[아이티투데이 김문기 기자] 전체 보안 사고 58%가 내부의 위협에서 발생한다. 직원 또는 파트너, 공급사, 퇴직자를 통해 정보가 유출되는 사례가 외부 해커에 의한 공격보다 더 높다는 뜻이다. 내부자일 경우 정상적인 경로를 통해 자료를 빼내가기 때문에 방어를 위해 높이 쌓아올린 외부벽이 무용지물화 될 수도 있다.

▲ 로버트 라우 스플렁크 아태일본지역 부사장이 보안 위협에 효과적으로 대응하기 위해 보다 넓은 시야가 필요함을 강조하고 있다.

로버트 라우 스플렁크 아태일본지역 부사장은 22일 서울 여의도에서 열린 미디어 테이블 자리에서 “컴퓨터, 네트워크, 신용카드 등 보안 관련 문제들이 많이 발생하고 그 위협도 점점 높아지고 있다”며, “보안 사고의 절반 이상이 회사 내부자로부터 발생하고 있꼬, 보안관리자가 악의적으로 이를 이용하고 있기 때문에 그에 대한 대책이 시급하다”고 강조했다.

보안 컨설팅업체 메디언트 보고서에 따르면 2012년부터 2013년까지 보안사고들을 종합해본 결과 사고를 일으킨 해커들이 정상적인 인증 절차를 밟아서 들어오는 것으로 조사됐다. 또한 한 번 접근한 해커들은 단일 서버 접속에서 끝나는 것이 아니라 평균 40여대의 서버 데이터를 악의적으로 활용한다.

해커가 침입했는데도 불구하고 사고 인지가 늦는 것도 문제라는 지적이다. 해킹 사건을 발견하는데 걸리는 시간은 평균 243일로 조사됐다. 회사가 먼저 알고 대처한다기 보다는 외부경로를 통해 인지하는 경우가 68%를 차지했다. 가령 금융회사에 해커가 침입해 정보를 빼돌렸다면, 이에 대한 피해를 받은 소비자가 금융회사에 연락, 그 때서야 해킹을 당했음을 인식한다. 그 시간이 평균 8개월이 걸리는 셈이다.

보안사고를 미연에 방지하기 위한 기술은 계속해서 진화하고 있다. 사고도 점차 늘어나고 있다는 게 문제다. 지능화된 해커는 단순 공격뿐만 아니라 방어에 대한 우회전략까지 세워놓고 조직적으로 덤벼든다. 많은 패턴을 분석해 공격 루트를 파악하려고 하지만 패턴 분석만으로는 절대적인 방어가 어렵다.

보안팀이 해야할 일도 많다. 바이러스나 악성코드 등을 막는 일차적인 수준에서 더 나아가 외부에서 오는 디도스 공격을 막아야 한다. 기업내부 공모자들도 잡아야 한다. 소비자로 둔갑한 악의적인 공격자도, 돌변한 내부자도 효과적으로 방어할 수 있어야 한다.

스플렁크코리아 장경운 기술부장은 “보안 솔루션이 잘 갖춰진 곳이 많기는 하지만 개별적으로 관리하고 있어 동시다발적으로 여러 방향에서 터져나오는 보안 사고를 막기란 어렵다”라며, “배제된 데이터를 수집하고, 접속하며, 일반 데이터까지도 포함해서 전체적으로 분석을 해야 사고를 미연에 방지할 수 있다”고 설명했다.

스플렁크에 따르면 전통적인 SIEM에서 시야를 더 넓혀야 한다는 분석이다. 보안이 필요한 부분만을 강화할 게 아니라 전방위적인 보호가 필요하다는 진단이다.

 

가령 어떤 성에서 오랑케에게 곡식을 빼앗기지 않으려고 창고에 자물쇠를 채워놨다고 가정하면, 외부 침입 없이도 열쇠를 가진 내부자가 곡식을 빼돌릴 수도 있다. 문지기와 친하다면 더욱 쉽게 일을 진행할 수 있다. 즉 곡식을 보호하기 위해 창고벽만 두텁게 하기 보다는 성 전체를 조망할 수 있는 넓은 시야가 필요한 셈이다. 많이 봐야하는 것도 중요하고, 본 것을 분석하는 것도 필요하다. 무엇보다 일련의 과정이 실시간으로 행해져야 한다.

스플렁크는 전방위적인 보안 사고에 대비하기 위해 스플렁크 엔터프라이즈 보안 앱 3.0을 내놨다. 새로운 위협 인텔리전스 프레임워크, 새로운 데이터 유형에 대한 지원, 데이터 모델 및 피봇 인터페이스도 포함시켰다.

장 기술부장은 “전통적인 보안 데이터 영역을 넘어서 수시로 변하는 탐지 시나리오에 대해 대응하기 위한 유연한 분석 환경이 요구된다”며, “스플렁크 분석 체계가 그 해답이 될 것”이라고 자신했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사