사이버 공격의 다양화, 복잡화에 따라 사용자 기업의 정보 보안 분야의 역할에도 변화가 요구된다. 표적형 공격의 위협은 2012년 들어서 더욱 심해질 것이다. 2012년 1월 13일, 일본 우주 항공 연구 개발기구(JAXA)가 표적형 공격으로 보이는 사이버 공격으로 인해 직원 클라이언트 PC에 저장되어 있던 메일 주소 1000개 및 업무 시스템의 ID/암호 정보가 유출된 사건이 있다고 발표했다.
다양화, 복잡화되어가는 사이버 공격에 사용자 기업은 어떻게 대처해야 할 것인가? 정보 보안 분야에 요구되는 역할은 무엇인가? 미국 Gartner에서 정보 보안을 담당하는 리서치 디렉터 이안 글레이저 씨에게 이야기를 들었다.
[그림] 모니터링에 필요한 내부 통제 활동
글레이저 씨는 "표적형 공격자는 기존 공격자와 행동 패턴이나 의식이 다르다"고 지적한다. "전통적인 공격자는 공격하려고 하는 기업의 보안 수준이 높으면 보안 대책이 허술한 다른 기업을 공격했다. 하지만 표적형 공격자는 보안 수준에 관계없이 노린 기업을 집요하게 공격한다". 글레이저 씨는 또한 "표적형 공격자의 의식은 높은 기술과 자금력도 풍부하고, 성공할 때까지 여러 공격 방법을 시도 하는 등 끈기도 있다"고 주의를 촉구했다.
사이버 공격 방법과 공격자의 다양화가 과제
글레이저 씨는 사이버 공격의 상품화와 상업화가 진행되고 있는 것도 위협을 확대하고 있다고 지적한다. "취약점과 인증 정보, 정보 자산에 대한 경매 등 언더그라운드 경제권은 확실히 존재한다. 풍부한 자산을 가진 글로벌 기업은 공격자의 좋은 표적이다". 공격 방법의 다양화도 고민 거리다. 표적형 공격자는 다양한 공격 방법으로 복합 공격을 한다. 글레이저 씨는 사회 공학 및 피싱, 악성 코드, 제로 데이 공격 등을 예로 든다.
사용자 기업이 앞으로 해야 할 보안
사이버 공격이 고도화, 복잡화되어 현재 사용자 기업은 어떤 대책을 강구하면 좋은 것일까. 중요성을 인식해야 한다고 글레이저 씨가 지적하는 것이 "위협 평가", "모니터링"이다.
- 위협 평가
위협 평가는 정보 유출 등의 사고를 가져올 잠재적인 원인을 분명히 하는 것이다. 위협 평가를 하는 것의 이점은 무엇인가?. 글레이저 씨는 "보안 대책의 우선 순위가 쉽게 될 것"을 꼽는다. "공격자, 공격 방법, 공격의 이유 등을 분석하여 공격을 탐지하고 방지하기 위해 먼저 무엇을 해야 할지 명확하게 된다"
"위협 평가를 위한 방법은 풍부하다"고 글레이저 씨는 설명한다. 위협 평가 서비스 외에도 관리 보안 서비스 및 침입 테스트, 보안 컨설팅 서비스 등도 위협 평가의 메뉴에 포함된다. "최소한 위협 정보 공유 포럼에 참여하고 신뢰할 수 있는 공급 업체에 문의하는 등 노력을 시작해야 한다"고 글레이저 씨는 조언한다.
위협 평가의 실행에 있어서 자신이 경험한 과거 보안 사고를 조사하고 여러 위협을 고려하여 자사가 공격받을 가능성에 대해 이해하는 것이 필요하다고 글레이저 씨는 지적한다. "위험이 높다고 판단하고 위협에 대해서는 시뮬레이션과 모델을 이용하여 철저하게 분석해야 한다"고 말했다.
- 모니터링
네트워크 및 시스템 로그, 이벤트 정보를 상시 수집하는 모니터링도 중요하다고 글레이저 씨는 지적한다. 모니터링을 제공하는 보안 툴의 예는 다음과 같다.
* IDS (침입 탐지 시스템) / IPS (침입 방지 시스템) : 네트워크 및 호스트에 대한 공격을 탐지
* SIEM (보안 정보 및 이벤트 관리) : 이벤트 및 로그 수집 및 분석
* EFM (기업 부정 행위 관리) : 비즈니스 로직에 대한 보안 분석
* NBA (네트워크 행동 분석) : 네트워크의 비정상적인 행동을 탐지
* DLP (Data Loss Prevention) / DAM (데이터베이스 작업 감사) : 데이터와 데이터베이스 모니터링
글레이저 씨는 이러한 보안 제품에서 얻은 정보에서 위협을 알리는 "보안 인텔리전스"이며, 향후 중요한 것이라고 견해를 나타낸다. "여러 보안 정보를 상관 분석하여 위협의 전조를 조기에 발견할 수 있다".
글레이저 씨는 "우선 IDS/IPS와 NBA 등은 보안 정보 수집을 최대한 자동화하는 것이 중요하다"고 지적한다. 게다가 SIEM 등의 상관 관계 분석 기능을 가진 보안 제품을 사용하여 수집한 정보를 분석한다.
ㅇ 정보 보안 분야에서 향후 요구되는 역할은?
글레이저 씨는 사용자 기업의 정보 보안 분야에서 기대되는 역할의 중심은 "보안 제품의 구현 및 운영에서 조직, 직원, 파트너 교육으로 이동하는 것"이라고 지적한다. 고도화, 복잡화하는 사이버 공격에 대처하려면, 사이버 공격 등 보안에 대해 사내 모든 지식이 필요하다는 생각에 근거한다.
정보 보안 분야에서 주력해야 할 역할로서 글레이저 씨는 다음 네 가지를 꼽는다.
* 현업 부서와 IT 부문에 대한 자문 서비스
* 내외부의 위협 평가(외부 위협 평가, 정보 제공, 내부 감사 등)
* 비즈니스 리더와 직원에 대한 보안 정보 제공과 교육
* IT 인프라의 방어 체제 구축 (IT 인프라 운영 부문과 협력)
이러한 역할을 바탕으로 "부분적인 대책 강화에 그치지 않고, 회사 전체의 보안을 종합적으로 올리는 관점을 가지는 것이 중요하다"고 글레이저 씨는 조언한다.
원본출처: techtarget.itmedia.co.jp