데이터는 산업을 불문하고 미래 핵심 가치로 떠올랐다. 기업은 비즈니스 연구, 목표 수립 등 전략을 결단하는 데 자사가 보유한 데이터를 활용하고 있으며, 이를 효율 관리하고 사용하기 위해 엄청난 노력과 비용을 들이고 있다.
다양한 기업 사이에서 데이터 관리가 커다란 쟁점으로 떠오르면서 최근 컴퓨팅 능력과 스토리지를 갖춘 클라우드를 활용하는 기업이 늘고 있다. 한 연구에 따르면 기업의 85%가 클라우드 인프라를 활용하고 있는 것으로 조사됐다.
클라우드 활용 효과를 높이기 위해 기업은 클라우드 호스팅 업체를 통해 자사 인프라 내 핵심 하드웨어(HW)와 기술 업데이트를 주기로 하고 있다. 그러나 이 과정에서 보안 문제가 발생할 수 있다는 점은 간과된다.
일부 보안업체에서는 발생 가능한 보안 사고를 예방하기 위해 이벤트 데이터를 클라우드에 송신해서 보안사고를 재연하고 확보된 데이터를 재가공, 분석한다. 이렇게 도출한 위협 정보로 후속 사고를 미리 탐지하고 보안 시스템을 보완한다.
이 같은 방식은 궁극의 보안 우려를 해결하기엔 한계가 있다. 데이터를 클라우드에 전송해서 상관관계를 확인하고, 심화 작업을 통해 원하는 정보를 얻는 과정은 그 자체로 시간이 너무 오래 소요된다. 뚜렷한 원인을 분석해 내더라도 실제 침해 방지나 진행되고 있는 공격에 대한 방어에는 너무 늦었을 때여서 완벽한 분석 결과물은 무용지물이 되기 십상이다.
클라우드를 이용한 보안 방식은 고객 개인정보를 포함한 중요 데이터가 클라우드 위험에 노출될 수 있다는 심각한 단점도 있다. 유럽연합(EU) '일반개인정보보호법(GDPR)'이나 '캘리포니아 소비자개인정보보호법' 같은 개인정보보호 규정이 강조하고 있는 내용만 보더라도 그렇다. 이들 규정은 민감한 고객정보는 클라우드에 보관해서는 안 된다고 명시, 클라우드가 보안에 취약하다는 점을 전제하고 있다.
조직 데이터를 위협으로부터 보호하기 위해서는 보안사고 분석 과정에서 엔드포인트로부터 수집되는 데이터에 대한 통제권을 보안업체가 아니라 고객인 조직이 가져가야 한다. 보안 전략상 한계를 보완하기 위해 제시되는 '킬 체인'도 더욱 신속하게 실행하고 완전히 자동화해야 한다. 악성 행위자인 해커 공격에는 권한 상승, 프로세스 주입, 지속성 확보, 내부 네트워크 이동 등 과정이 필요하다. 이런 과정을 클릭 한 번으로 진행할 수 있을 정도로 해킹 기술이 교묘하게 발달했기 때문이다. 어떤 경우 미리 구성된 스크립트에 따라 완전 자동으로 실행될 수도 있다.
지금 이 순간에도 데이터 보안을 위한 분석을 목적으로 대규모 데이터가 클라우드에 업로드되고 있다. 위험천만한 행위다. 이벤트 데이터는 클라우드가 아닌 엔드포인트에만 남아야 한다. 또 보안사고 발생 시 포렌식 분석에 필요한 핵심 중 핵심 데이터만 엔드포인트 위협 탐지와 대응 분석을 위해 수집돼야 한다.
클라우드 정보를 독립적이고 자율적인 운영이 가능한 엔드포인트에서 다뤄 킬 체인을 신속하게 사전 실행하고 예방 조치를 취하는 것만이 오늘날 초자동화된 위협 환경에서 위험을 축소시킬 수 있는 방법이다.
찰스 이건 블랙베리 최고기술책임자(CTO) mediarelations@blackberry.com
