2019-09-23 18:47 (월)
칼 라이트 어택아이큐(AttackIQ) 부사장 "사이버보안 툴체인의 효율성 평가하고 개선해야"
상태바
칼 라이트 어택아이큐(AttackIQ) 부사장 "사이버보안 툴체인의 효율성 평가하고 개선해야"
  • 길민권 기자
  • 승인 2019.05.03 11:52
이 기사를 공유합니다

MITRE ATT&CK 매트릭스 기반의 BAS 플랫폼...주기적으로 공격자 관점에서 테스트 가능

▲ "어택아이큐 플랫폼의 목표는 조직의 사이버 보안 툴체인 및 보안팀의 효과를 검증해 리스크를 완화하고 ROI를 극대화시키는데 있다." '어텍아이큐(AttackIQ)' 칼 라이트(Carl Wright) 부사장(사진)이 데일리시큐와 인터뷰를 진행하고 있다.
▲ "어택아이큐 플랫폼의 목표는 조직의 사이버 보안 툴체인 및 보안팀의 효과를 검증해 리스크를 완화하고 ROI를 극대화시키는데 있다." '어텍아이큐(AttackIQ)' 칼 라이트(Carl Wright) 부사장(사진)이 데일리시큐와 인터뷰를 진행하고 있다.
"날로 지능화되고 증가하고 있는 사이버공격을 효과적으로 방어하기 위해서는 조직내에서 지속적인 보안검증이 필요하다. 공격자가 사용하는 동일한 방법으로 공격 시뮬레이션을 상시 운영해 그 결과를 토대로 조직의 공격 대응 능력을 평가한 후 적합한 방어 프로세스를 확립하는 것이 중요하다. 우리 조직은 실제 위협을 방어할 수 있을까, 보안솔루션은 얼마나 효과적으로 운영되고 있을까, 어떤 공격은 막을 수 있고 어떤 공격은 막을 수 없는지 등 조직의 해킹 대응 능력이 어느 정도인지 그리고 어떻게 대처해야 하는지에 대한 솔루션을 제시해 주는 것이 바로 '어택아이큐(AttackIQ)'의 'MITRE ATT&CK' 매트릭스 기반 BAS 플랫폼이다." -어택아이큐 칼 라이트 수석부사장-

침입 및 공격 시뮬레이션 플랫폼 전문기업 '어텍아이큐(AttackIQ)' 칼 라이트(Carl Wright) CCO(Chief Commercial Officer)가 한국을 방문했다. 한국 시장 진출을 위해 소프트와이드시큐리티(정진 대표)와 한국총판 계약을 체결하고 본격 마케팅에 착수했다.

어택아이큐는 설립 4년 만에 글로벌 시장에서 SNS, CRM, 제조, 금융, 엔터테인먼트 그리고 정부기관, 국방, 헬스케어 등 다양한 산업군에 100여 개 고객사를 확보하고 있다. 전세계 MSP 파트너도 8곳에 달한다. 특히 매출의 50% 정도가 호주, 싱가포르, 일본 등 아시아 지역에서 발생하고 있으며 올해부터 본격적으로 한국 시장 확대를 추진하고 있다.

칼 라이트 부사장은 미국 해병대에서 CISO를 역임했고 주한미군에서도 근무한 경력이 있어 한국에 상당한 애착을 갖고 있다.

그는 데일리시큐와 인터뷰 자리에서 "기업들은 침해사고에 대응하기 위해 평균적으로 25개 이상의 보안솔루션을 사용한다. 반면 침해사고의 80%는 보안솔루션의 잘못된 배치 때문에 발생하고 있다. 투자한 만큼의 ROI가 나오지 않는 것이다. 이 부분에 대한 CISO들의 고민도 크다. 실제 해커들의 공격을 막을 수 있는지 그리고 구축된 보안솔루션이 제대로 작동하고 있는지 또 어떤 보안솔루션을 보강해야 할지 수치화된 데이터를 알고 싶어한다"며 "여기에 해답을 주는 것이 바로 어택아이큐(AttackIQ)다. 어택아이큐 플랫폼의 목표는 조직의 사이버 보안 툴체인 및 보안팀의 효과를 검증해 리스크를 완화하고 ROI를 극대화시키는데 있다"고 설명했다.

