파이어아이 침해사고대응조직인 맨디언트가 발표한 M트렌드 보고서에 따르면 기업들이 침입발생기록시점으로부터 실제 침입 사실을 발견하기까지 걸리는 시간은 평균 205일에 달하는 것으로 조사됐다. 심하게는 2천982일 동안 자사가 침입당했다는 것을 인지하지도 못한 사례도 확인됐다. 그만큼 기업들의 기밀을 노리거나 영업활동을 방해하기 위한 공격시도는 계속되고 있으나 대응은 더디기만 한 실정이다.
이런 와중에 최근 시장조사업체인 가트너가 선제적 보안 대응을 위한 7가지 대책을 다룬 보고서를 냈다. 지능형 공격을 완벽하게 막아낼 수 없다는 것이 보안업계 불문율이라는 점을 고려하더라도 기업 보안책임자가 보이지 않는 위협에 대응하기 위해 필요한 기본적인 준비사항들을 다루고 있어 주목된다.
1. 보안프로세스 최적화
먼저 기업 내 보안프로세스를 최적화할 필요가 있다. 선제적으로 대응할 수 있는 보안 프로그램을 새롭게 만들라는 의미가 아니다. 그보다는 조직 내 보안위협으로 인한 환경변화에 효과적으로 대응하고, 적응하기 위해 기본적인 보안프로세스를 갖춰놓으라는 뜻이다. 프로세스를 정해 놓으면 보안위협이 닥쳤을 때 이를 측정하고, 모니터링하고, 대응력을 높일 수 있다.
보안프로세스는 반복가능성을 높이고, 조직이 보안위협을 진단하기 위한 정보를 만들어 낼 뿐만 아니라 피해를 질적, 양적으로 측정할 수 있게 해야한다. 이를 통해 IT 및 비즈니스 프로세스 등과 보안 프로세스를 통합관리할 수 있게 된다. 예를 들어 보안취약점 관리 프로세스를 IT관리 프로세스에 통합해 설정이 임의로 변경되는 것과 같은 리스크를 관리할 수 있게 해야한다는 것이다. 반대로 핵심적인 비즈니스 프로세스를 이해하면 보안적으로 우선순위에 두어야할 점들을 파악하는 일이 쉬워진다.
2. 위협 및 취약점 인텔리전스 서비스 활용
선제적인 보안조치를 위한 핵심 프로세스 중 하나는 취약점 관리 프로세스다. 이 프로세스를 정례화하고, 숙성시키는 작업은 보안위협을 처리하고, 필요한 조치를 빠르게 취할 수 있도록 돕는다. 또한 취약점에 대한 인텔리전스를 확보할 수 있게 한다. 보안 관점에서 인텔리전스는 어떤 공격유형이나 어떤 취약점에 대해 어떤 방식으로 대응해야할 지 알려주는 실시간 정보공유 및 대응체계를 말한다. 이를 통해 유사한 사고가 발생하기 전에 미리 경고음을 알릴 수 있다. 마치 허리케인이 출몰하기 전에 라디오를 통해 경보를 듣는 것과 같다. 아직 보안업데이트가 이뤄지지 않은 제로데이 취약점을 악용한 공격의 경우 실시간 대응이 필수다. 만약 보안사고가 발생한다면 보안 인텔리전스는 추가 사고를 막기 위한 조사와 디지털포렌식을 지원하기 위한 추가적인 정보를 제공한다.
3. 새로운 보안 기술 조사
보안 기술은 더 많은 선제적인 대응력을 갖추기 위해 진화하는 중이다. 네트워크 트래픽에 대한 정밀한 분석, 사용자 행동 패턴 분석 등이 잠재적으로 발생할 수 있는 복잡한 공격에 대한 대응력을 높인다. 때문에 지속적으로 보안 제품과 서비스 시장의 발전을 지속적으로 살펴봐야한다.
혁신적인 보안 기술이 비즈니스에 어떻게 적용됐는지를 조사할 필요가 있다. 예를들어 문맥에 기반한 접근제어, 콘텐트를 인지하는 데이터유출방지(DLP), 클라우드 기반 암호화툴, 클라우드 기반 평판분석시스템 등이 존재한다.
