[글 : 멘로시큐리티 마크 건트립(Mark Guntrip) 사이버보안 전략 총괄(Sr. Director, Cybersecurity Strategy)]
조직은 오늘날 고도로 정교한 공격에 대응하기 위해 위협 예방과 탐지 모두에 힘써야 한다.
보안 측면에서 보자면 전통적으로 데이터와 앱 및 사용자는 외부에서는 액세스할 수 없도록 하는 강화된 경계 뒤에 있는 데이터 센터에서 보호되어 왔다. 그간 원격 근무자에 대한 지원을 위해 원격 엔드포인트 기기 등에 대한 보안을 이야기해 왔으나 코로나19 대유행으로 인해 원격 사무실, 원격 사용자들에 대한 보안 요구사항이 폭증하면서 IT 팀은 일반 VPN을 통해 데이터 센터를 넘어서 사용자 접속 범위를 크게 확장하여 클라우드 및 엔드포인트 보안까지 모두 관리해야 한다.
특히 클라우드 시대에 도래하며 네트워크 보안 아키텍처를 완전히 바꿔 놓았다. 디지털 혁신 이니셔티브, 클라우드 마이그레이션 및 증가하는 하이브리드 근무 인력으로 인한 위협 표면의 확대로 인해 데이터 센터에서 제공했던 강력한 보안 기능을 모든 분산된 모바일 기기들로 확장해 적용하는 것은 거의 불가능하다.
이제 조직은 데이터 침해 사고를 원천 봉쇄하는 것은 불가피하다는 사실을 깨닫게 되었으며, 이에 보안 조직은 악의적인 행위자가 네트워크 내부에서 하는 행동을 탐지하고 더 큰 확산을 막는 데 중점을 둔 전략을 수립하여 실행해야 한다.
특히 이미 오래전부터 알고 있었다고 생각했던 공격 유형도 탐지 회피 기능을 강화하여 새로운 공격으로 나타나고 있다. 대표적인 것이 HEAT(회피성이 뛰어난 지능형 위협, Highly Evasive Adaptive Threats) 전술을 사용하는 것이다. 보안 담당자들은 피싱 공격을 하는 위협 행위자들의 악성 URL을 피하기 위해 노력하지만 링크를 확인해 보게 하는 공격자의 전략은 성공하고 있는 것으로 입증되고 있다.
HEAT 공격은 Java 통신 및 VPN과 같이 겉보기에 무해해 보이는 기술 사이에 숨어서 기존의 탐지 및 대응 사이버 보안 접근 방식을 우회한다. 이를 통해 악의적인 공격자는 네트워크에 침입하여 며칠, 몇 주, 심지어 몇 달 동안 기다리다가 적시에 공격할 수 있는 우선순위 대상을 찾기 위해 네트워크 전체에 은밀하게 확산된다. 탐지 기술이 향상될 때마다 회피 기능도 그만큼 향상되는 실정이다.
오늘날의 위협에 대한 예방과 탐지의 적절한 균형 유지
이제 조직은 예방 및 탐지 기술을 기반으로 하는 이중 보안 접근 방식이 필요하다. 이를 통해 HEAT 공격 대응을 위한 강력한 보안 환경을 구축하고 보안 운영을 간소화하며 긍정적인 최종 사용자 경험을 유지할 수 있다.
예방과 탐지 사이의 적절한 균형 유지를 위해 취해야 하는 보안 전략을 살펴보자.
1. 보안 우선순위를 설정하라: 일하는 방식이 변화되면서, 보안 요구 사항도 지속적으로 변경되고 있지만, 조직 특성에 맞춰 우선순위를 설정하여 보안 환경이 안정적으로 운영되고 있는지 지속적으로 확인해야 한다. 일반적인 실행 옵션이 아닌, 자사의 비즈니스 모델, 운영 구조, 앱 사용, 연결 및 업무 문화를 기반으로 보안 요구 사항을 지속적으로 평가해야 한다. 그런 다음 보안 전문가는 보호해야 할 가장 취약한 링크와 가장 중요한 자산을 식별하고 안전 여부를 확인하고 관리해야 한다. 특히 웹과 이메일을 많이 사용하는 업무 환경에 맞춰 접속 지점인 엔드포인트 기기에 대한 보안을 강화해야 한다.
