최신뉴스
[XDR·SOAR①] “너무 많은 보안 솔루션이 가장 큰 위협”
admin
2021-03-05
조회수 941
복잡해지는 보안 운영, 통합·자동화로 단순화해야
보안 솔루션마다 이벤트 포맷·위협 판단 기준 달라 통합 어려워
[데이터넷] 코로나19 백신 접종이 시작되면서 연내 일상을 회복할 수 있다는 기대가 높아지고 있다. 보안 관점에서 일상으로의 회복은 또 다른 사이버 위협 패턴의 등장을 의미한다. 코로나19 이전과 진행중인 현재 시점에서의 공격, 여기에 포스트 코로나 시대의 특성을 악용한 공격이 추가될 것이다.
지난해 말 여러 시장조시기관과 보안 전문기업들이 2021년 보안위협 전망을 발표하면서 ▲사무실로 돌아온 직원들의 생산성 향상 도구를 가장한 악성 앱 ▲여행 관련 정보를 제공하며 개인정보 탈취, 악성도구 유포 ▲사무실 근무와 원격·재택근무를 병행하는 상황을 이용한 계정탈취 공격, 탈취한 계정 정보로 정상 사용자로 위장해 접근하는 공격 등이 등장할 것으로 예상했다. 또 클라우드와 OT·IoT 환경을 노리는 공격은 코로나19와 포스트 코로나 시대에 더욱 더 진화한 형태로 발전할 것으로 보인다.
“너무 많은 보안 솔루션이 가장 심각한 문제”
새로운 공격 유형이 등장하면 이에 대응하기 위한 보안 전략이 마련되고 관련 솔루션이 도입된다. 통합되지 못하는 포인트 보안 솔루션이 늘어나면서 보안 복잡성이 높아지고, 보안 분석가들이 분석하지 못한 이벤트가 쌓이며, 탐지된 위협조차 인지하지 못한다.
실제로 보안 조직이 호소하는 가장 큰 어려움은 ‘진화하는 위협’이 아니라 ‘너무 많은 보안 솔루션을 관리하기 어렵다’는 것이다. 이는 여러 전문기관의 조사 보고서에서 지적한 문제다. 예를 들어 엔터프라이즈 전략 그룹(ESG)의 보고서에서는 보안 분석가가 올바른 이벤트에 집중할 수 있도록 위협 이벤트에서 노이즈를 필터링하는 것이 가장 필요하다고 답한 조직이 38%로 가장 많았다.
포네몬인스티튜트의 ‘보안운영센터(SOC) 운영: 효과적인 결과를 위한 실질적 비용’ 보고서에서는 조사 대상자의 51%가 SOC에 대한 ROI가 감소하고 있다고 답했는데, 같은 질문에 2019년에는 44%가 답했다. 또 이용중인 SOC가 복잡하다는 평가는 80% 이상으로, 2019년 74%보다 증가했다.
▲보안운영센터(SOC) 관리의 복잡성과 공격 탐지의 효율성(자료: 포네몬인스티튜트 ‘SOC 운영: 효과적인 결과를 위한 실질적 비용’)
복잡해지는 보안 문제를 해결하기 위한 방법은 통합과 자동화다. 여러 보안 솔루션을 유기적으로 통합해 개별 보안 솔루션에서 발생하는 이벤트를 연계 분석하고 탐지된 위협의 특성과 패턴에 따라 자동화된 대응으로 SOC 인력의 부담을 줄여야 한다.
보안 통합과 자동화는 SOC 부담을 줄일 뿐 아니라 발생한 침해를 해결하는 비용을 줄인다는 연구결과도 있다. IBM ‘2020년 데이터 유출 비용 보고서’에 따르면 비즈니스 전반에 보안 자동화를 배포한 기업은 데이터 유출 시 245만달러의 비용을 지불했는데, 그렇지 않은 기업은 603만달러의 비용을 지불했다.
모든 보안 이벤트는 통합되고 자동화돼어야 하지만, 그 중에서도 통합·자동화 가능성이 높은 분야로 가트너는 ▲사고 대응 조사와 정보 연관성 ▲수정과 복구 ▲설정 모니터링과 유지관리 ▲취약성 탐지와 패치관리 ▲ID와 액세스 관리 ▲침투테스트·애플리케이션 보안 테스트 등을 들었다.
이러한 활동은 규칙적이고 반복적인데, 시간과 리소스를 많이 사용하며 인적 오류가 발생하기 쉽다. 그래서 자동화를 통해 시간과 리소스, 실수를 줄이고 보안 인력이 더 가치있는 일에 집중할 수 있도록 도와준다.
쉽지 않은 보안 솔루션 통합·자동화
통합과 자동화는 쉽게 구현할 수 있는 것이 아니다. 보안조직은 평균 50여개 벤더의 솔루션을 사용하는데, 각각의 벤더에서 생성하는 이벤트 포맷이 다르고, 개별 장비 특성마다 이벤트의 위협 수준을 결정하는 기준도 다르다. 동일 벤더의 솔루션이라도 표준을 따르지 않는 장비는 통합이 어렵다.
