[보안칼럼]보안관제 서비스의 중요성

[보안칼럼]보안관제 서비스의 중요성

사이버 보안은 공격은 허용되지 않고 방어만 해야 하는 싸움이다. 공격은 국가기관이 아니고는 불법 행위자만이 할 수 있다. 공격자는 수백만건의 공격을 손쉽게 할 수 있고, 단 한 번의 방어 실패로 개인이나 기관은 치명상을 입는다. 기업·개인에게 전적으로 불리한 게임이다.

네트워크와 IT 기기를 모두 버리지 않는 한 사이버 공격으로부터 100% 안전하게 숨을 곳은 없다. 사이버 공격을 완전히 막을 수 없다면 우리는 어떻게 해야 할까. 서비스 환경에 맞는 정보보호시스템을 도입하고, 위험성을 분석할 수 있는 전문 인력을 통해 위험성을 사전에 파악해야 한다. 예방 활동뿐만 아니라 이상징후 탐지·분석·대응 등 꾸준한 관리와 관심을 통해 사이버 공격 피해를 최소화하는 데 중점을 둬야 한다.

이런 일련의 활동을 24시간 365일 지속하는 게 보안 관제 서비스다. 보안관제서비스는 사이버 방어의 최전선이다. 하나의 사례다.

2021년 4월 A사는 클라우드에 있는 서버에 웹셸이 계속 삽입되고 파일이 변조되는 해킹을 당했다. A사 자체적으로 해결 방안이 없어서 난감해 하고 있었다. A사는 침해사고 해결을 위해 클라우드보안서비스를 제공하는 필자의 회사에 보안관제서비스를 의뢰했다.

문제의 원인이 되는 것은 웹셸이었다. 신종 변형 웹셸이어서 웹 방화벽의 패턴도 우회하고, 웹셸탐지시스템도 탐지하지 못하는 유형으로 지속 삽입되고 있었다.

침해사고대응팀에서 신종 변형 악성코드를 찾아내 삭제하고, 취약점 보완 작업을 지속하며 해커의 공격에 대응했다.

약 2주 동안의 밤낮없는 공방 후(사실 우리는 방어만 했다) 해커로부터 메시지가 왔다.

“Dear administrator, I'm sorry to disturb you during this period of time. I have realized that my behavior was wrong. I will not disturb you again.”(해당 기간에 불편을 끼쳐 미안하다. 내 행동이 잘못됐음을 깨달았다. 다시는 방해하지 않겠다)

이후 추가 침해는 없었다. 해커 입장에서도 생산성을 높이기 위해서는 대응력이 강한 상대를 굳이 찾을 필요가 없다. 쉬운 상대를 찾는 것이 효율적이기 때문이다

기업이 사이버 공격에 대한 효과적 대응 체계를 갖추기 위해서는 정보보호 조직의 역할이 무엇보다 중요하다. 시시각각 변화하고 진화하는 사이버 공격의 위험에 대비하기 위해서는 위협 정보를 신속히 확보하고, 적용하는 것이 필요하다. 그러나 일반 기업 입장에서 최신의 보안위협 정보 취득에는 한계가 있다. 또 보안 솔루션 운영 및 관리, 탐지·분석·대응·예방 업무를 모두 아우르는 검증된 전문 인력 확보가 쉬운 일이 아니다.

솔루션 회사는 필요한 기능을 만들고, 보안관제 서비스 회사는 만들어진 솔루션을 적절히 활용해서 사이버 보안이라는 최종 목표를 달성한다. 마치 전쟁에서 방산업체가 좋은 무기를 생산하고, 군이 다양한 무기와 장비를 활용해 전투에서 승리하는 것과 같다.

보안관제는 직접 전투를 수행하는 최일선의 방어군이다. 사이버 보안은 몇 개의 솔루션을 도입했다고 해서 해결되지 않는다. 인공지능(AI)·빅데이터 등을 통한 보안관제 자동화가 이뤄져도 다양한 보안정보의 유기적 통합, 위협 상황에 대한 경험을 토대로 한 순발력 등 전문 인력의 개입 없이는 보안이 불가하다. 향후 보안관제 자동화 기술 발전 속도가 사이버 공격기술 진화 속도를 얼마나 따라잡을 수 있을까. 필자의 견해로는 AI에 의한 보안관제 완전 자동화는 보안관제 기술이 진보하는 동안 해커도 저만큼 진화해 갈 것이기 때문에 보안 분야의 영원한 숙제일 것이다.

이민수 한국통신인터넷기술 대표 mslee@ictis.kr