. 알려진 위협은 먼저 차단하고, 알려지지 않은 위협은 빠르게 분석·대응해 대부분의 공격을 선제적으로 차단하면 보안 조직은 더 고도화된 위협 대응에 집중할 수 있다.

가장 먼저 위협 예방을 위해 ‘사이버 위생(cyber hygiene)’ 상태를 점검한다. 비즈니스 환경에 맞게 보안 정책이 적용돼 있는지 살펴보고 정비하며, 업무별·직급별 필요한 보안 정책을 지킬 수 있도록 교육을 하며 정기적인 모의훈련을 통해 보안 습관이 제대로 정착돼 있는지 확인한다. 현재 사용되는 전체 IT 시스템과 서비스 목록을 파악하고 보호해야 할 시스템과 서비스의 우선순위를 정하며, 관리되지 않은 시스템과 서비스가 있는지 찾아 조치한다. 개별 시스템과 서비스의 보안 정책이 제대로 적용되어 있는지 점검하고 보완한다.

IT 시스템과 서비스 전체를 가시화하며, 취약점을 주기적으로 스캔해 제거하고 필수적인 보안 패치가 적용됐는지, 하드웨어 펌웨어 및 OS·애플리케이션이 최신 버전으로 업데이트 됐는지 점검하고 조치를 취한다. 각종 보안 솔루션의 실시간 감시 기능이 활성화 돼 있는지, 시그니처 업데이트가 자동으로 진행되는지 확인한다.

이 과정은 자동화된 솔루션을 이용하는 것이 바람직하다. 작업의 양이 많기 때문에 업무 부담이 매우 크고, 사람은 미처 보지 못하는 부분이 있기 때문이다. 자동화된 IT 자산 관리 시스템과 취약점 점검, 패치관리 시스템을 이용해 보안 조직의 업무 부담 증가 없이, 실수 없이 관리하도록 한다.

예방 영역에서는 시그니처 기반 기술로 알려진 위협을 차단하고 샌드박스 등으로 알려지지 않은 위협에 빠르게 대응한다. 진보한 허니팟 기술인 ‘사이버 기만 기술(Cyber Deception Technology)’을 통해 공격자의 트렌드를 확인하고 대응한다.

지속적 모니터링·분석으로 대응

선제방어를 통해 막지 못한 위협은 탐지와 대응을 통해 제거한다. 보안 탐지와 대응 프로세스를 표준화, 자동화하며, 이벤트간 연계분석으로 회색지대의 위협을 정확하게 분류하는 환경을 만들어 ’지속적인 모니터링과 분석’ 환경을 구성하는 것이 필요하다.

제한적인 가시성을 제공하는 전통적인 SIEM에서 벗어나 멀티 클라우드 전반에서 위협 정보를 수집하고 제어하는 SOC 솔루션이 필요하며, ‘보안 오케스트레이션, 자동화, 대응(SOAR)’이 제안된다. SOAR는 모든 곳에서 위협 정보를 수집하며, 이를 분석해 필요한 조치를 취할 수 있도록 지휘하는 역할을 한다.

이외에 EDR·NDR과 같이 시스템·네트워크에서 위협을 탐지하고 대응하는 기술과 함께 이를 통합한 XDR도 진화하고 있으며, AI를 이용해 위협 탐지·대응 및 차단을 자동화해 SOC 운영 효율성을 제고할 수 있는 솔루션도 제공된다.

대응 영역에서는 비영리 연구개발 단체 마이터(MITRE)가 어택(ATT&CK) 프레임워크를 2019년 새롭게 개편하면서 침해대응 역량 고도화에 힘을 받게 됐다. 어택 프레임워크는 보안위협 평가, 보안 솔루션 효과 입증, 사이버 대응체계 훈련 시스템 등에 사용되고 있으며, EDR·MDR·IR 등 위협 탐지 솔루션에도 적용되고 있다.

사이버 복원력 높여 비즈니스 연속성 보장

제로 트러스트, CARTA와 같은 보안 프레임워크를 적용했다해서 위협을 100% 차단할 수는 없다. 그 어떤 보안 기술이나 전략도 완벽한 것은 없다. IBM은 “사이버 침해는 ‘만약(if)’가 아니라 ‘언제(when)’”이라고 강조했다. 사이버 공격의 수와 비즈니스 영향이 증가하고 있으며 아무리 뛰어난 기술과 전략을 사용한다 해도 완벽하게 차단할 수는 없다. 또한 사고 시 발생하는 비용과 피해는 막대한 규모에이른다.

이 때문에 사이버 복원력(Cyber Resilience)이 최근 조명받고 있는데, 침해사고를 완벽하게 통제할 수 없기 때문에 사고 시 정상 비즈니스로 빠르게 돌아오는 ‘회복 탄력성’을 높여야 한다는 것을 뜻한다. 사이버 복원력은 사이버 보안 정책에 국한되는 것은 아니며, 전체 비즈니스 관점에서의 연속성을 보장하는데 초점을 맞춘다. 사이버 공격이나 내부자 위협, 컴플라이언스 위반, 장애·재해로 인한 비즈니스 중단이나 지연 시간을 최소화하는 것이 중요하다.

김선애 기자 다른기사 보기