보안 위협, 빠르게 탐지하고 빠르게 대응하라

최근 시스코는 ‘시스코 2018 아태지역 보안 역량 벤치마크 보고서’를 발표했습니다. 한국을 포함한 한국 아태지역의 보안 역량과 현황에 대해  보안 전문가를 대상으로 상세하게 조사했습니다.


이에 발맞춰, 조범구 시스코코리아 대표에게 물었습니다. 한국의 보안 현황과 기업은 어떻게 대응해야 하는지에 대해서요.



넘쳐나는 디지털 디바이스 환경, 엔드포인트 보안이 먼저다


질문: 5G의 상용화가 임박해 있고, IoT 기기들도 많아져서 연결되는 기기도 많아지고 있습니다. 이렇게 되면 그만큼 더 많은 보안 이슈가 생길까요?


요즘 모바일 기기, 노트북 등 하나 이상의 디지털 기기를 소유하고 있는 것이 일반적입니다. 회사에서도 수많은 기기를 운영하고 있고요. 이런 접점들을 일컬어 엔드포인트라고 합니다. 이 모든 엔드포인트가 항상 위험에 노출되어 있습니다.


과거, 우리가 데스크톱 PC만 쓸 때는 단순한 백신 프로그램으로 대응을 했지만, 이제는 그것만으로는 대응이 되지 않습니다.


또 많은 기업들이 퍼블릭 클라우드와 프라이빗 클라우드를 함께 사용하는 멀티 클라우드 전략을 채택하고 있습니다. 이제는 클라우드 차원에서도 많은 보안 위협이 존재합니다. 하지만 담당자는 클라우드 업체가 보안을 해주지 않을까 하는 막연한 생각을 하곤 합니다. 아무리 클라우드 업체가 보안을 신경 쓴다고 하더라도, ID가 도용되는 것까지는 막기 힘들 수도 있겠죠.


질문: 시스코는 다양한 보안 위협에 대응하기 위해 어떤 노력을 하고 있나요?


시스코는 패킷부터 클라우드까지 엔드투엔드(End-to-end)를 아우르는 보안 솔루션을 제공하고 있습니다. 단말기, 즉 엔드포인트에 위협이 가해졌을 땐 EDR(Endpoint Detection and Response) 솔루션을 통해 방어를 합니다.


하지만 보다 근본적으로 보면, 멀웨어는 네트워크를 통해 방화벽이나 단말기를 만나게 됩니다. 이렇게 네트워크 안에서 해당 패킷이 멀웨어인지 아닌지 알아낼 수 있는 ETA(Encrypted Traffic Analytics)라는 솔루션이 있습니다. 패턴 분석을 통해 매우 정확하게 멀웨어를 사전에 차단할 수 있습니다.


더 알아보기: 엔드포인트 보안에서 머신러닝의 역할



너무 많은 보안 솔루션 보다는 통합이 중요


질문: 현장에서 기업은 보안 위협에 대응하는데 어떤 어려움이 있을까요?


담당자, CIO, CEO 등 다양한 분들을 만날 기회가 있었습니다. 그분들이 가장 힘들다고 공통적으로 이야기하는 건, 사용하고 있는 보안 솔루션이 너무 많다는 것입니다. 어떤 대기업은 사용하는 보안 솔루션이 50개가 되는 경우도 있습니다.


최근 발표한 ‘시스코 2018 아태지역 보안 역량 벤치마크 보고서’에 따르면, 응답한 한국 기업의 50%는 10개 이상의 보안 솔루션을 활용하고 있습니다.


이때 문제는, 10개의 각기 다른 보안 솔루션 업체가 상호 커뮤니케이션이 원활하지 못해, 보안 위협이 있을 때마다 10개의 솔루션을 제각기 업데이트를 해줘야 한다는 것입니다. 또, 보안 솔루션은 각자 고유의 전문화된 방어 영역이 있습니다. 군대로 비유해보면, 육군, 해군, 공군이 있는 셈이죠. 그래서 적이 공격을 해왔을 때는 육해공군이 서로 유기적으로 협력을 해 막아내야 하지만, 보안 솔루션 업체간의 협력이 부족하다면 오합지졸일 수 밖에 없죠. 


