"전통적 보안 환경에선 보안담당자가 데이터를 주로 바라보지만, 내부 위협까지 심층적으로 파악하고 종합적으로 이해하려면 사람과 환경같은 다른 데이터원을 함께 봐야 한다. 사람의 물리적인 위치, 근무시간대와 출퇴근 이동 시간, 그의 성과 수준과 급여 변화까지 함께 분석할 수 있다. 환경이라면 세계적이거나 지역적인 사건이 영향을 줄 수 있는데 아직 이를 분석하고 반영할 수 있을만큼 성숙되진 않았다."
미국 사이버보안업체 포스포인트의 호마윤 야쿱 수석보안전략가는 19일 서울 양재동 엘타워에서 기업의 내부위협 대응전략을 제시하며 이같이 말했다. 그는 과거 미국 워싱턴D.C. 소재 보안 및 리스크 컨설팅 업체 메이시그룹 창립멤버였고 국방부에서 국가안보문제를 해결하는 특수위협 및 리스크관리 프로그램 관리를 맡았으며 JP모건 글로벌보안팀 소속으로 기업 리스크완화전략 담당 임원으로도 일했다.
야쿱 전략가는 인터뷰를 통해 글로벌 기업들이 네트워크를 통해 조직 외부에서 들어오는 위협을 데이터 중심으로 분석하는 전통적 보안담당자의 관점을 전환할 때가 왔음을 강조했다. 조직의 보안활동은 데이터와 사람이 상호작용하는 교차점에 초점을 맞춰, 그에 얽힌 행동의 가시성을 높이고, 각 데이터간 의미를 연결하고, 이를 보안운영 환경에서 유연한 개인 맞춤형 정책으로 구현해야 한다고 주장했다.
이게 포스포인트가 주창하는 '사람중심 사이버보안(Human-Centric Cybersecurity)' 전략이다. 회사는 미국 방산업체 레이시온(Raytheon)이 지난 2015년 웹보안업체 웹센스(Websense)를 인수한 뒤 양사 조인트벤처로 출범한 '레이시온웹센스'를 모체로 한다. 지금 이름은 2016년 방화벽업체 스톤소프트를 인수하면서 쓰기 시작했다. 현재 미국 정부, 엑슨모빌, 델, 월마트, 도요타 등 150개국에 공공, 기업 고객을 뒀다.
야쿱 전략가와의 인터뷰를 아래 문답으로 정리했다.
- 사람중심 사이버보안 전략의 핵심을 설명해 달라
"데이터는 기업 주요 자산이다. 보안이 진화해 핵심적으로 다뤄야 할 영역은 데이터와 그걸 다루는 사람의 교차점이다. 둘을 연결해 바라보면 사람이 어떻게 데이터와 상호작용하느냐가 기업의 성장에 기여할지, 리스크 요인으로 작용할지 결정한다.
전략적으로 내부자 위협에 따른 리스크가 있는 환경에서 달성할 목적은 세 가지로 귀결된다. 사람들이 하는 일에 관련된 정보를 수집하고 그 가시성을 높이는 게 첫째다. 그렇게 호가보한 정보 접근성과 가시성을 통해 내용을 분석하고 각 데이터가 가진 의미를 연결해 그 관계를 봐야 한다. 마지막으로 그 의미를 보안운영에 반영해, 이상여부를 판단하고 우선순위를 정해 정책을 구성하면, 전통적 보안 방식이 된다.
우리가 제안하는 '리스크어댑티브프로텍션(적응형 보안)' 방법론은 다르다. 과거 보안정책을 '일대다(1:N)' 관계로 만들고 적용했다면, 리스크어댑티브한 환경은 각 행동을 하는 사람에 관한 지표와 행태 분석까지 반영된다. 보안정책을 통한 통제가 사람에 맞춤형 '일대일(1:1)'로 가능해진다.