클라우드 보안 연합(CSA)의 ‘클라우드 기반 인텔리전트 에코시스템’ 보고서에서 보안 솔루션의 통합이 어려운 이유로 다음의 다섯 가지를 들었다.
보안 기술·공격자의 빠른 변화: 통합 솔루션이 안정화되는 속도보다 공격기술과 보안기술이 더 빠르게 변하기 때문에 신종 위협 방어를 위한 통합 솔루션을 공급하는 것이 어렵다.
‘단일창’의 한계와 교육의 문제: 이종 솔루션의 이벤트를 단일 창에 구현하는 것이 관리 편의성을 위해 좋지만, 이벤트 데이터의 풍부한 속성과 다양한 악성 활동을 모두 표현하기가 어렵다. 또 조직은 SIEM, 사례관리, 오케스트레이션 등 개별 솔루션 운영을 위한 교육에 상당한 투자를 했기 때문에 통합 솔루션 교육을 위해 또 다시 투자하는 것을 반기지 않는다. 분석가들은 선호하는 플랫폼으로 수동으로 데이터를 가져오는데, 데이터 사일로가 생길 수 밖에 없다.
데이터 교환 프로토콜의 부재: 이종 장비에서 이벤트를 가져오기 위해 STIX, TAXII 등 표준 프로토콜이 제안되지만, 모든 보안 솔루션이 이를 지원하지 않아 이용에 제한이 있다. 많은 보안 공급업체들이 마이터 어택(MITRE의 ATT & CK) 프레임워크를 채택하는데, 이를 완전히 이해하는 것도 쉬운 일은 아니다.
통합·자동화되지 않는 데이터: 이벤트 데이터가 다양한 형식, 프로토콜, 컨텍스트를 갖는데, 각각의 예외상황을 이해하지 않은 상태에서 무조건적인 통합과 자동화는 중요한 보안 이벤트를 놓치게 만든다.
보안 시스템 별 데이터 가치의 상이성: 단일 관점에서 개별 보안 시스템에서 생성된 데이터를 처리하는 것이 쉽지 않다. 데이터 과학을 적용해 발견한 데이터의 복잡한 관계를 이해해야 한다. 머신러닝을 통해 전체 보안 에코시스템을 완성시켜 나가야 한다.
출처 : 데이터넷(http://www.datanet.co.kr)
보안 솔루션마다 이벤트 포맷·위협 판단 기준 달라 통합 어려워
[데이터넷] 코로나19 백신 접종이 시작되면서 연내 일상을 회복할 수 있다는 기대가 높아지고 있다. 보안 관점에서 일상으로의 회복은 또 다른 사이버 위협 패턴의 등장을 의미한다. 코로나19 이전과 진행중인 현재 시점에서의 공격, 여기에 포스트 코로나 시대의 특성을 악용한 공격이 추가될 것이다.
지난해 말 여러 시장조시기관과 보안 전문기업들이 2021년 보안위협 전망을 발표하면서 ▲사무실로 돌아온 직원들의 생산성 향상 도구를 가장한 악성 앱 ▲여행 관련 정보를 제공하며 개인정보 탈취, 악성도구 유포 ▲사무실 근무와 원격·재택근무를 병행하는 상황을 이용한 계정탈취 공격, 탈취한 계정 정보로 정상 사용자로 위장해 접근하는 공격 등이 등장할 것으로 예상했다. 또 클라우드와 OT·IoT 환경을 노리는 공격은 코로나19와 포스트 코로나 시대에 더욱 더 진화한 형태로 발전할 것으로 보인다.
“너무 많은 보안 솔루션이 가장 심각한 문제”
새로운 공격 유형이 등장하면 이에 대응하기 위한 보안 전략이 마련되고 관련 솔루션이 도입된다. 통합되지 못하는 포인트 보안 솔루션이 늘어나면서 보안 복잡성이 높아지고, 보안 분석가들이 분석하지 못한 이벤트가 쌓이며, 탐지된 위협조차 인지하지 못한다.
실제로 보안 조직이 호소하는 가장 큰 어려움은 ‘진화하는 위협’이 아니라 ‘너무 많은 보안 솔루션을 관리하기 어렵다’는 것이다. 이는 여러 전문기관의 조사 보고서에서 지적한 문제다. 예를 들어 엔터프라이즈 전략 그룹(ESG)의 보고서에서는 보안 분석가가 올바른 이벤트에 집중할 수 있도록 위협 이벤트에서 노이즈를 필터링하는 것이 가장 필요하다고 답한 조직이 38%로 가장 많았다.
포네몬인스티튜트의 ‘보안운영센터(SOC) 운영: 효과적인 결과를 위한 실질적 비용’ 보고서에서는 조사 대상자의 51%가 SOC에 대한 ROI가 감소하고 있다고 답했는데, 같은 질문에 2019년에는 44%가 답했다. 또 이용중인 SOC가 복잡하다는 평가는 80% 이상으로, 2019년 74%보다 증가했다.