보안 위협은 사전에 차단을 목표로 하지만 100% 방어가 성공하는 것은 아닙니다. 이럴 땐, 얼마나 빠르게 이를 발견하고, 격리시켜 문제를 해결할 수 있느냐가 중요합니다. 때문에 보안 솔루션 업체간의 협력이 필요한 것인데, 현장에서는 부족하다고 말을 하고 있습니다. 



스마트 팩토리 보다 안전한 팩토리 우선시 되어야


질문: 또 다른 어려움은 없을까요?


시스코가 최근 강조를 하는 내용은 ‘안전한 스마트 팩토리(Secure Smart Factory)'입니다. 한국에서 IT 분야는 보안에 많은 신경을 쓰고 있지만, 공장에 해당하는 OT(운영기술)는 보안이 매우 부족한 것이 현실입니다. 


한국의 경우 기업이 해외에 공장을 세우는 경우가 많은데, 이럴 때 보안까지 신경을 못쓰는 경우를 많이 봤습니다. 많은 기업들이 ‘스마트 팩토리'를 주창하고 있는데, 일단 스마트 팩토리 이전에 ‘안전한(Secure) 팩토리’를 만들고 그 후에 스마트 팩토리를 가야 한다고 봅니다.


시스코가 공장의 보안 위협 진단을 많이 수행하고 있습니다만, 수많은 보안 취약점이 발견되고 있습니다. 대기업도 예외는 아니고요. 


더 알아보기 - 스마트 팩토리를 위한 시스코의 산업 보안 솔루션



질문: 진단을 하신다고 했는데, 실제로 어떤 문제가 있었나요?


데이터가 어디서 와서 어디로 가는지, 즉 데이터 가시성을 확보하는 솔루션을 국내 기업의 해외 공장 몇 곳에 적용했습니다.


이런 방식으로 분석을 해보니, 수많은 이상 현상들을 알아낼 수 있었습니다. 예를 들어 접근해선 안 되는 기기로 계속해서 접근하려는 시도가 있었습니다. 그래서 시스코는 이런 내용을 해당 기업 CEO에 보고를 했고, 해당 기업은 꽤 큰 문제로 받아들였습니다.


CIO들에게 들은 이야기는, 이렇게 해외에 있는 사이트는 IT담당자 한 명이 방문해 보안 솔루션을 업데이트 하는 수준에 그치고 있다고 합니다. 본사 차원의 보안을 갖추고 있지도 못하고, 지속적인 업데이트도 되지 않고 있는 현실입니다.


한 기업에서 이런 상황을 알게 됐고, 그래서 다른 기업의 해외 공장도 조사를 해봤는데 유사한 문제가 있었습니다.


그래서 시스코는 꾸준히 강조를 하고 있습니다. 스마트 팩토리로 가는 것은 분명히 중요하지만, 그 이전에 보안이 확보된 후 스마트해져야 된다고요. 보안이 철저하지 못하면, 스마트 팩토리를 통해 얻을 수 있는 데이터보다, 잃어버리는 데이터가 많아질 수 있기 때문입니다.



보안 위협의 빠른 감지와 대응


질문: 보안 위협을 원천적으로 차단하는 건 불가능에 가깝고, 빠르게 감지해서 대응하는 것이 중요하다고 했는데, 좀 더 설명을 해줄 수 있을까요?


보안이 잘 되어 있는 회사는 심지어 개인 PC에 USB조차 사용하지 못하게 되어 있습니다. 하지만 PC 이외에 수많은 장비는 USB포트가 있는데, 이를 현장에서 일일이 관리하지 못하는 경우가 빈번합니다.


물리적으로 인간이 침입해 USB등 장치를 통해 데이터를 탈취하는 일은 꾸준히 일어났습니다. 아무리 분리를 하고, 차단을 하더라도, 반드시 접점이 존재할 수 밖에 없습니다. 예를 들어 백신을 업데이트하기 위해서는 네트워크에 연결을 해야 되는데, 이 순간을 통해 침입해 데이터를 탈취하는 사례가 있습니다. 


그래서 중요한 건 보안 침해가 일어났다는 사실을 얼마나 빨리 감지해내냐 입니다. 그리고 얼마나 빠르게 대응하냐죠. 하지만 몇 달이 지나도 보안 침해가 일어났다는 사실조차 알아차리지 못하는 경우가 많습니다.


