데이터 기반 보안 전략
Management by Measurement
대부분 조직의 보안 관리자가 직면하는 문제 중 하나는 ‘현재 우리 조직의 보안상태는 어떠한 가?’라는 질문에 답하는 것일 것이다. 사실 이 문제는 지난 10년 전부터 언급되어 왔던 이슈로서 아직도 적절한 답을 찾기는 쉽지 않은 것 같다. ESM, SIEM 등 몇 가지 보안 솔루션이 보안현황을 보여주고 있으나 비교적 제한적인 범위의 뷰를 제공하고 있으며 주로 대응적인 활동에는 어느 정도 효과는 있으나 큰 그림을 보여주면서 사전적 활동을 하기에는 한계가 있다. 필요한 것은 다양한 소스로부터 보안 데이터를 수집하고 분석할 뿐만 아니라, 보안 프로세스를 상당 부분 자동화할 수 있는 기능이 필요하다. 즉 단순히 실시간으로 보안 활동이나 이벤트를 평가하고 탐지하는 것에 그치지 않고, 위험 수준을 측정하고 정보에 기반을 둔 의사결정과 자동화된 대응활동이 가능해야 할 것이다. 즉 단순 관제(monitor)가 아니라 측정(measure)을 기반으로 현재의 보안상태에 대한 ‘정확한’ 분석과 ‘신속한’ 의사결정이 수행될 수 있어야 한다.
과거 발생한 보안사고를 살펴보면, 보안 솔루션을 도입하였지만 보안 로그를 단순히 저장만 하고 있거나 정교하지 못한 시나리오를 적용하여 오탐이 발생하는 등 구축된 인프라에 비하여 활용이 미흡한 경우가 많아 문제점으로 지적된 바 있다. 기업 보안의 최근 동향 중 주목할 것은 바로 빅데이터 기술을 보안에 적용함으로써 실시간 분석 및 탐지뿐만 아니라 자동화된 대응까지 가능하게 하는 데이터 기반 보안(Data-Driven Security) 전략이라고 할 수 있다. 즉 APT, 소셜 엔지니어링, 내부 유출 등의 고도화된 위협에 대응하기 위해서는 정형, 비정형 데이터의 상관관계 분석, 머신 러닝 등의 방법을 통해 외부에서의 침투 또는 내부 유출 징후를 탐지하는 것에서 나아가 사전에 예측할 수 있는 첨단 분석(Advanced Analytics)이 요구된다.
보안 분석이 적용될 수 있는 분야는 크게 보안사고대응, 위협 및 취약점 관리, 그리고 보안 운영 자동화로 구분할 수 있으며, 보안사고대응과 위협 및 취약점 관리 분야에 우선적으로 적용되고 있으며, 보안 운영 자동화 및 집행력 강화 분야는 아직 초기단계로 머신러닝 등 관련 기술 발전에 따라 적용이 확대될 것으로 예상된다. 또한, 전사적 보안 인텔리전스 (Enterprise Security Intelligence: ESI))라는 개념이 최근 언급되고 있다. ESI는 조직에서 보안 및 위험관리를 위한 전략적 목표로서 명확한 산출물을 제공하고자 한다. ESI를 가능하기 위해서는 보안 솔루션으로부터 수집된 데이터뿐만 아니라 비즈니스 데이터까지 분석의 범위를 확대하고, 통합적인 관점에서 상관관계 분석을 통해 정확성을 제고하여 최적의 보안 위험관리를 수행할 수 있어야 한다.
데이터 기반의 보안 전략을 수행하기 위해서는 다음과 같은 첨단 분석 관련 3가지 시사점을 주목할 필요가 있다. 첫째, 보안 데이터 분석을 위해서는 적절한 분석 알고리즘 선택을 위한 데이터 과학(data science) 지식도 중요하지만, 데이터 분석 목적 달성을 위한 필요 데이터 수집과 데이터 준비 작업이 더 중요하다고 할 수 있다. 예를 들면, 내부 정보유출 탐지를 위해서 어떠한 사용자 행위 데이터를 수집할 것인가를 결정하는 것이 우선되어야 할 것이며, 이 데이터를 분석에 적합하도록 정리하는 작업이 더 어렵고 시간이 소요되는 작업이다. 또한 외부 전문기관에서의 보안 인텔리전스 데이터도 적극적으로 활용할 필요도 있다.
둘째, 효과적인 보안 데이터 분석을 위해서는 단순히 보안 솔루션에 나오는 이벤트 데이터(event data)만 사용하는 것이 아니라, 인사부서나 마케팅 부서 등 현업부서에서의 상태 데이터(state data)도 사용해야 할 필요가 있다. 상태 데이터는 보안 운영 활동의 우선순위를 결정하는데 필요한 환경정보를 제공하고, 이벤트 데이터와 결합하였을 때 분석의 정확성을 확보할 수 있다. 이를 위해서는 데이터의 생성, 확인, 조정 등의 제반 활동에서의 책임 문제를 해결할 수 있는 데이터 거버넌스 체계가 수립되어야 한다.
셋째, 보안 데이터 분석은 일종의 새로운 문화 형성을 위한 변화관리 관점에서 접근해야 한다. 현업부서에서의 참여가 절대적이며, 보안 분석의 가치를 명확히 측정할 수 있는 성과지표를 개발하여 측정을 통해 보안 분석의 효과를 보여줄 수 있어야 한다. 또한 테스트를 통한 학습 문화가 있어야 한다. 샌드박스 접근법을 통해 룰이나 시나리오 등을 쉽게 만들고 허물 수 있는 환경을 조성하여 분석 역량을 강화하여야 한다. 단순히 보안 솔루션에 의존하거나, 관리자의 직감과 경험에 의존하기엔 보안 위험이 너무 복잡하고 크다.
이러한 데이터 기반 보안 전략을 위해서는 무엇보다도 새로운 도전을 두려워하지 않는 절실함(urgency)과 민첩한 대응(agility) 역량이 필요하다. 큰 물고기가 작은 물고기를 잡아먹는 시대는 지났다. 빠른 물고기가 느린 물고기를 먹는 시대이기 때문이다.
