2019-12-08 17:41 (일)
글로벌 보안시장서 주목받고 있는 'BAS' 제품군...왜 대세가 되고 있나
상태바
글로벌 보안시장서 주목받고 있는 'BAS' 제품군...왜 대세가 되고 있나
  • 길민권 기자
  • 승인 2018.12.17 11:48
이 기사를 공유합니다

가트너 "향후 BAS 제품이 가장 중요한 보안제품군 될 것"
황석훈 대표 "타이거팀, 세이프브리치 중심으로 국내 BAS 시장 형성 주도"

bas-1.jpg
“우리는 안전해?”
“우리 보안 운영은 잘 되고 있는거지?”
“이번에 A사에서 발생한 사고, 우리는 괜찮은거야?”

보안을 하는 담당자, 특히 임원이라면 누구나 궁금해 하는 질문이다. 하지만, 아무도 이에대해서 명확하게 “네. 그렇습니다. 근거는 이러저러합니다”라고 단호하게 말할 수 없을 것이다. 왜냐하면 한번도 제대로 검증해 본 적이 없었기 때문이다. 한편으로는 제대로 검증할 수 있는 방법이나 도구가 없었기도 했다.

오랜 시간 동안 많은 보안솔루션을 구축하고 인력을 확보하고 훈련을 해 왔지만, 정작 지금까지 구축한 대다수의 솔루션 및 대다수 프로세스는 방어 위주의 방식이다. 공격이 발생하지 않으면 우리가 설정이 잘 되어 있는지 또는 특정 공격을 정말로 막아낼 수 있는지 알 수 없다. 사고가 난 후에 원인분석을 해야 겨우 부족한 부분이 어떤 것이였는지, 우리가 구축했던 솔루션이 제대로 동작하지 못했던 이유 등을 알 수 있는 실정이다.

비록 부족하긴 하지만 중요 자산에 대해서 정기적으로 모의해킹을 수행하고는 있지만, 이는 외부와의 경계선에 있는 서비스이거나 웹/모바일 서비스 그자체만 다루는 한계를 가지고 있다.

일부 금융을 중심으로 이러한 한계를 넘어서고자 테마 점검 또는 블랙박스 모의해킹의 이름으로 실제해킹을 당해서 정보가 유출될 가능성을 점검하는 사례들이 늘고있다. 하지만 이는 개개인의 스킬과 주어진 환경에 따라서 결과가 많이 차이 나고 목적달성 지향이기때문에 네트워크 전체의 문제점을 다루지는 않는다.

실제 대형사고는 네트워크 주변에서 발생한 것이 아니라 내부망의 서버 그리고 OA망에서 직접 발생한 사건들이다. 따라서 내부에 악성코드가 유입되었을 때 어디까지 전파가 가능한지, 외부에서 내부의 어디까지 침투가 가능한지, 내부 임직원이 외부로 얼마나 많은 경로로 접근할 수 있는지 등에대한 테스트는 매우 중요하다. 망을 구분하고 접근을 통제하고 이상트래픽에 대한 탐지를 위한 다양한 활동이 적절했는지를 반드시 확인해야 하는 이유이다.

몇몇 솔루션의 경우 이를 자동화 해주는 제품이 있기는 하지만 점검대상 서버를 직접 공격하는 방법으로 취약점을 점검해 서비스 장애 등에 문제가 발생하지 않을까하는 걱정이 있기도 하다.

때문에 많은 보안담당자는 내부의 상황을 자동으로 가능하면 전수를 대상으로 기존 서비스에 전혀 해를 가하지 않는 방법으로 실제 해킹이 발생한다면 어떤 공격들이 발생할 수 있는지를 알려줄 수 있는 도구가 있기를 바래왔던 것이 사실이다. 이는 기존에 모의해킹에서 보는 웹사이트의 취약점 하나하나를 찾는 웹취약점 스캐너와는 다른 것이라 하겠다.

◇가트너 "향후 10년간 BAS가 가장 중요한 보안 제품군이 될 것" 전망

이에 최근 미국과 이스라엘에서 이와 관련된 제품들이 나오기 시작했고, 2017년 가트너가 이러한 제품군에 대해 'BAS(Breach and Attack Simulation)'라는 도메인을 부여했다. 미국내에서도 2017년에만 해도 이러한 제품군을 사용하는 고객사가 별로 없었지만, 2018년에는 고객사가 폭발적으로 증가했으며 2018년 가트너는 향후 10년간 BAS 제품군이 가장 중요한 보안제품군이 될 것이라 내다봤다.

기존 보안 솔루션들이 디펜시브 시큐리티(Defensive Security)에 포커스가 되어 있다면 BAS는 정확히 오펜시브 시큐리티(Offensive Security) 제품군이라 할 수 있다. 우리가 보안이라고 하면 침해사고를 차단, 탐지하는데 집중했다면 BAS는 그반대로 사전에 문제점이 존재하는지 테스트하고 검증 및 제거하는데 그 목적을 둔다. 이를 Cyber Kill-Chain이라고한다.