전통적인 네트워크 보안 환경에선 보안을 데이터 중심으로, 그게 저장된 것인지, 이동중인지, 앱에 활용되고 있는지에 초점을 맞춰 바라볼 것이다. 심층적으로 내용을 파악하고 종합적인 행태를 이해하려면 다른 데이터원도 파악해야 한다. 사람의 물리적 위치가 어딘지, 근무시간이 언젠지, 출퇴근 이동 소요시간이 얼마인지, 그가 고성과자인지 저성과자인지, 급여 변동이 있었는지. 이런 정보를 함께 분석할 수 있다."
- 그 전략으로 보안효과를 달성하기 위해 필요한 핵심기술은 뭔가
"분석이다. 보안 분야의 분석은 조직 내부자 위협뿐아니라 광범위한 리스크 관리 차원에서 중요하다. 리스크를 파악하는 데 필요한 세 가지 요소가 있다. 첫재는 진단의 민감도를 높여 리스크 발생 초기에 그걸 판별하는 거다. 둘째는 나쁜 의도를 갖고 행동하는, 뭔가 숨기고자 하는 사람의 행태를 파악해내는 거다. 셋째는 시간이 지나며 변화하는 리스크 패턴에 맞춰 분석 자체를 보완하는 학습 기능이다.
보안에서 이런 기술을 구현하려면 리스크에 대응하는 방식을 전통적인 보안 환경의 (이미 발생한) 문제에 조치를 취하는 수동적인 태도에서 향후 (아직 발생하지 않은 문제를 억제하는) 능동적인 태도로 전환해야 한다. 다만 능동적인 것은 '예측하는 것'과는 구별돼야 한다. 업계에 머신러닝, 인공지능(AI) 도입 필요성 논의되며 예측 가능성이 많이 회자되는데, 아직은 능동적 대응수준을 높이는 게 현실적인 수준이다.
우리는 분절된 데이터를 연계, 유의미하게 분석함으로써 그 관계를 파악하고, 이를 통해 내부 위협의 리스크를 능동적으로 대응하는 수준을 높일 수 있다. 이런 보안은 단순히 데이터 유실과 인프라 침입같은 문제에 대응하는 것을 넘어, 핵심 비즈니스 가치와 연결된다고 본다."
- 해당 기술을 적용한 포스포인트의 솔루션은 어떻게 구성돼 있는지
"내부자 위협에 대응하는 보안은 솔루션 이상의 접근이 필요한 범위지만, 엔드포인트에 집중해 본다면 '포스포인트 인사이더 쓰렛(Insider Threat)'이 있다. 인사이더 쓰렛은 엔드포인트 플랫폼에서 직원의 행태에 따른 위협을 분석하고 리스크어댑티브프로텍션 방법론의 실현성을 높이는 데 기여하고 있다. 보안정책 기반으로 행위를 허용할지 말지 판정하는 데이터유출방지(DLP) 솔루션도 한 부분으로써 존재한다.
포스포인트가 많은 기업을 인수하며 확보한 차세대방화벽, 맬웨어탐지, 웹보안, 클라우드접근보안중개(CASB), 이메일보안, DLP, 사용자계정 및 행위 분석(UEBA) 등 여러 솔루션을 단일 시점으로 통합해 주는 건 '포스포인트 애널리틱스(Analytics)'다. 애널리틱스는 모든 솔루션의 연결고리를 맡아 진정한 사람중심 보안솔루션으로 작동할 수 있게 해준다.
DLP 정책을 적용한 환경에서 보안전문가가 개입하는 건 어떤 행위가 이미 발생한 시점에 대응하는 것에 해당한다. (포스포인트 애널리틱스는) 기존 엔드포인트 영역에서 여러 정보를 수집해 각 '퍼즐'을 조합함으로써 내부자의 의도를 파악한다. 어떤 의도에 따른 행동이 발생하기까지 기다리지 않고, 잠재적인 리스크에 능동적으로 대처할 수 있게 된다."
- 전체 위협 중 엔드포인트 기반 데이터 수집을 전제한 내부자의 의도에 집중하는 이유는
"내부자가 어떻게 데이터와 상호작용하느냐가 보안에서 큰 도전과제이자 궁극적인 문제이기 때문이다."
