2024-03-29 05:35 (금)
[BAS 연재④] BAS를 어떻게 활용할 것인가
상태바
[BAS 연재④] BAS를 어떻게 활용할 것인가
  • 길민권 기자
  • 승인 2020.03.23 14:41
이 기사를 공유합니다

“위협 대응역량 검증·강화와 위험 지수 관리, 보안솔루션 고도화·마스터플랜 수립”

내부와 외부의 보안 위협에 대응하기 위해 기업들은 보안팀을 구축하고 수십종의 보안솔루션을 도입하고 보안관제, 보안컨설팅 등 다양한 정보보호와 관련 투자를 매년 해 오고 있다. 하지만 과연 구축된 보안솔루션이 제대로 작동하고 있는지, 실제로 현재 우리 조직의 보안 프로세스로 해커의 공격을 막을 수 있는지, 기존 솔루션과 조직의 보안 프로세스를 검증하고 개선하려면 어떻게 해야 하는지 즉 궁극적으로 우리 회사의 보안체계가 얼마나 잘 작동하는지 한눈에 파악할 필요성이 대두되고 있는 시점이다. 글로벌 기업들은 이 부분에 대해 적극적인 투자를 아끼지 않고 있다. 황석훈 타이거팀 대표는 이번 'BAS 연재'를 통해 정보보호의 방향성을 독자들과 함께 고민해 보고자 한다. (편집자 주)

◇연재 순서
1. 내·외부 위협에 대해서 얼마나 이해하고 있는가
2. 해커들의 공격은 어떻게 이루어지는가
3. Cyber-KillChain과 ATT&CK
4. BAS를 어떻게 업무에 활용할 것인가
5. 취약점 관리 얼마나 가능한가

3편에서 언급했던 Cyber Kill-Chain과 ATT&CK 프레임워크를 자사의 보호대상에 접목시키는 것은 큰 의미가 있다. 이를 자동으로 테스트할 수 있는 솔루션이 2017년 가트너가 명명한 BAS(Breach And Attack Simulation)다. 자산을 보호하기 위한 보안체계의 현주소를 정확하게 이해하는데 큰 도움을 받을 수 있다고 한다. 이번 편에서는 BAS를 어떻게 활용하면 좋을지 설명하겠다.

BAS 솔루션은 에이전트 형태의 시뮬레이터를 네트워크 구간에 1~2개 정도 구성하고 여기에 실제 해커들이 다루는 기술을 실제 공격과 흡사하게 공격 절차를 가지고 재연하는 기술이다. 따라서 재연 결과를 통해 우리는 구간과 구간 사이에 존재하는 보안솔루션, 예를 들어서 방화벽이나 IDS/IPS, DLP 등에서 공격을 잘 차단하고 있는지 아닌지를 정확하게 알 수 있다. 또 호스트 레벨에서 안티바이러스 등이 악성코드를 잘 탐지하는지 확인할 수 있다.

시뮬레이터는 기존 에이전트와 유사한 방식으로 설치도 가능하고, 별도의 장비나 가상머신을 활용해도 무방하다. BAS는 엔드시스템의 취약점 보다는 기존 방어 솔루션의 대응 능력을 판단하기 위한 테스트에 주안점을 두기 때문이다.

지금부터 설명하고자 하는 것은 BAS 솔루션의 특징이기도 하고 만약 해당 솔루션을 도입한다면 주 활용처이기도 하다.

1. 대응역량 검증 및 강화

BAS 제품군들은 자체 보유한 플레이북을 통해 현재 구축된 보안체계에 대한 수준을 테스트해준다. 제품마다 플레이북 개수는 다를 수 있지만, 기본적인 해킹 기술에 대한 내용들은 대부분 다루고 있다. 또한 빠른 업데이트를 하는 제품들의 경우, 최신 공격 기법들에 대한 지속적 검증이 가능해진다. 1편에서도 언급했지만, 우리는 기존에 투자한 시스템에 대해 너무 과하게 믿는 경향이 있고, 한번 개선하면 지속적 관찰을 잘 하지 않는 문제가 있다.

그리고 커스텀 플레이북 생성 기능을 통해서 직접 플레이북을 생성하고 테스트를 해 보는 것 역시 매우 중요하다. 실제 공격이 해외 혹은 국내 그리고 업종별로 크지는 않지만, 차이가 일부 있을 수 있고, 공격하는 도구나 조직이 다를 수 있다. 이에, 관련 정보를 수집할 경우 이를 기반으로 공격이 발생하기 전 선제적으로 자체 네트워크를 검증해 보는 것은 매우 중요하다.

2. 위험지수 관리

위의 자체 보안체계에 대한 검증을 통해서 가장 중요하게 관리해야 할 위험지수를 빠르게 파악할 수 있다. 이는 실제 해커들이 현재 사용하고 있는 공격기술 대비 위험지수로 매우 의미가 있다고 하겠다. 기존 컨설팅을 통해 측정되는 보안수준도 의미가 있겠지만, 개인적으로 이러한 측정 방식의 결론이 보다 더 실질적이고 더 의미가 있다고 생각한다. 물론, 해당 제품이 제대로 동작했다는 전제하에서 말이다. 결론적으로 우리가 보안에 투자하는 이유가 실제 해커의 공격으로부터 안전하기 위해서 이기 때문이다.