4. 보안 커뮤니티 참가
현지 정보보안커뮤니티는 역사적으로 보안 인텔리전스를 공유하고, 네트워킹을 통해 참여자들이 조기경보를 받을 수 있고, 여러 보안 상황에 대한 간접체험을 가능케 한다.
다양한 보안업계종사자들과 네트워킹은 참가자들 간에 공통적인 문제를 어떤 식으로 처리할 수 있을지에 대해 다르게 생각해 볼 수 있도록 자극을 준다.
이를 테면 산업분야별로 특화된 보안커뮤니티에 참가하거나 각종 침해사고대응팀(CERT), 정보공유분석센터(ISAC) 등과 교류가 필요하다. 국내서는 한국인터넷진흥원(KISA)이 운영 중인 인터넷침해대응센터(KrCERT), 금융 분야 ISAC을 표방한 금융보안원, 한국침해사고대응팀협의회(CONCERT), 페이스북 내 보안커뮤니티인 보안대첩 등이 존재한다.
5. 정기적인 비즈니스 전략 평가 실시
선제적인 보안대응을 위한 핵심요소는 해당 기업의 비즈니스 전략을 이해하고, 이러한 전략이 보안에 미칠 수 있는 영향을 파악하는 일이다.
예를들어 인수합병을 통한 공격적인 시장점유율 높이기 전략은 그 과정에서 경쟁력 있는 인텔리전스 보호와 잠재적인 취약점을 초래할 수 있다. 유사하게 정리해고를 수반하는 공격적인 비용절감 전략은 임직원들이 기업기밀을 빼가는 등 잠재적인 행동을 부추길 수 있다.
때문에 태스크포스팀을 구성해 정기적으로 조직의 비즈니스 전략을 재검토하고, 이를 통해 발생할 수 있는 보안위협에 대해 확인할 필요가 있다. 이 과정에서 모인 정보들은 보안위협 시나리오를 계획하는데 중요하다.
또한 필요한 경우 보안전략 및 운영 프로세스를 수정할 수 있어야 한다. 예를들어 조직 내 제품전략에 대한 큰 변화는 제품설계자료에 대한 더 강력한 통제가 요구된다.
6. 비즈니스 환경 탐색
보안에 대한 우선순위는 조직이 무슨 업무를 맡고 있는지에 따라 크게 영향을 받는다. 비즈니스 환경에 대해 선제적으로 탐색하고, 각종 관련 트렌드와 이벤트를 평가하는 일은 보안부서가 부정적인 이벤트에 대해 더 나은 대응을 할 수 있도록 한다. 또한 해결되지 않고 있는 이벤트에 대해 긴급대책을 세울 수 있게 돕는다. 예를들어 빠르게 악화되고 있는 경제상황은 잠재적으로 자사 임직원들은 물론 경쟁사의 행동에도 부정적인 영향을 미칠 수 있다. 보안팀에서도 이러한 점을 지속적으로 살펴보고, 예상할 수 있는 대비책을 세워나가야 한다는 것이다.
관련기사
- "인트라넷 악성코드, 월요일 아침에 창궐"2015.05.19
- 한수원 해킹, 주목받는 3가지 보안 키워드2015.05.19
- 우여곡절끝에 금융보안원 공식 출범2015.05.19
- 거대 보안 업계, 인텔리전스 놓고 격돌2015.05.19
7. 정기적으로 시나리오를 계획하라
시나리오 계획은 경제, 정치, 비즈니스, 기술 등이 기업 내 보안에 어떤 영향을 미치는지 확인하고, 논의해 볼 수 있는 효과적인 툴이다. 시나리오 계획은 비즈니스 전략 평가, 환경 탐색 활동을 통해 제공되는 정보를 활용한다. 물론 브레인스토밍을 통해 다양한 가설 시나리오를 세워보는 방법도 활용할 수 있다. 모든 예상치 못한 사건에 대응하는 것은 불가능하기 때문에 이러한 방법이 보안대응력을 높이는데 도움을 줄 수 있다.