- 포스포인트 인사이더 쓰렛은 모든 상용 모바일, 데스크톱, 서버 엔드포인트 플랫폼을 지원하나
"수많은 운영체제(OS)와 플랫폼이 있는데 그중 상용화한 플랫폼을 대부분 지원한다. 모바일에선 주요 상용 플랫폼인 iOS와 안드로이드를 지원한다. 데스크톱에선 많이 사용하는 윈도와 맥OS를 지원한다. 다만 리눅스를 비롯한 오픈소스 플랫폼을 현재는 지원하지 않는다. 서버단에서 리눅스 플랫폼을 지원하지는 않지만 윈도서버를 지원한다. 아직 리눅스를 지원할 계획은 없다.
현재 리눅스를 지원하지 않는 이유는 이 기술이 만들어진 배경에 있다. 사람중심 보안기술은 미국 정부산하 정보기관같은 정보보호에 민감한 조직에서 오래 써 온 기술이 시초다. 이게 민간에 공급되면서 소개되기 시작했다. 미국 연방정부나 공공기관에서 대부분 마이크로소프트(MS) 윈도를 표준으로 쓰고 다른 플랫폼을 허용하지 않았는데, 이제 민간 시장의 여러 플랫폼으로 지원 폭을 넓히려 한다."
- 분석활동에서 내부위협 판별을 위해 개별 직원의 정보를 파악하는 방식에 법적인 문제는 없나
"모든 리스크관리는 법을 준수하는 범위 안에서 이뤄져야 한다. 일반적으로 의문시되는 분야라도 (리스크관리 대상으로 접근이) 허용 가능한 데이터는 있을 수 있다. 미국에서는 법무팀이 '프라이버시 임팩트 어세스먼트'라는 개인정보 영향도 평가 활동을 수행하고, 분석을 수행할 때 민감한 데이터 사용을 제한하거나 기술적인 익명화가 가능하다. 분석가로서 누군가의 정보를 가져와 개인을 역추적할 수 없다."
- 그럼 어떻게 일대일 맞춤 보안정책을 구현하고 그걸 효율적으로 관리할 수 있나
"기존 방식처럼 어떤 행위마다 일괄 적용하는 정책을 만들고, 그 예외를 만들고, 또 다른 행위에 정책을 만들고, 또다른 예외를 만들고 하는 게 아니다. 정책을 만들 때 조직 안에서 그가 어떤 역할을 수행하는지, 일상적인 업무 패턴이 무엇인지에 기반한다. 단순히 직책, 역할, 부서만으로 구별하는 건 너무 많고 복잡할 수 있다. 각 기업내 레벨(직급)별로 대여섯개, 또는 열개 수준을 나누고 그 레벨마다 역할별로 패턴을 나눌 수 있다. 그 각각에 내부 기준에 따른 리스크를 할당하고, 패턴에 따라 정책을 적용할 수 있을 것이다."
관련기사
- 포스포인트 "한국서 내부보안·CASB 큰 기회"2019.02.19
- 포스포인트, 2019년 정보보안 예측 보고서 공개2019.02.19
- "내년 보안 키워드…개인정보-GDPR-사용자 모니터링"2019.02.19
- 포스포인트, 포티넷 출신 아태지역 영업 총괄부사장 영입2019.02.19
- 국내 고객 사례는
"각 고객사와는 비공개협약(NDA)을 체결해 이름을 밝힐 수는 없다. 다만 한국에서는 내부 보유 정보자산의 가치에 민감한 회사들이 주로 활용 있다. 산업스파이 문제나 이직을 통한 회사 업무자료 유출을 우려하는 조직에서 활용하는 게 대표 사례다. 한국의 비메모리반도체 회사 중 한 곳이 이미 도입해 쓰고 있다. 몇 년 전 내부 직원이 중국의 모 회사로부터 제안을 받고 회사 기밀 자료 유출을 시도했다가 국가정보원에 발각된 사례가 있는 곳에서 PoC를 통해 우리 제품을 검토해 왔고 일부 조직에 도입하기 시작했다."