정유년 새해가 밝았다. 하루 이틀 시간이 흐르다 보면 연초에 한 굳은 다짐도 작심삼일로 끝나기 마련이다. 작심삼일로 끝나서는 안 되는 일이 있다. 바로 보안 투자다. 지난해에 떠들썩한 사이버 침해 사고들을 돌이켜볼 때 해킹 사고를 그저 우리 조직과 상관없는 남의 일로 치부해서는 안 된다는 것이 분명해진다. 사이버 보안 전망을 짚어 보며 올해 보안 계획을 세워야 할 때다.
올해 사이버보안 업계에서 주목해야 할 분야는 바로 보안 자동화와 엔드포인트 보안 분야다. 지난 몇 년 동안 기업들은 무수한 보안 경보 조치를 처리하기 위해 수많은 인력을 투입하고, 함께 연동하기 어려운 서로 다른 보안 기술과 인프라를 운용하기 위해 상당한 비용을 지출했다. 이제 기업들은 인력, 비용, 프로세스 등의 관리를 최적화하고 단순화하는 보안 자동화에 눈을 돌려야 한다.더욱이 국내 기업들이 당면한 보안 관련 문제는 솔루션 부족 문제가 아니다. 기업들은 이미 많은 보안 솔루션을 도입했으며, 그로부터 많은 보안 이벤트(사건)가 탐지된다. 그러나 많은 이벤트 가운데 실제 위협을 찾아내고 그에 대한 조치를 어떻게 해야 하는지에 대한 프로세스 정립이 체계화되지 못했다. 이에 따라서 이 모든 프로세스를 자동화하는 보안 오케스트레이션 솔루션이 필요하다. 최소한의 인력 개입으로 사이버 위협에 대응하는 자동화는 사이버 보안 업계가 고질병으로 안아 온 문제점인 전문 인력 부족난의 해결로 가능하다.
파이어아이 고객사를 대상으로 살펴본 결과 2016년 상반기 동안 적어도 한 차례 이상 지능형지속공격(APT)을 받은 국내 기관은 43.5%로, 이는 아시아·태평양 지역에서 가장 높은 수치다. 이처럼 APT에 노출돼 있는 상황에서 기관들이 가장 주의해야 할 부분은 엔드포인트 보안이다. 실제로 지난해 국내에서 일어난 대형 보안 사고 사례에서도 해커는 개별 사용자를 표적으로 APT를 가해서 네트워크 내부로 침투하는 형태로 정보를 빼돌렸다.
해커 입장에서 엔드포인트는 대체로 보안 관련 지식이 별로 없는 사용자가 있을 뿐만 아니라 공격 범위를 넓게 제공한다는 점에서 매우 중요한 접근 포인트다. 그러나 기존의 엔드포인트 보호 솔루션들은 고도화된 공격이나 APT에 대응하도록 설계되지 않았다. 이들은 주로 업데이트가 자주 필요한 정태 패턴 또는 시그니처 파일에 기반을 두고 있다. 이러한 기술은 알려진 패턴의 위협 시나리오에 대해서만 효과를 발휘한다. 이제는 더 이상 모든 시그니처 파일이 최신 버전으로 업데이트돼 있기만을 바랄 수 없다. 심지어 업데이트된 상태라 하더라도 유능한 해커들은 발전된 기술을 통해 정태 방어 기술을 우회할 수 있다.
엔드포인트 보안 개선을 위한 해결책은 기존의 보안 시스템을 버리는 것이 아니라 오히려 이를 인텔리전스와 가시성으로 무장하는 것이다. 엔드포인트와 인텔리전스를 공유해 엔드포인트뿐만 아니라 전체 네트워크를 보호할 수 있다. 보안 담당자들은 공유된 인텔리전스를 활용, 엔드포인트 방어 시스템을 실시간으로 조정함으로써 더 효과 높게 위협으로부터 조직을 보호할 수 있다.
미우주무(未雨綢繆)라는 말이 있다. 비가 오기 전에 창문을 고친다는 뜻으로, 사이버 침해가 계속되는 상황에서 기업들이 신년을 맞이하며 갖춰야 할 자세와 일맥 상통한다. 신년에 기업들은 미우주무 자세로 적절한 보안 솔루션 투자를 통해 사이버 침해에 더 적극 대비해야 할 것이다.
전수홍 파이어아이 코리아 대표 soohong.jun@fireeye.com