2014년 3월 9일 일요일

왜 네트워크 보안인가? - 2nd

1987, 미국 등 주요 정부기관을 해킹하여 정보를 유출시킨 해커의 침입 증거를 찾느라 클리포드 스톨(en.wikipedia.org/wiki/Clifford_Stoll) 1년여의 시간을 시스템 로그를 분석하는데 할애해야 했다. 왜 그렇게 많은 시간이 걸렸을까?

세상에는 수 많은 컴퓨터 시스템이 동작하고 있으며, 네트워크를 통해서 많은 정보를 주고 받고 있다. 이 과정에서 당연히 많은 로그가 발생하는데, 이 로그를 일반로그라고 칭해보자

일반로그에는 시스템의 상태나 동작을 표시하는 로그는 물론, 시스템끼리 정보를 주고 받으면서 발생하는 트래픽도 포함이 된다. 이러한 일반로그는 두 가지 특징을 갖는다.

   대량 발생한다.
   보안측면에서 정확도가 낮다.

클리포드 스톨이 1년 동안 분석을 한 이유는 보안 측면에서 정확도가 낮은 대량의 일반로그에서 의미 있는 정보를 찾아야 했기 때문

전수 검사의 어려움이 되겠다. 그리고 이러한 어려움을 극복하기 위해서 패턴매칭을 이용해서 일반로그를 좀더 효율적으로 검사하는 방법이 제시되기 시작한다

왜 하필 패턴매칭?

에드워드 스노든의 폭로로 화제가 된 NSA 프리즘의 기원은 1960년대 전 세계의 통신을 도청하기 위해 역시 NSA가 구축한 에셜론. NSA가 정보를 수집하기 위한 방법으로 도청을 고집한 이유는 무엇일까?

사람들은 대화를 할 때, 패턴을 주고 받으면서 의사소통을 한다. 당연히 주고 받은 패턴에 따라 의사소통의 성격이 우호적인지, 또는 적대적인지에 대한 판단이 가능하며, 더 나아가 서로간의 관계까지도 유추할 수 있게 된다


고대로부터 현대의 NSA에 이르기까지 정보를 수집하기 위해 누군가가 주고 받는 '패턴'을 엿듣는 (도청) 방식이 매우 이성적이며, 합리적인 판단임을 알 수 있다.

그런데 컴퓨터 역시 사람처럼 패턴을 주고 받으면서 의사소통을 한다. 그리고 이 의사소통은 컴퓨터 스스로 하는 게 아니며 사람이 시켜서, 사람을 대신해서 이루어지는 것. 즉 방식은 다르지만 패턴으로 우호적/적대적 판단을 할 수 있다는 특성은 똑같다.


이런 특성으로 인해 패턴매칭은 개념이 제시된 지 30여년이 지난 오늘날까지도 공격으로 정의된 패턴으로 일반로그를 필터링하여 검사 범위를 좁힐 수 있다는 장점을 기반으로 컴퓨터 백신부터 빅데이터 기반 보안솔루션까지 정보보안의 핵심으로 기능하고 있다.

물론 완벽하진 않다 

도청 성공의 전제 조건은 훔쳐 듣고 싶은 정보의 주체, 즉 적을 특정할 수 있어야 한다는 것. 하지만 사이버 보안에서는 적을 특정할 수 없다. 7음계의 한계 때문에 발생하는 음악 표절처럼, 표현 기호의 한계로 인해 공격 패턴 표절이 발생하는 문제점도 가지고 있다

그러나 이러한 문제를 해결하기 위해 패턴매칭 이후 이상징후, 연관분석(또는 상관분석, 요즘엔 시나리오란 표현을 쓰는 듯?) 등의 개념이 꽤 오래 전부터 제시되었지만, 패턴매칭을 대체할 기미는 보이지 않고 있다. 그 이유는 무엇일까?

국내외를 막론하고 많은 이들이 이상징후나 연관분석의 중요성을 강조하고 있고, 기술 구현에 대해서 강한 자신감을 내비치고 있음에도 현실에서 성공 사례를 접하기 힘든 이유는, 그냥 패턴매칭에 비해 그 효과가 미미하기 때문

좀더 자세히 얘기하면 공격 패턴이란 기준을 가지고 있는 패턴매칭에 비해 이상징후 분석은 비정상(또는 정상) 트래픽이란 기준을 찾기 힘들며, 패턴과 패턴을 조합하는 연관분석은 먼저 패턴매칭이 성공해야 하기 때문이다.

물론 이상징후나 연관분석에 집중해서 성공 사례를 만들어낼 수는 있다. 그러나 이른 새벽 양복을 입고 산에서 내려오는 거동수상자를 잡기 위해 휴전선 감시를 소홀히 하는 우를 범해서는 안 된다.

결국 충분한 인적 자원을 바탕으로 패턴매칭과 이를 보완하는 기술을 병행할 때, 사이버 휴전선은 안전해질 수 있다.

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스