기존 대부분의 시스템이나 솔루션은 공격이 발생하는 순간부터 동작하지만, BAS는 항상 문제점의 검증테스팅이 가능하며 사전에 수행한다는 점이 핵심이라 하겠다.

가트너에서는 BAS의 핵심 기능을 다음과 같이 정의하고 있다.

-모든 단계의 공격 테스트가 가능해야 한다. (사전공격에서부터 사후 공격단계까지)

-테스트는 반복적으로 지속되어야 하며, 필요시 언제든 가능해야 한다.

-기존 비즈니스에 영향을 미치지 않아야 한다.

-경계와 내부 네트워크에 대한 통제를 모두 테스트 할 수 있어야 한다.

-실제 공격자와 방어자의 입장의 차이를 명확하게 확인시킬 수 있어야 한다.

-지속적으로 테스트를 위한 시나리오가 업데이트가 되어야 하며 이는 시뮬레이터에 반영되어야 한다.

-문제점을 해결하는데 도움이 되는 보고서가 제공되어야 한다.

2017년도 CyberDB의 BAS 시장조사 자료에 따르면 일부 벤더사에 대한 비교를 다음과 같이 하고 있다. 위 문서에 따르면 제품군은 9종이다. 하지만 이후 새로운 제품들이 계속 나오고 있을 것으로 예상된다. 국내에 총판 계약이 된 제품은 현재 기준으로 3종(AttackIQ, Cymulate, SafeBreach) 정도로 확인되고 있다. BAS 제품 9종은 다음과 같다.

1. AttackIQ 2. Cronus 3. Cymulate 4. eSecureVisio 5. SafeBreach 6. Mazebolt 7. ThreatCare 8. Whitehax 9. Verodin

bas-2.jpg
모든 제품은 기술적으로 차이는 있겠지만, 기능적으로 다음 내용들을 모두 지원하고 있다.

그 외에 제품들에 대한 벤더사별 추가 설명을 다음과 같이 하고 있다. (일부 내용 업데이트)

bas-3.jpg
설치 방식이나 서비스 제공방식은 벤더마다 조금씩 차이가 있으나, BAS(Breach and Attack Simulation)는 이름에서 뜻하는 바와 같이 시뮬레이터를 통해서 공격을 시뮬레이션하는 것이 핵심 기능이다. 또한 이를 관리하기 위한 매니저가 존재한다.

◇대세로 자리잡은 BAS 제품중 'SafeBreach' 제품군의 특징

대다수의 BAS 제품군은 그 구성이 매우 유사하다. 시뮬레이션을 하는 도구이기 때문에 시뮬레이터가 있고 이를 관리하는 매니저가 주요 구성품이다. 제품의 구성 및 동작에 대한 기본적인 설명을 하기 위해서 위의 제품군 중에서 현재 미국에서 가장 성장세가 빠른SafeBreach(세이프브리치) 제품군을 기준으로 설명하도록 하겠다.

bas-4.jpg
설치된 시뮬레이터는 매니저에 의해서 관리 및 통제된다. SafeBreach의 경우는 시뮬레이터 자체는 동일하나 시뮬레이터에 역할을 부여하는 방식으로 다양한 테스트(정보유출, 내부 침투, 내부망전이공격, APT 등)를 수행한다.

아래 그림은 시뮬레이터를 설치한 다음 실제 동작하는 내용을 설명한 자료다.

bas-5.jpg
시뮬레이터 설치는 구성방식에 따라서 조금 차이가 날수는 있지만, 정보유출 및 내부망 침투 등 기본적인 테스트를 진행하기 위해서는 네트워크 구간상에 최소 1개 또는 2개 이상의 구성이 필요하며 전체적으로 최소 5개, 매니저 1개 셋으로 구성하는 것이 권장 사항이다.

매니저에서 테스트를 명령하면 시뮬레이터간에 데이터 통신이 이루어진다. 시뮬레이터는 자신에 부여된 역할을 기반으로 Playbook으로 정의된 시나리오들을 시뮬레이터간 수행한다. 통신을 시뮬레이터 간에만 하므로 기존 IT 인프라에는 어떠한 영향도 미치지 않는다. 네트워크상에서 작은 수준의 패킷만 발생할 뿐이다.

이러한 통신 과정을 구간에 있는 보안장비(F/W, WAF, IDS/IPS등)에서 탐지헤 차단될 경우에는 해당 취약점에 대해 안전하다고 판단하며, 통신 과정이 정상적으로 이루어질 경우에는 현재 보유한 솔루션에서 구성 또는 설정상에 문제점이 있다고 판단하는 것이다. 또한 호스트에 직접 설치된 시뮬레이터의 경우에는 백신 또는 DLP, 시스템의 패치 상황등에 대한 테스트도 가능하다. 만약 호스트에 직접 설치하기가 어려운 경우에는 가상머신 또는 별도의 어플라이언스 장비에 실제 시스템과 유사하게 구성하여 테스트해도 된다.