2. 보안 예산 투자를 재평가하라: 멘로시큐리티의 2022년 사이버 위협 방어 보고서에 따르면 위협 증가와 위험 증가에도 불구하고 보안 지출은 전체 IT 예산의 약 12%로 감소했다. 이처럼 예산 부족으로 인해 적절한 기술에 최적의 비용을 투자하는 것이 그 어느 때보다 중요해졌다. 탐지에 너무 많은 비용을 지출하면 조직이 위험에 노출되는 동시에 보안 팀을 압도할 수 있다. 반면에 예방에 너무 많은 비용을 지출하면 침해 빈도가 줄어들 수 있지만 한번 위협 상황이 발생하면 피해가 크게 늘어날 수 있다. 조직의 고유한 보안 요구 사항에 따라 적절한 균형을 찾는 것이 중요하다.
3. 일하는 방식의 변화에 맞춰, 원격지 보안 환경을 안정적으로 운영하라: 아래 질문에 대한 답을 생각해 보자. 직원들은 다시 모두 사무실로 돌아가게 될까? 다음에 또다시 이러한 바이러스 대유행을 경험하게 된다면 어떻게 대응해야 할까? 네트워크 연결 환경은 어떻게 계속 진화할 것인가? 개인이 사용하는 기기와 업무에 사용하는 기기 사이의 구분이 명확한가? 당신이 생각하는 답이 무엇이든 간에 조직은 비즈니스가 진행되는 곳이라면 어디에서나 사용자에게 빠르고 안전한 사용자 경험을 제공할 준비가 되어 있어야 한다. 사무실로의 복귀, 재택근무 또는 일부 하이브리드 시나리오가 있더라도 업무의 미래는 클라우드에 있을 것이다. 광범위하게 분산되어 있는 모바일 자산을 보호할 수 있는 클라우드 네이티브 보안 전략을 추구해야 할 시점이다.
4. 최종 사용자 만족도를 제고 위해 쉽게 강력한 보안 환경을 운영하라: 보안은 업무 생산성을 저해하는 요소가 되면 안 된다 특정 지정 브라우저 또는 이메일 클라이언트를 사용하도록 강제하거나, 인터넷 섹션을 차단하고, 브라우저에서 잘라내기 및 붙여넣기와 같은 일반적인 기능을 비활성화하거나, 성능을 저하시키는 데이터 경로 내부에 서비스를 추가하는 것은 사용자의 불만을 증가시키는 요소가 될 수 있다. 보안은 기능 및 성능 면에서 최종 사용자 경험 및 만족도를 높일 수 있는 방향으로 적용되어야 한다. 사용하기가 불편하여 최종 사용자가 보안 시스템을 꺼놓는 일이 생기지 않게 보이지 않게 알아서 구동되는 기술 적용을 고려해야 한다.
5. 혁신적인 탐지 기술을 적용한 보안 점검 자동화로 필요 없는 보안 경고음을 최소화하라: 위협 탐지 기능은 많은 소음을 만들어낸다 보안 운영팀 직원은 보안 침해 탐지에 대한 오탐지 상황도 항상 체크해야 하기 때문에 힘들어하는 경우가 많다. 모든 이벤트, 모든 비정상적인 동작으로 인한 예기치 않은 트래픽 급증은 누군가가 조사해야 하기 때문이다. 인공 지능(AI)과 머신 러닝(ML) 등의 최신 기술을 적용되어 보안 이벤트 탐지를 자동화하여 보안 전문가가 정말 중요한 문제에 집중할 수 있도록 해야 한다.
조직의 보안 침해 사고는 절대 피할 수 있는 일이 아닌 발생할 수도 있는 일이 되고 말았다. 고도로 분산되어 있는 민첩한 조직이라면 클라우드 기반의 강력한 탐지 및 치료 솔루션을 함께 적용하여 보안 전략을 강화해야 할 시점이다.