▲ 어택아이큐 FireDrill 플랫폼을 사용하면 공격에 대해 어떤 보안솔루션이 막았고 어떤 제품이 막지 못했는지 수치화된 그래프로 표시돼 직관적이다. 그리고 왜 해당 보안솔루션이 못 막았는지, 무엇을 활용해서 침해공격이 성공했는지, 공격에 대한 디테일한 세부 정보도 확인할 수 있다.
▲ 어택아이큐 FireDrill 플랫폼을 사용하면 공격에 대해 어떤 보안솔루션이 막았고 어떤 제품이 막지 못했는지 수치화된 그래프로 표시돼 직관적이다. 그리고 왜 해당 보안솔루션이 못 막았는지, 무엇을 활용해서 침해공격이 성공했는지, 공격에 대한 디테일한 세부 정보도 확인할 수 있다.
이어 그는 "어택아이큐(AttackIQ)는 MITRE ATT&CK 매트릭스 기반의 BAS(Breach & Attack Simulation) 플랫폼이다. '공격 방어(offensive defense)'를 통해 기업 보안의 지속적인 검증을 제공해 보안 갭을 발견하고 보안 상태를 강화하며 사고 대응 역량을 강화할 수 있다"며 "어택아이큐 FireDrill 플랫폼은 공격자와 유사한 형태로 다양한 공격 시나리오를 만들고 템플릿 또는 생성 시나리오를 이용해 공격을 시뮬레이션해 공격상태와 결과, 완화 가이드를 한 눈에 시각화한다. 실제 위협을 모방한 사용자 정의 가능한 시나리오와 보안 투자를 위한 상세한 보고서, 기존 인프라와의 완벽한 통합, 보안솔루션들이 위협에 어떻게 대응하는지 즉각적인 피드백이 가능하며 보안전문가 커뮤니티의 인사이트를 활용할 수 있다"고 소개했다.

특히 'MITRE ATT&CK'(마이터 어택)은 오픈플랫폼으로 미국 연방기금으로 운영되는 비영리 사이트다. 킬체인을 11가지 카테고리로 분류해 공격 시나리오를 정리했으며 현재 1천531개 공격 시나리오가 올라와 있고 2주 간격으로 시나리오 업데이트가 이루어진다. 물론 긴급한 시나리오는 실시간으로 업데이트 된다. 우리가 잘 알고 있는 소니픽처스 공격 시나리오, 전세계 주요 APT 공격 그룹들의 어택 시나리오들이 대부분 올라가 있다.

S-3-3.jpg
어택아이큐 FireDrill 플랫폼을 사용하면 마이터 어택 시나리오들을 다운로드 받아 조직내 레드팀들이 침해사고 대응 능력 테스트 용으로 활용할 수 있다. 시나리오를 조직에 맞게 변형시켜 활용도 가능하다. 실제 어택아이큐 100여 개 고객들은 이를 잘 활용하고 있다. 해킹 테스트가 아주 전문적인 모의해커들만 할 수 있는 영역이었지만, 반면 어택아이큐를 활용하면 조직내 보안팀에서 비전문가라도 손쉽게 해킹 대응능력 테스트와 쓰렛 헌팅(Threat Hunting) 교육이 가능하게 된 것이다. 펜테스팅 전문가가 아니라도 간편하게 어택 시뮬레이션을 할 수 있다는 것이 가장 큰 강점으로 보인다.

또 FireDrill 플랫폼은 맥, 윈도우즈, 리눅스 등 OS를 지원하며 클라우드와 온프레미스 둘 다 설치 가능하다. 조직내 주요 자산이 저장된 시스템에 에이전트를 설치해 매일 혹은 주간, 월간 등 상시적으로 어택 시나리오를 간편하게 수행해 볼 수 있다. 수행 결과 리포트도 시각적으로 심플하게 확인이 가능하다. 해당 공격에 대해 어떤 보안솔루션이 막았고 어떤 제품이 막지 못했는지 수치화된 그래프로 표시돼 직관적이다. 그리고 왜 해당 보안솔루션이 못 막았는지, 무엇을 활용해서 침해공격이 성공했는지, 공격에 대한 디테일한 세부 정보도 확인할 수 있다. 이를 통해 조직의 CISO나 보안팀은 해킹대응 능력 보완 계획 수립과 효과적이고 ROI를 극대화할 수 있는 보안솔루션 도입 전략을 세우는데 상당한 도움을 받게 된다.

