내부와 외부의 보안 위협에 대응하기 위해 기업들은 보안팀을 구축하고 수십종의 보안솔루션을 도입하고 보안관제, 보안컨설팅 등 다양한 정보보호와 관련 투자를 매년 해 오고 있다. 하지만 과연 구축된 보안솔루션이 제대로 작동하고 있는지, 실제로 현재 우리 조직의 보안 프로세스로 해커의 공격을 막을 수 있는지, 기존 솔루션과 조직의 보안 프로세스를 검증하고 개선하려면 어떻게 해야 하는지 즉 궁극적으로 우리 회사의 보안체계가 얼마나 잘 작동하는지 한눈에 파악할 필요성이 대두되고 있는 시점이다. 글로벌 기업들은 이 부분에 대해 적극적인 투자를 아끼지 않고 있다. 황석훈 타이거팀 대표는 이번 'BAS 연재'를 통해 정보보호의 방향성을 독자들과 함께 고민해 보고자 한다. (편집자 주)
◇연재 순서
1. 내·외부 위협에 대해서 얼마나 이해하고 있는가?
2. 해커들의 공격은 어떻게 이루어지는가?
3. Cyber-KillChain과 ATT&CK
4. BAS를 어떻게 업무에 활용할 것인가?
5. 취약점 관리 얼마나 가능한가?
내·외부의 공격으로부터 우리 회사가 어떻게 안전한지 확신할 수 있을까?
2001년 ‘정보통신망이용촉진에관한법률’이 제정되면서 보안사업이 합법화되고 본격적인 비즈니스가 이루어졌다. 이때부터 보안분야는 빠르게 발전해 왔다. 더불어 업무시스템은 더욱 복잡하고 규모도 커졌다. 반면 악의적인 공격 포인트는 증가했다. 이에 내·외부의 공격으로부터 안전하게 조직의 시스템을 보호하기 위해 많은 보안솔루션과 전문인력 확보에 투자해 온 것이다.
하지만 보안분야에는 늘 한가지 큰 고민이 있다. 한마디로 정리하자면 ‘우리는 충분히 가치있는 투자를 하고 있는가?’ 즉 ‘충분히 투자했는가? 정말 안전한가? 그것이 적절한 투자인가?’라는 물음이다.
우리가 투자를 결정하게 된 이유는 내·외부의 공격으로부터 자산을 안전하게 보호하기 위함이기 때문이다. 설령 그것이 법적 기준을 준수하기 위함이었다고 하더라도 말이다. 즉 가성비있게 환경에 맞는 최적의 투자를 통해 최고의 효과를 내는 것이 필요하다는 것이다.
따라서 이 답변은 우리의 자산이 내·외부 공격자의 실제 발생 가능한 위협들로부터 안전하게 보호되고 있는지를 확인할 수 있고 평가할 수 있을 때에만 적절한 답변이 될 수 있을 것이다.
자산에 대한 리스크나 투자가치를 평가하는 다양한 방법론이 논문으로 발표되고는 있지만 현재까지 명확하게 이렇다 할 답은 없는 상태다. 그 중에서 현실성이 높고 평가가 용이한 방법이 통용되고 있을 뿐이다. 하지만 현재의 자산에 대한 평가 방법들이 다소 아쉬운 점은 우리가 투자했던 수많은 보안솔루션과 보안장비 그리고 운용인력에 대한 평가가 실질적이지 못하다는 점이다.
현재 수행하고 있는 자산에 대한 보안 수준 평가는 정해져 있는 점검항목을 기반으로 서버나 PC, 네트워크 장비, 보안솔루션 등의 보안설정(로그인 및 시스템자체의 접근통제 등)등을 대상으로 보안 수준 및 위험을 평가하고 있다. 하지만 이는 문제가 많다. 새로운 장비가 계속 증가하고 버전에 따라 설정 방식이나 기능이 자주 변하고 있고, 새로운 서비스와 종류가 생기고 있기 때문이다. 때문에 어떤 경우에는 웹서비스가 존재하지만 존재하지 않는 것으로 오탐하는 경우도 발생한다. 위의 방법으로 모든 자산의 문제점을 파악하는 것이 일부 도움이 될지는 몰라도 이러한 방법으로 완전한 통제에 다다르는 것은 불가능하다.
그리고 모의해킹의 경우에는 웹어플리케이션과 모바일 서비스가 주요 점검 대상이다. 물론 이러한 대상에 구애 받지 않고 해커처럼 점검하는 경우도 있다. 하지만 네트워크망이 너무 크고 실제 업무에 영향을 주지 않는 선에서 진행하다 보니 공격에 성공한다고 하더라도 그 취약점만이 존재하다고는 볼 수 없다. 대부분 DMZ 구간에 있거나 내부망에 일부 영역에 있는 자산으로 전체 네트워크에서 보면 일부분이기 때문이다.