▲보안운영센터(SOC) 관리의 복잡성과 공격 탐지의 효율성(자료: 포네몬인스티튜트 ‘SOC 운영: 효과적인 결과를 위한 실질적 비용’)
복잡해지는 보안 문제를 해결하기 위한 방법은 통합과 자동화다. 여러 보안 솔루션을 유기적으로 통합해 개별 보안 솔루션에서 발생하는 이벤트를 연계 분석하고 탐지된 위협의 특성과 패턴에 따라 자동화된 대응으로 SOC 인력의 부담을 줄여야 한다.
보안 통합과 자동화는 SOC 부담을 줄일 뿐 아니라 발생한 침해를 해결하는 비용을 줄인다는 연구결과도 있다. IBM ‘2020년 데이터 유출 비용 보고서’에 따르면 비즈니스 전반에 보안 자동화를 배포한 기업은 데이터 유출 시 245만달러의 비용을 지불했는데, 그렇지 않은 기업은 603만달러의 비용을 지불했다.
모든 보안 이벤트는 통합되고 자동화돼어야 하지만, 그 중에서도 통합·자동화 가능성이 높은 분야로 가트너는 ▲사고 대응 조사와 정보 연관성 ▲수정과 복구 ▲설정 모니터링과 유지관리 ▲취약성 탐지와 패치관리 ▲ID와 액세스 관리 ▲침투테스트·애플리케이션 보안 테스트 등을 들었다.
이러한 활동은 규칙적이고 반복적인데, 시간과 리소스를 많이 사용하며 인적 오류가 발생하기 쉽다. 그래서 자동화를 통해 시간과 리소스, 실수를 줄이고 보안 인력이 더 가치있는 일에 집중할 수 있도록 도와준다.
쉽지 않은 보안 솔루션 통합·자동화
통합과 자동화는 쉽게 구현할 수 있는 것이 아니다. 보안조직은 평균 50여개 벤더의 솔루션을 사용하는데, 각각의 벤더에서 생성하는 이벤트 포맷이 다르고, 개별 장비 특성마다 이벤트의 위협 수준을 결정하는 기준도 다르다. 동일 벤더의 솔루션이라도 표준을 따르지 않는 장비는 통합이 어렵다.
클라우드 보안 연합(CSA)의 ‘클라우드 기반 인텔리전트 에코시스템’ 보고서에서 보안 솔루션의 통합이 어려운 이유로 다음의 다섯 가지를 들었다.
보안 기술·공격자의 빠른 변화: 통합 솔루션이 안정화되는 속도보다 공격기술과 보안기술이 더 빠르게 변하기 때문에 신종 위협 방어를 위한 통합 솔루션을 공급하는 것이 어렵다.
‘단일창’의 한계와 교육의 문제: 이종 솔루션의 이벤트를 단일 창에 구현하는 것이 관리 편의성을 위해 좋지만, 이벤트 데이터의 풍부한 속성과 다양한 악성 활동을 모두 표현하기가 어렵다. 또 조직은 SIEM, 사례관리, 오케스트레이션 등 개별 솔루션 운영을 위한 교육에 상당한 투자를 했기 때문에 통합 솔루션 교육을 위해 또 다시 투자하는 것을 반기지 않는다. 분석가들은 선호하는 플랫폼으로 수동으로 데이터를 가져오는데, 데이터 사일로가 생길 수 밖에 없다.
데이터 교환 프로토콜의 부재: 이종 장비에서 이벤트를 가져오기 위해 STIX, TAXII 등 표준 프로토콜이 제안되지만, 모든 보안 솔루션이 이를 지원하지 않아 이용에 제한이 있다. 많은 보안 공급업체들이 마이터 어택(MITRE의 ATT & CK) 프레임워크를 채택하는데, 이를 완전히 이해하는 것도 쉬운 일은 아니다.
통합·자동화되지 않는 데이터: 이벤트 데이터가 다양한 형식, 프로토콜, 컨텍스트를 갖는데, 각각의 예외상황을 이해하지 않은 상태에서 무조건적인 통합과 자동화는 중요한 보안 이벤트를 놓치게 만든다.
보안 시스템 별 데이터 가치의 상이성: 단일 관점에서 개별 보안 시스템에서 생성된 데이터를 처리하는 것이 쉽지 않다. 데이터 과학을 적용해 발견한 데이터의 복잡한 관계를 이해해야 한다. 머신러닝을 통해 전체 보안 에코시스템을 완성시켜 나가야 한다.
출처 : 데이터넷(http://www.datanet.co.kr)
하단영역
본사 : 강원특별자치도 원주시 시청로 553 글로벌빌딩 3층 (Tel 033-762-4500 Fax 033-762-4502)
서울지사 : 서울시 강서구 등촌동 628-9, 7층(더스카이밸리 5차 지식산업센터) (Tel 02-782-7100 Fax 02-782-7107)
대전지사 : 대전시 서구 남선로 65, 2층(탄방동) (Tel 1899-2520)
사업자등록번호 : 107-87-14164 Tel : 1899-2520 E-mail : sh_sales@shcns.co.kr
Copyright © (주)신화씨엔에스 Co., Ltd. All Rights Reserved.