칼 라이트 부사장은 "BAS 영역에 여러 글로벌 벤더들이 있지만 어택아이큐만 유일하게 실제 공격을 하는 플랫폼을 지원한다. 타 벤더는 가상머신 기반으로 하기 때문에 실제 공격 시뮬레이션이라고 할 수 없다. 그리고 타사는 공격 시나리오를 공개하지 않는다. 하지만 어택아이큐는 'MITRE ATT&CK' 오픈플랫폼을 활용하기 때문에 공격 시나리오를 자유롭게 활용할 수 있고 사용법도 간단하다"고 강조했다.

한편 어택아이큐는 글로벌 벤더인 블랙베리 사일런스, 카본블랙, 마이크로소프트, 크라우드스트라이크, 스플렁크, 아크사이트 등과 협력관계를 맺고 있다. 벤더들은 어택아이큐를 활용해 자신들의 보안솔루션 성능을 테스트해 보고 공격 시나리오를 돌려서 방어능력을 테스트하고 제품 성능을 발전시키는데 활용하고 있다. 또 자사 고객들이 제품을 제대로 활용할 수 있도록 하는데도 사용하고 있다.

최근 ESG 리포트에 따르면 "조직의 55%가 6개 이상의 공급업체에서 구입한 25개 이상의 사이버 보안 제품을 사용하고 있는 것으로 나타났다. 조직은 툴을 추가하는 대신 먼저 기존 사이버 보안 툴체인의 효율성을 평가하고 개선해야 한다"며 "어택IQ는 이러한 평가를 제공하는 플랫폼이다. 어택IQ는 조직의 규모에 관계없이 요구사항을 충족하도록 설계된 사이버 보안 프로그램의 지속적인 검증을 제공하는 개방형 플랫폼이다. 조직은 어택IQ를 사용해 격차(identify gaps) 및 회귀(regressions)를 식별하고 보안 상태를 강화하며 사고 대응 능력을 향상시킬 수 있다"고 평가했다.

▲ 소프트와이드시큐리티 정진 대표(사진 왼쪽)와 어택아이큐 칼 라이트 수석부사장(사진 오른쪽).
▲ 소프트와이드시큐리티 정진 대표(사진 왼쪽)와 어택아이큐 칼 라이트 수석부사장(사진 오른쪽).
칼 라이트 부사장은 끝으로 "가치 있는 자산을 보호하기 위해 가정과 추측에 의존하는 것은 좋은 방법이 아니다. 보안담당자로서 올바른 결정을 내릴 수 있는 가장 정확한 데이터가 필요하다. 어택아이큐 FireDrill은 고비용의 보안 기술을 지속적으로 테스트하고 검증하는데 도움이 된다. 또 악의적인 해커가 공격하기 전에 보안 팀이 조직의 위협 모델과 일치하는 공격 시나리오를 실행해 보는 것이 중요하다. 위협의 진화, 기업 보안 인프라의 복잡성, 숙련된 인력의 부족 등으로 인해 방어선에 발생하는 작은 균열을 캐치할 수 있어야 한다. 어택아이큐는 조직의 전체 IT보안 인프라를 정확히 파악해 데이터 중심의 보안 결정을 내리는데 유용한 데이터를 제공할 것"이라고 강조했다.

한편 어택아이큐 한국 총판을 맡고 있는 소프트와이드시큐리티 정진 대표는 "공격 시뮬레이션으로 조직의 공격 대응 능력을 평가하는 것은 이제 필수적이다. 방어해야 할 부분을 공격자와 동일한 형태로 공격 시뮬레이션을 해보고 방어하지 못한 요소를 방어할 수 있도록 해야 한다. 주기적으로 공격자 관점에서 검토하고 테스트할 필요가 있다"며 "어택아이큐 FireDrill 플랫폼를 통해 조직의 보안 문제점을 스스로 진단하고 대응하는 능력을 키워 나갈 것을 권고한다. 한국 시장에 올해부터 본격적인 어택아이큐 플랫폼을 알리고 레퍼런스를 확보하는데 주력할 계획이다"라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★