이동범 지니언스 대표가 '코로나19 사태에서 배운 사이버 보안'이라는 주제로 전자신문에 기고한 내용 전문 입니다.
코로나19사태에서 배운 사이버 보안
생물학적 바이러스와 컴퓨터 바이러스 속성의 유사점 많아
‘강제격리(Forced-Quarantine’로 엔터프라이즈 보안 향상 가능
전염성이 강한 바이러스에 감염된 환자로부터 대다수의 건강한 사람을 보호해야 하는 경우 어떻게 대처해야 할까? 아마도 지구상에 이 질문에 대한 답을 모르는 사람은 없을 것이다. 그것은 바로 ‘격리(Quarantine)’ 를 통해 감염의 확산 가능성을 차단하는 것이다. 이후 감염 환자의 조기 발견을 위한 대대적인 진단, 역학 조사를 통해 감염원을 추적하여 대응하게 된다. 생각해 보면 최근의 코로나 사태에 대한 국가수준의 대응 방법과 유사하다.
기업(관)의 정보보안 영역도 비슷한 문제에 직면해 있다. 네트워크에 존재하는 많은 단말(PC, 서버 등)은 안전하게 보호되고 있지만 일부는 취약점을 보유하고 있으며 만약 이로 인해 몇몇의 시스템만 감염되더라도 전체 네트워크로 감염이 확산될 수 있다. 과거 우리는 방화벽(Firewall) 등을 이용하여 네트워크를 구분(Separate)하는 방법으로 이러한 위협에 대응하였다. 그러나 재택근무 환경(WFH)의 확대 및 개인 소유의 스마트폰, 태블릿, 웨어러블 등 다양한 기기들이 기업(관) 네트워크에 연결되면서(BYOD) 기존의 대응방법은 큰 도전을 받고 있다.
이에 대한 해결책이 바로 ‘강제격리(Forced-Quarantine)’ 이다. 다행히도 단말을 격리할 수 있는 기술은 이미 존재한다. 기업(관)은 새로운 위협과 보안 취약점에 대응하기 위해 격리를 위한 새로운 제품을 구입할 필요가 없다. 이미 도입한 보안 솔루션을 연동하거나 통합하는 절차만 진행하면 된다. 단말의 취약성 및 감염 여부는 취약점 스캐너(Vulnerability Assessment & Management) 등을 통해 확인이 가능하고 강제 격리 역시 널리 사용 중인 NAC(Network Access Control) 등을 통해 가능하다.
검사(테스트)의 대상과 범위를 확대하는 것으로 감염의 위협을 줄일 수 있다. 코로나 대응의 경우를 보자. 증상 미 발현자의 경우도 검사를 통하여 보균자를 찾아 미리 격리시키는 것으로 피해를 예방할 수 있다. 취약점 스캐너뿐 아니라 안티바이러스(AV), 패치관리(PMS) 등 단말의 취약성을 관리할 수 있는 솔루션은 다양하다. 이러한 제품간의 연동과 협업을 통하여 사전 검사와 강제 격리가 가능하다. 이미 NAC는 앞에서 설명한 이러한 보안 제품과 연동 되어 있으며 SOAR 등 새로운 연동의 요구는 지속적으로 발생하고 있다.
사이버 보안은 최초의 컴퓨터 바이러스(Virus)부터 최근의 랜섬웨어(ransomware)까지 실제 세계에서 발생하는 현상에서 그 개념과 아이디어를 차용해 왔다. 생물학적 바이러스의 생성, 전파 원리가 컴퓨터 바이러스와 유사한 것이다. 이는 실제 세계의 방어 메커니즘으로 위협에 대응하는 방법을 배울 수 있다는 것을 의미한다. 컴퓨터는 사회적 거리두기를 할 수 없지만 보안 위협을 테스트하고 탐지하고, 자동으로 격리하도록 할 수는 있다.
코로나 사태로 기업(관)의 반 강제적인 디지털 전환(Digital Transformation)이 급속히 진행 중이다. 업무의 형태도, 업무수행의 장소도, 업무를 수행하는 방법도 모두 달라지고 있다. 급변하는 상황에서 가시성 확보에 기반한 식별, 인증, 통제는 필수적이다. 어떻게 해야 할지 두려워하지 말자. 지금 실제 세계에서 벌어지고 있는 코로나 사태에 국가와 국민이 어떻게 대응하고 있는지를 잘 살펴보자. 어쩌면 그것이 사이버 환경에서 우리가 적용해야 하는 가장 효율적인 방법인지도 모른다.