시뮬레이션을 통해서 어느 정도의 대응 능력을 보유하는지를 수치화로 표현이 가능하다. 예를 들어 총 7천의 시뮬레이션 결과 4천건의 위협이 다양한 네트워크 구간에서 발견되었을 경우 이를 기반으로 위험 수준을 측정할 수 있다.

또한 특정 기간을 기준으로 얼마나 위험들이 조치를 통해서 감소되고 있는지를 파악할 수 있고, 이전에 조치되었던 위험이 다시 나타나는지도 파악할 수 있다. 또한 어느 구간에서 어떤 문제가 이슈인지도 한눈에 파악할 수 있으며, 내·외부 특정 위치에서 어떤 공격들이 가능하며 어떤 루트가 취약한지 등을 한눈에 파악할 수 있게 도와준다. 강력한 인사이트 정보를 주는 것이다.

결론적으로, 이 도구를 이용해 현재 우리 회사 네트워크에서 실제 해커들의 공격이 발생할 경우 막을 수 있는 것과 막을 수 없는 것을 구분할 수 있다. 또 이를 토대로 조치하고 개선함으로써 지속적으로 보다 안전해 지는 것을 수치로 확인할 수 있다는 것이다.

3. 솔루션 활용 고도화

솔루션을 통해서 현재 보유한 다양한 보안 솔루션의 탐지 및 대응 능력과 운영상황을 낱낱이 파악할 수 있다. 때문에 어떤 기업들은 이 제품을 싫어하기도 한다.

일반적으로 보안솔루션들은 대다수가 패턴기반 탐지를 하는 경우가 많다. 이는 패턴 업데이트가 방어에 너무나 중요함에도 불구하고 실제 업데이트가 잘 되지 않는 경우가 많고 업데이트가 된다 하더라도 그 내용이 부실한 경우가 많이 있다.

따라서 우리는 보안솔루션이 얼마나 구비되어 있는지, 보다 얼마나 효과적으로 동작하는지를 파악할 수 있다. 그리고 이를 근거로 부족한 부분을 개선 또는 업그레이드하거나 지속적으로 업그레이드를 체크할 수 있다.

4. 마스터플랜 수립에 참조

개선과제 파악 및 마스트플랜 수립에 근거자료로 활용할 수 있다. 발견된 취약점들 중에서 즉시 조치가 필요한 부분을 식별해 적절한 조치를 취해서 위험을 지속적으로 감소시켜야 한다. 물론, 여기에서 어떤 위험이 가장 높은지 어떤 구간이 가장 위험한지를 솔루션이 식별해 준다면 더욱 큰 도움이 될 것이다. 뿐만 아니라 조치해야 할 위험과 방법에 대한 내용까지 상세히 알려줄 수 있다면 좋을 것이다.

그리고 취약점 내용중에서는 당장 여러 이유로 조치가 어렵거나 부서간의 조율이 필요한 이슈들도 있을 수 있다. 이는 중·장기 플랜으로 수립해 어떤 방법으로 개선할지에 대한 방안을 고민해야 할 것이다. 즉 향후 보안팀에서 주도적으로 해야 할 일들을 점검 결과를 통해서 찾을 수 있을 것이다.

4. 교육 및 훈련

마지막으로 교육훈련 및 자체 대응능력 강화에 좋은 도구로 활용할 수 있다.

BAS 제품군에서 취약점을 검토하기 위해서 최신 해킹 기술을 반영한 플레이북 외에 수동적으로 다양한 플레이북 항목을 추가할 수 있다. 실제로 사용되고 발생 가능한 해킹 기술을 이용해 실제 공격과 흡사하게 구현도 가능하기 때문에 실질적인 훈련 효과를 낼 수 있는 것이다. 정기적인 침해사고 대응 훈련에 매우 효과적인 도구가 될 수 있다고 생각한다.

또한 자체 로그 분석이나 계열사 또는 동종업계에서 확인된 공격이 있을 경우 신속하게 점검항목을 추가해 자사 및 전체 계열사로 관련 정보를 공유하고 빠르게 점검함으로써 공격에 그룹 차원의 실질적 대응 프로세스를 만들 수도 있다. 기존에 벤더사에서 대응방안이 나올 때까지 아무것도 못하고 있었던 것과는 다르게 실제로 자체망 어느 곳에 얼마나 영향을 미치는지 파악하고 그에 맞는 대응 전략을 수립할 수 있으므로 전략적인 대응 전략 수립이 가능해 질 수 있다.

이외에도 BAS 벤더사마다 제공되는 내용이 다를 수 있기 때문에 추가적인 기능적 효과가 있을 수 있다. 위 내용이 필요하거나 도입의 이유가 필요하다면 본 내용이 도움이 되길 바란다.

이 글을 보는 독자중에서 그러면 플레이북에서 담고 있는 공격 내용중 우리와 무관한 것도 있을 것이고, 굳이 결과로 도출된 취약점을 모두 관리해야 하는가라는 의구심을 가질 수도 있다. 이 부분에 대해서는 마지막 편에서 다루고자 한다. (다음 편에 계속…)

[글. 황석훈 타이거팀 대표 / h9430@tigerteam.kr]

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★