보안 팀이 보안 도구를 구매할 때 저지르는 가장 큰 실수

보안 팀이 보안 도구를 구매할 때 저지르는 가장 큰 실수는 무엇일까? 아마드 사데딘은 '도구 구매를 프로그램 관리로 혼동하는 것'이라고 말한다.

 

도구는 프로그램 관리를 위한 일부일 뿐이지, 도구가 프로그램을 관리하는 주체가 아니라는 말이다.

따라서 도구 자체에 초점을 맞춰서는 안 되고, 보안 프로그램이 조직에게 무엇을 의미하는지, 무엇을 달성하려고 하는지에 초점을 맞춰야 한다.

1. 사이버 보안 도구에 대한 오해와 한계

사실 보안 도구는 굉장히 매력적이다. UTM, ESM, SIEM에서부터 시작하여 이미 오래 전부터 보안 도구들은 많은 것을 패키징하고 있다. 피부를 관리하기 위해 제품을 덕지덕지 바르는 게 귀찮은 사람들을 위해 올인원 제품을 내세웠더니, 올인원 제품을 사용하기만 하면서 그걸로 피부가 만사 OK라고 생각하는 것과 유사한 경우라고 할 수 있겠다. 올인원 제품은 피부 관리를 위한 패키징 제품일 뿐이지, 그것 자체가 피부 관리의 모든 것을 의미하지도 않고, 그래서는 안 되는 것이다. 그런데 많은 사람이 '보안 도구 = 보안 관리'로 착각한다. 그래서 마치 업계에서 인정하는, 인기있는 도구를 사서 설치 및 운영만 하면 모든 것이 해결될 것이라 믿는다.

2. 알려진 취약점 관리

그간 많은 보안 사고 이슈들을 살펴 보면, 알려진 취약점에서 공격이 발생한 경우가 상당히 많다. 전체의 3분의 1 정도가 해당된다고 하니 말이다. 그럼 일부는 이렇게 생각할 수도 있다. '아니, 이미 알려져 있는 취약점이라는데 왜 업데이트를 안 한거야? 왜 대비를 안 한거야?' 하고 말이다. 그러나 현실적으로 알려진 취약점들에 대한 대비를 한다는 것은 쉬운 일도, 빠른 시일 내에 해결되는 일도 아니다. 물론 A 취약점이 알려졌다면, 바로 A에 대한 취약점을 없애는 패치 혹은 업데이트를 적용하는 것은 매우 정론적인 말일 수 있다. 그런데 문제는 이것이다. A 취약점만 있는 게 아니라, A~ZZ까지 취약점이 쏟아져 나온다는 점이다. 그렇기에 수 많은 취약점 중에 정말 치명적인 취약점이 무엇인지, 우리 조직이 중요하게 여겨야 할 취약점이 무엇인지를 파악하는 것부터가 힘든 일이다. 더군다나 '취약점 패치 = 기술적 패치'가 아니다. 단순히 업데이트 한다고 해서 끝날 문제가 아니라는 점이다. 만약 그렇다면, 모든 조직이 패치를 망설일 이유가 없지 않은가. 그저1일마다 주기적으로 업데이트를 쭉 확인해서 적용하면 그만이니 말이다. 세상 모든 것에는 일장일단이 있는 법이고, 당연히 패치&업데이트도 그 철학에서 자유로울 수는 없다. 우리는 패치를 적용했을 경우 조직에 미치는 영향을 면밀히 따져야 하고, 우선순위에 대해서도 고려해야 한다. 그러다 보니 취약점 패치가 늦어지게 되고, 널리 알려진 취약점임에도 불구하고 그것에 의해 공격을 당하게 되는 것이다.

3. 효과적인 사이버 보안 프로그램 구축을 위한 모범 사례

NIST는 보안 프로그램을 '조직의 위험 관리 결정을 지원하기 위해 정보 보안, 취약성 및 위협에 대한 지속적인 인식을 유지하는 것'으로 정의한다. 보안 프로그램은 이른바 6하원칙에 대한 답을 제공하게 해주는 것이다. 그러니 도구를 일단 구매하지 말고, 그전에 보안 프로그램의 토대를 마련해야 한다. 비즈니스의 모든 계층, 영역에 그것을 마련하고, 그를 통해 보안 문화 및 시스템을 구축해야 한다.

 

프로그램을 간단하게 수식화하면, 프로그램 = 도구 + 사람 + 프로세스 + 목표가 된다. 이런 수식을 이해하면, 도구=프로그램 이라는 오해에서 벗어날 수 있을 것이다. 이런 프로그램 안에서 비로소 우리는 도구를 구매할 준비가 되는 것이다.

4. 보안 프로그램에 대한 이해관계자 참여

이해관계자의 참여는 보안 프로그램에서 정말이지 중요하다. 이해관계자의 동의와 약속이 빠진다면? 대부분의 구매는 수포로 돌아가게 된다. 이해관계자 참여를 통해 모든 사람이 사이버 보안의 중요성을 이해하고, 그 안에 있는 모호성을 제거할 수 있다. 보안 프로그램은 모든 개인이 자신의 과업과 역할을 이해하도록 돕는다. 사실 이게 실현되는 조직이 과연 있기나 할까 싶기는 하다. 보안 도구의 필요성을 이해하고 있는자? 내 생각에는 국내 회사에서는 정말 높게 쳐줘야 5%다. 그마저도 직접적으로 운용을 하는 사람이나 그 도구에 대해 이해를 하고 있을 뿐이다. 대부분의 회사에서 보안 프로그램을 전직원이 이해한다는 것은 북진통일 만큼이나 가능성이 떨어진다. 당장의 과업, 프로젝트를 하기 바쁜 와중에 누가 모이겠느냐 하는 것이다. 그렇기에 99.99% 회사는 보안 프로그램을 통해 도구에 대한 완전한 이해와 정착을 꿈꾸는 생각은 버려야 할 것이다.

결론

도구는 보안 프로그램의 일부일 뿐이며, 결코 강력한 보안 프로그램을 대체할 수 없다. 보통 보안 회사들 마다 DLP, UTM, 방화벽을 비롯한 여러 보안 도구가 있을 것인데, 그 도구를 그저 감사를 대비하기 위한 도구로 이해해야 할 것이다. 정말 보안을 위한다면, 보안 프로그램을 도입해야 할 것이고, 그게 선행되지 않는다면 도구는 그저 '우리 이렇게나 많은 도구로 대비하고 있어요'라며 형식적으로 보여주는 것에 불과할 것이다.

 

 

 

참조: https://www.darkreading.com/cybersecurity-operations/biggest-mistake-security-teams-make-when-buying-tools