따라서 이러한 테스트에서 Playbook(시나리오)의 내용과 수량은 매우 중요하다고 할 수 있다. 얼마나 많은 그리고 최신의 시나리오(CVE, 악성코드 신규 정보 등)로 신속하고 지속적으로 테스트 할수 있느냐가 제품의 경쟁력이라 할 수 있겠다. 이 부분에서 SafeBreach 제품은 독보적인 수준을 보여주고 있는데, 자사 연구소와 파이어아이와 기술 협약을 통해서 최신 공격이 나올 경우 매우 빠르게 Playbook을 업데이트 하고 있다. 또한 Playbook 정보를 회원사에게 모두 공개하고 관련 패킷을 직접 내려 받아 재 테스트를 할 수 있도록 지원하고 있어서 더 반응이 좋은 것으로 알려져 있다.

시나리오를 기반으로 시뮬레이터간의 통신으로 내부 보안장비 및 네트워크 장비 등의 설정등을 체크함으로써, 보안솔루션 및 네트워크 장비 설정을 최적화할 수 있다. 이것만으로도 엄청난 보안상의 효과를 볼수가 있다. 기존 장비를 제대로 활용하고 있는지를 알 수 있는 거의 유일한 방법이다.

그리고 지속적으로 주기적으로 체크를 반복함으로써 알려진 취약점에 대한 대응 능력을 확보할 수 있는 것이다. 이는 IT 자산에 대한 최적화뿐만 아니라 효율적인 투자에까지 도움을 주는 것은 당연한 결과라 하겠다.

아래는 실제 사례를 기반으로 분석된 데이터이다. 내부망 침투 테스트를 수행한 결과 아래 그림과 같은 결과가 도출되었다. 여기에서 63.4%의 의미는 예를 들면 Playbook중 워너크라이(WannaCry)항목이 총 10개가 있었다고 한다면 그중에서 6.34개가 공격에 성공했다는 의미가 될 것이다.

bas-6.jpg
다음 그림은 내부망에서 전이 공격을 수행한 결과이다.

bas-7.jpg
위의 결과만 놓고 본다면 보안상 매우 취약한 고객사임이 틀림이 없다. 하지만 기존 대다수의 고객사에서 크게 다르지 않는 결과가 나오고 있다는 점이 놀라운 점이라고 할 수 있다.

아래 그림은 위의 결과를 분석해 3주간 고객사의 보안장비 설정 및 환경을 재구성한 후 다시 테스트를 수행한 결과와의 차이이다. 추가 비용이 발생하지 않았지만 최적화만으로 보안 수준이 어느정도 상승했는지를 극명하게 확인할 수 있다.

◇세이프브리치, 보안위협에 대처하기 위한 명확한 방향성과 목표를 수치로 보여줘

잔존하는 보안 위험에 대해서는 향후에 어떻게 투자를 하여 개선할 것인지 좀더 논의가 필요하겠지만, 적어도 어떤 방향과 목표를 가지고 접근해야 할지는 명확하게 로그 분석을 통해서 알 수 있을 것이다. 이를 통해서 불필요한 중복 투자를 피하고 최적화된 솔루션을 구매하는데 큰 도움을 받을 수가 있다.

bas-8.jpg
지금까지 많은 회사에서 정보보안을 담당하는 사람들은 자사의 보안 수준 상황을 정확하게 인지하기 어려웠다. 그러다 보니 컴플라이언스 위주의 보안 활동 이외에 선제적으로 무엇을 한다는 것이 쉽지가 않았던 것이 사실이다. 하지만 이제 선제적으로 자사의 상황을 먼저 이해하고 적절하게 조치 함으로써 그러한 문제와 두려움으로부터 자유로울 수 있는 방법이 생겼다.

물론 BAS 제품군을 통해서 최초 점검을 받으면 당연히 문제점이 많이 도출될 수 있다. 하지만 해당 문제점들은 단순히 보안팀만으로 해결은 쉽지 않을 수 있을 것이다. 운영팀의 협조는 필수적이며 상황에 따라서 더 많은 부서나 조직, 서드파티의 참여가 필요할 수 있을 것이다. 또한 기존의 활동에 대해 지적을 받는다던가 하는 다양한 형태의 걱정이 앞설 수 있다.

하지만 반대로 명확하게 우리의 상황을 보고할 수 있고 향후 개선된 상황을 수치로 명확하게 제시할 수 있으며, 실제 일어날 수 있거나 일어나고 있는 공격 등에 대해서 자사의 상황을 명확하게 파악할수 있는 점은 분명 거부하기 힘든 매력이라 할수 있을 것이다. 그리고 이러한 데이터를 기반으로 실제 해킹 공격을 방어할 수 있는 구체적인 전략을 마련할 수 있다는 점 역시 중요한 부분이라 하겠다.

모의해킹 전문 기업 '타이거팀'(황석훈 대표)은 '세이프브리치(SafeBreach)' 국내총판 '트라이오니즈'의 파트너사로서 국내 BAS 시장 형성을 위해 노력하고 있다. -편집자 주-

[글. 황석훈 타이거팀 대표 / h9430@tigerteam.kr]

★정보보안 대표 미디어 데일리시큐!★