보안사각이라는 용어에 대해서 살펴보고자 한다.
보안분야에서 보안사각이라는 용어는 보통 CCTV 촬영 범위를 벗어난 영역 정도로 생각되거나 언급되곤 했었다. 하지만 이를 네트워크 분야로 접목하여 설명한 제품들은 보지 못했고, 실제 제품을 분류하는 키워드로도 보지 못했던 것 같다.
보안사각은 크게 두가지 상황을 기반으로 생각해 볼 수 있다.
그 첫번째로 제로데이에 대한 이야기이며, 이를 시간상의 사각지대라고 일컫는다.
제로데 보안취약점은 지속적으로 발표되고 있다.
또한, 해커는 이러한 취약점을 이용해 웜이나 다양한 공격 유형의 자동화된 도구를 생산해 내고 있다.
자주는 아니지만, 이렇게 생산된 도구가 해외에서 많은 피해를 유발하게 되면 국내에도 여파가 미칠까 보안 담당자는 긴장감과 함께 패치가 나오기 전까지 대응할 수 있는 방법을 모색하고 태풍이 지나가길 기다리는 마음으로 숨죽여 지낼 수밖에 없었다. 사실 유명하지 않더라도 그런 상항은 자주 발생했었다. 인지하지 못했을 뿐.
우리가 보유하고 있는 모든 공격 탐지 및 대응 솔루션은 실시간 개념을 기반으로 둔다. 최근에는 AI 기술을 이용한 다양한 변종이나 유사 공격에 대응 능력을 가지고는 있지만, 이 또한 모든 새로운 제로데이를 탐지할 수 있다고 단정짓기에는 무리가 있다고 생각한다.
따라서 위의 그림에서 보자면 제로데이 기간이 지나고 탐지패턴이 나와야만 기존 솔루션들이 대응이 가능하고, 이전에 발생했던 사건에 대해서는 별도로 확인 자체가 불가능한 측면이 존재하게 된다.
또한 우리는 제로데이 공격을 탐지할 수 있는 패턴이나 상황이 되기전까지는 말 그대로 사각지대에 놓이게 되는 것이다. 중요한 것은 이러한 상황은 생각보다 아주 자주 발생한다는 점이다. 특히 최근 코로나 시국에 들어서면서 이러한 부분들은 더욱 가속화되어 가는 것으로 보인다.
두번째 상황은 운영상의 사각지대라고 한다.
운영에는 자산 설정에 대한 운영, 모니터링 등 관리시스템에 대한 운영 등이 있을 수 있다.
자산을 안전하게 지키고 관리하기 위해서는 보안설정이 중요하다. 물론, 운영이라는 표현 때문에 개발자가 해야 할 설정마저 운영자의 몫으로 해석하지는 말기 바란다. 그리고, 관리시스템의 탐지 패턴 업데이트, 악성URL/IP 리스트 업데이트 등의 활동이 있을 수 있다.
이러한 활동이 부재해 발생할 수 있는 부분을 운영상의 사각지대라고 일컫는다.
보안사각은 왜 중요한가?
침해사고가 발생하는 것보다 얼마나 빨리 이를 탐지하느냐는 피해의 규모를 최소화하고 대응 능력을 극대화함에 있어서 무척이나 중요한 요소라고 할 수 있다.
인포섹 공식블로그에 따르면, 최근 5년간 발생했던 공격 대비 탐지 및 대응까지 걸린 소요시간이 평균 시간이 9개월에서 1년이 소요된 것으로 파악되었다고 한다. 이는 정보 유출의 상황 뿐만 아니라, 2차 3차 피해까지 발생하고도 남음이 있는 시간이라고 하겠다.
즉, 이러한 사각지대가 발생했을 때, 우리에게 필요한 가장 중요한 것은 해당 보안사각 시기동안 실제 공격이 유입되었는지, 또한 이를 통해서 피해가 발생했는지를 신속하게 파악하고 대응할 수 있는 시스템이 필요하다는 것이다.
기술적으로 보자면, 유입되는 데이터를 모두 기록해 두고 새로운 탐지 패턴이나 차단 리스트가 업데이트 될 경우 해당 기간 내에 유입된 패킷이 존재하는지를 자동으로 분석해 주는 것이 필요하다고 하겠다.
[글. 타이거CNS / 타이거CNS 블로그 / 문의. h9430@tigercns.com]
[AIS 2021] 국내 최대 인공지능·머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!(보안교육 7시간 이수)
-인공지능·머신러닝 적용 정보보호 기술과 위협 정보 공유의 장
-2021년 9월 16일 온라인 개최
-공공·금융·기업 정보보호 관계자라면 누구나 무료참석
-보안교육7시간 이수증 발급
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