무엇보다 중요한 점은 정작 우리가 도입해 설치한 수 많은 보안솔루션들이 제대로 동작하는지에 대한 검증이 없다는 점이다. 키사이트 다이멘셔널 리서치에서 기업의 보안 솔루션이 제대로 동작하는지에 대한 설문조사에서 57%만이 그렇다고 답했다. 이는 시사하는 바가 매우 크며, 반드시 각 자산 또는 자산간의 탐지, 통제, 차단 등의 방어능력은 반드시 확인되어야 한다. 그리고 지속적으로 측정되어야 한다. 이점이 우리의 투자 가치를 증명해줄 수 있는 가장 중요한 데이터이기 때문이다.
물론 기존 방법으로 전체 보안수준이 몇 점인지 수치 정도로 산출은 가능하겠지만, 현재 우리가 어떤 공격에 취약하고 공격이 어떤 형태로 유입될 경우 막지 못하는지, 피해를 입을 경우 얼마나 전파되고 파급효과를 낼지 등에 대해서는 전혀 파악할 수 없는 부분이다.
통상 ‘보안’이라는 단어를 말할 때 ‘Offensive(공격적인)’ / ‘Defensive(방어적인) Security’로 크게 나눈다. 어느정도 밸런스 있는 투자가 필요했으나, 지금까지 우리는 방어적 보안 솔루션에 지속적으로 투자해 왔다고 해도 과언이 아니다. 공격적인 부분이라면 아마도 모의해킹과 취약점 스캐너와 같은 보안솔루션 정도가 해당된다. 다른 대안이 없었기에 이러한 부분이 잘못되었다고 할 수는 없지만, 이러한 투자는 공격이 발생하기 전까지 해당 솔루션이나 프로세스가 제대로 동작하는지 확인하기가 어렵고 해당 솔루션이 얼마나 많은 대응 역량을 보여줄 수 있는지는 단순한 테스트만으로 측정하기가 어려웠다.
즉 우리가 보유한 수많은 방어적 보안 솔루션에 대해서 공격적인 방법으로 테스트가 필요하고, 그 결과로 기존 솔루션과 프로세스를 검증하고 개선할 필요가 있다는 것이다.
2017년 가트너는 이러한 역할을 해줄 수 있는 제품군을 발굴하고 도메인을 ‘BAS(Breach and Attack simulation)’라고 명명했다. 그러면서 이는 기존 자산에 영향을 미치지 않으면서 실제 해커들이 사용하는 최신 해킹 및 중요 기술들을 실제 시뮬레이터를 통해서 전체 네트워크를 대상으로 시뮬레이션함으로써 구축했던 보안체계가 얼마나 잘 작동하는지 한눈에 파악하게 해주는 솔루션이라고 정의했다.
즉 BAS 솔루션을 통해서 우리가 취약한 네트워크 구간이 어디고, 우리의 보안솔루션 중에서 대응 능력이 약하거나 예상치 못한 홀이 존재한다는 등의 이슈들을 찾아낼 수 있다. 또한 이러한 상황을 이용한 대응 훈련이나 대응 능력 평가에도 활용하기 용이하다.
현재 미국 등 주요 선진국에서 도입 고려 1순위 보안솔루션이라고 평가될 정도로 많은 공공기관과 기업들에서 경쟁적으로 BAS 솔루션을 도입하고 있으며 이와 더불어 많은 투자와 후발 주자들이 생겨나고 있다.
보안을 책임지는 담당자 입장에서는 자사의 보안체계에 대한 전체 상황은 한눈에 파악할 수 있어야 하고 현재의 수준에 대해서 냉정하고 명확하게 말할 수 있어야 한다. 어떤 공격까지 막을 수 있고 어떤 공격에 취약한지 말이다. 그리고 이를 기반으로 향후 투자 대상에 대한 방향성도 명확하게 확립할 수 있을 것이다.
이미 국내에도 대표적인 BAS 솔루션으로 ‘SafeBreach(세이프브리치)’를 비롯해 ‘어텍아이큐(AttackIQ)’, ‘베로디움(Verodin)’ 등이 알려져 있는 상황이다. (연재 다음편에 계속…)
[글. 황석훈 타이거팀 대표 / h9430@tigerteam.kr]
★정보보안 대표 미디어 데일리시큐!★
