2017년 11월 20일 월요일

네트워크 보안 실무

2012년, 'IDS와 보안관제의 완성' 초고를 완성한 나는 다음 문구를 두고 살짝 고민중이었다.

"IDS의 오탐, 즉 부정확한 패턴매칭의 문제를 해결한 국가나 기업이 있을까? 다행인지 불행인지 모르겠지만, IDS를 만든 미국도 아직 해결책을 찾지 못한 것으로 보인다." (455 페이지)

나름 열심히 해외 사례를 찾아본 결과, 미국은 물론, 그 어디에서도 문제 인식 단계를 벗어나지 못했다는 결론을 내렸지만 중2 수준의 내 영어 실력이 영 찜찜했기 때문(..)

그래서 다시 폭풍 검색을 하다 발견한 글귀.

"왜 대부분의 IDS가 무용지물이 되어 가고 있는지"

700여 페이지에 달하는 방대한 분량 대부분을 네트워크 분석을 위한 오픈소스 도구 소개에 할애하고 있지만, 곳곳에서 네트워크 보안에 대한 저자의 철학과 고뇌를 엿볼 수 있는 '네트워크 보안 실무'의 출판사 리뷰였다.

  • 네트워크 보안 실무 (685 페이지)
"IPS는 IDS 기능, 침입탐지 기능이 선행돼야 함에도 불구하고 2003년은 IDS에 대한 실망감이 IPS에 대한 희망으로 이전하는 시기"
  • IDS와 보안관제의 완성 (29페이지)
"IDS의 핵심 기능은 사전에 정의된 룰과 트래픽의 비교를 통해서 보안 위협을 찾아내는 것이며, IPS 역시 마찬가지"

  • 네트워크 보안 실무 (418 페이지)
"종종 분석가의 의견은 개발자의 의견보다 중요하지 않게 다루어진다. 필자는 많은 NSM(Network Security Monitor) 운영 과정에서 개발자에 의해 정의된 사항에 대한 갈등을 겪는 것을 보아왔다."
  • IDS와 보안관제의 완성 (282 페이지)
"엔지니어도 제대로 이해하지 못하고 어려워하는 제품을 사용자가 제대로 사용할 리 만무... 보안솔루션 벤더들이 기술지원 엔지니어의 의견에 조금만 더 귀를 기울여줬으면 하는 바람"

  • 네트워크 보안 실무 (675 페이지)
"대량 경보에 의한, 대량 정보가 수집되면 이 정보의 홍수 속에 정말 중요한 정보가 묻힐 가능성이 커진다. 이러한 대량 경보 발생 공격은 잘 만들어지지 않은 IDS 시그니처가 그 원인인 경우가 대부분"
  • IDS와 보안관제의 완성 (453 페이지)
"체계적인 룰 정확도 향상이 이루어지지 못하면서 부정확한 로그가 대량 발생"

다 읽은 후, 사람들이 내가 이 책 베낀줄 알면 어쩌나 하는 걱정이 들었다. 한편으론 비슷한 생각을 하는 사람이 미국에도 있다는 사실에 기쁘기도 했다. 같은 출판사에서 내 책도 출간하고 싶다는 생각이 들 정도.

실제 해당 출판사와 미팅도 했었는데, 잘 되진 않았다. '네트워크 보안 실무'와 비슷한 책이라고 했더니, 담당자 표정이 살짝 심드렁해지더라. 판매가 신통치는 않았었던 모양.

일단 저자는 IDS의 가장 치명적인 오탐 문제를 지적했다. 그리고 제시한 해결책은 분석가의 분발(..) 오만 가지 도구를 이용해서 더 정밀한 분석을 해야 한다는 것. 물론 니네만 잘 하면 된다는 식은 아니고, 분석가의 열악한 업무 환경에 대한 언급도 해준다.

"분석가는 반드시 자신의 의견을 개발자에게 효과적으로 전달하는 통로를 가지고 있어야 한다. 이를 위한 가장 중요한 채널에는 IDS 시그니처 고도화 작업이 있다." (418 페이지)

"NSM 운영의 문제점은 이를 진행하는 조직과 업무 프로세스에서 기인하는 경우가 많다. 분석가는 종종 과중한 업무에 시달리거나, 적절하게 훈련되어 있지 않거나, 적은 급여를 받는 경우가 많이 있다." (682 페이지)

잠깐 눈물 좀 닦고이런 문제가 무려 2004년에 제기됐다. 이제 미국은 문제를 해결했을까? 아니라고 생각한다. 만약 이 책이 미국에서 흥했다면, 그래서 문제가 해결됐다면 대한민국에서도 문제가 사라졌겠지. 미국 트렌드는 금방 유행하니까.

마초 냄새 풀풀 나는 리차드 형님
저자 리차드 베이틀릭은 정보장교를 시작으로 나름 업계에서 핫한 맨디언트(14년, 파이어아이가 10억불에 인수), 파이어아이 등을 거친 엘리트 보안 전문가다.

그런 그의 주장이 씨알도 안 먹힌 이유는 무엇일까? 책이 안 팔려서?

나름 고민해본 내 결론은 (사실 여전히 잘 모르겠지만) 보안의 속성 상 너무 잘 할 필요는 없기 때문이 아닐까 한다.

정보보안의 속성은 경찰이나 군대와 매우 비슷하다. 경찰은 (범죄가 발생한 후) 범죄자를 잡아야, 군대 역시 (전쟁이 터진 후) 싸워서 이겨야 성과가 남는다.

정보보안도 마찬가지. 보안 사고가 터진 후, 이루어지는 공격 분석, 피해 복구 등의 후속 대응이 성과로 인정받기 쉬운 게 현실이다.

저자는 '어떤 행위가 발생하지 않았다는 것을 아는 것은, 발생했다는 것을 아는 것만큼 중요하다(376 페이지)'고 했지만, 업무를 아무리 열심히 해도, 보안 사고가 터지지 않으면, 일한 티를 내기란 쉽지 않기 때문.

더 테러 라이브
문제는 그런 유사성에도 불구하고, 정보보안과 물리적 보안 사이에는 중요한 차이가 존재한다는 사실이다. 바로 물리적 한계가 있고 없고의 차이.

경찰이나 군대가 예의주시하는 대상은 물리적 한계 때문에 행동이 자유롭지 못하며, 조심스런 행동조차 눈에 띄기 쉽다. 반면 물리적 한계가 없는 정보보안은 대상 정의부터가 어렵다. 결과적으로 피해가 발생해도, 심지어 기하급수적으로 증가하고 확대돼도 눈에 잘 띄지 않을 수 있다는 얘기.

하지만 아직은 오랜 전통의 물리 보안 관점에서 측정되고 평가되는 탓에 그런 문제는 쉽게 묻히고 만다. 아직은 역사가 짧은 탓이겠지? 시간이 더 지나면 적절한 측정과 평가가 가능해지겠지.

기억에 남는 문구를 남긴다.

"정보보호 기술은 관리자의 판단을 도와주는 제한적 전문가 시스템(Expert System)만을 제공... 정보보호는 제품이 아닌 전문가와 잘 구성된 절차에 의해 수행된다" (20 페이지)

사족
재작년에 리차드 베이틀릭의 2013년 작, '네트워크 보안 모니터링'이 번역 출간돼서 빛나는 통찰을 또 볼 수 있을까 기대했었는데, Security Onion 매뉴얼 수준에 머물러서 실망. 세월 앞에 장사 없나 보다.

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스