과거에는 밤에 트래픽이 많아졌다든지 하는 이상현상은 쉽고 빠르게 발견할 수 있었습니다. 하지만 최근에는 감지하기 어렵도록 데이터를 작게 쪼개 침입하는 등 매우 정교한 기법을 사용한 보안 위협이 일어나고 있습니다. 


시스코 2018 아태지역 보안 역량 벤치마크 보고서’에 따르면, 응답한 한국 기업의 61%는 하루에 5천번 이상의 보안 경보를 받고 있습니다. 10만번 이상 보안 경보를 받는 비중도 21%나 되고요. 이를 인간이 하나하나 검토하는 건 불가능에 가깝습니다. 그래서 AI, 머신러닝을 통해 보안 위협을 감지하는 방향으로 나아가야 하겠죠.



질문: 그럼 AI를 통해 어떻게 보안을 강화하나요? 시스코도 보안을 위해 AI를 활용하고 있나요?


시스코도 AI를 적극 활용하고 있습니다. 머신러닝을 통해 보안 경보를 검토하고, 실제 보안 위협이라고 판단된 소수의 경보만 담당자에게 전달해 상세한 검토를 할 수 있게 도와줍니다. 그렇기에 데이터센터나 네트워크가 담당하는 범위가 넓더라도 적은 인원으로 운영을 할 수 있습니다. 


그리고 시스코는 전세계 보안 위협에 대한 정보를 가장 많이 보유하고 있기 때문에 유효한 보안 경보를 보다 정확하게 판단해낼 수 있습니다. 데이터를 많이 가지고 있을 수록 AI가 더 많은 머신러닝을 할 수 있고, 그렇기에 더 정확한 판단을 내릴 수 있기 때문입니다. 


그리고 시스코는 탈로스라는 보안 전문 팀을 운영하고 있는데, 여기에서 하루에 200억 개가 넘는 보안 위협을 방어해내고 있습니다. 엄청난 수를 방어해내고 있는 셈이죠.


이렇게 많은 보안 위협을 방어해내고, 보안 관련 정보를 얻어낼 수 있는 이유는 전세계 네트워크 장비의 다수를 시스코에서 공급하고 있기 때문입니다. 그래서 전세계 어디에서 보안 위협이 발생하든, 시스코가 가장 먼저 접할 수 있고, 새로운 위협은 탈로스에서 연구와 분석을 통해 빠르게 보안 솔루션에 업데이트를 진행할 수 있습니다.




계속되는 보안 이슈


질문: 보안 위협이 심각하다는 뉴스는 꾸준히 나오고 있습니다. 하지만 왜 계속 이런 문제가 발생하는 것일까요?


보안 사고가 발생했을 때 얼마나 큰 손실이 일어나는지, 경영진이 체감을 잘 못하는데 있지 않을까 싶습니다. 보안 사고가 일어나면 먼저 생산에 문제가 생길 수 있습니다. 이렇게 겉으로 드러나는 손해 외에도 기업이나 정부와의 계약을 지키지 못해 발생하는 법률적 손해나 기업의 평판 하락에 인한 손해 등이 발생할 수 있습니다. 


뿐만 아니라, 보안에 대해 교육을 받을 수 있는 체계화된 교육 시스템의 부재도 한 몫 합니다. 보안 솔루션 업체가 각자 교육을 해주긴 하지만, 보안은 입체적으로 이뤄져야 하는 방어 시스템입니다. 하지만 이를 종합해서 가르쳐주는 교육 기관이나 프로그램은 아직 한국에는 부족한 것이 현실입니다. 



질문: 마지막으로 보안에 대해 가지고 계신 생각에 대해 말씀해주신다면?


시스코의 전 CEO 존 챔버스(John Chambers)가 했던 유명한 말이 있습니다. 


기업은 두가지 종류가 있다. 해킹을 당한 회사와, 해킹을 당했는지도 모르는 회사


There are two types of companies: those that have been hacked, and those who don't know they have been hacked. 


보안 침해는 계속 발생하고 있습니다. 하루에 200억개의 위협을 방어해내더라도 소수는 침입에 성공할 수 있습니다. 이때 얼마나 빠르게 위협을 탐지하고, 격리시켜 문제를 해결하느냐가 중요합니다. 시스코도 이 분야에서 많은 투자를 하고 있고요.


보안은 문제가 드러나지 않는다고 문제가 없는 것이 아닙니다. 언제나 악용될 수 있고, 항상 위험에 노출되어 있다는 걸 기억해야 합니다.