개방형 보안은 사이버 위협 예방의 미래
너무나 오랫동안, 사이버 보안 업계는 결함이 있는 방법론을 고수해 왔습니다. 바로, 조직이 모호성과 비밀성을 통해 보안 위협을 피할 수 있다는 개념에 기초한 방법론입니다. 이 방법론은 보안 제어 및 프로세스를 비밀로 유지하면 제품과 데이터가 우리가 방어하는 네트워크 내의 사이버 위협으로부터 본질적으로 더 안전해진다는 가정을 바탕으로 하고 있습니다.
그러나 가장 정교한 사이버 보안 방어도 자금이 풍부하고 의욕적인 공격자에게는 상대가 되지 않습니다. 사실, 현대 조직의 디지털 발자국이 확대되면서 전통적인 중앙 집중식 사이버 보안 통제는 더 이상 쓸모가 없게 되었습니다.
데이터 침해가 놀라운 속도로 계속 증가함에 따라, 더 많은 보안 전문가와 공급업체가 인식하고 받아들여야 할 사실이 한 가지 있습니다. 우리는 커뮤니티로서 협력하여 보안에 개방성과 투명성을 제공함으로써 아직 개발되지 않은 우리의 힘을 활용할 수 있다는 것입니다.
개방형 보안은 보안 회사와 그 고객 간의 관계 역학을 변화시키는 방법론으로서 보안 실무자들을 한데 모아 엔터프라이즈 위협에 보다 탄력적인 대응을 할 수 있도록 함으로써 사이버 보안 업계를 변화시킬 수 있는 잠재력을 가지고 있습니다. 개방형 보안은 어떤 조직에게든 최고의 방어 수단일 뿐만 아니라 보안 업계 전체가 앞으로 나아갈 길이 되어야 합니다.
개방형 보안 사례
많은 사람들이 보안 실패로 간주했던 최근의 Log4j(Log4Shell) 사고는 개방형 시스템이 폐쇄형 시스템보다 더 안전할 수 있는 이유를 보여줍니다. Log4j 라이브러리는 오픈 소스이기 때문에, 원격 코드 실행 취약점이 발견되자 전 세계적으로 알림과 패치의 연쇄 반응이 촉발되었습니다. 만일 공격자가 대신 이 취약점을 발견했다면 발생했을 잠재적 피해에서 수백만 달러를 절약할 수 있게 해줄 알림과 패치였습니다. 개방형 보안에 대한 Alibaba의 투자는 영향을 받았거나 받을 수 있었던 모든 사람들에게 아주 성공적이었습니다.
SolarWinds의 독점 코드에 대한 전국적인 공격과 비교해 보세요. 공격당했다는 것이 발견되기 전 몇 년 동안, 이 침해 사고로 인해 적어도 100개의 회사와 12개의 미국 정부 기관에 대한 제한 없는 시스템 접근이 뚫려 있었습니다.
Log4Shell은 폐쇄적이고 독점적인 제품에서 발견되었을 수 있지만, 대단히 수준 높은 공격자가 먼저 발견했을 가능성이 더 높습니다. 개방성은 관련 제품의 결함을 숨기거나 수정하는 것을 피하기 어렵게 만들어 궁극적으로 전반적인 보안 향상으로 이어집니다.
[관련 기사: 최고의 사이버 보안이 개방형 보안인 이유]
동적 위협에는 동적 대응이 필수
조직은 정적 탐지를 통해 위협을 식별하고 사이버 공격을 성공적으로 차단할 수 없습니다. 예를 들어, 이러한 도구는 파일의 특정 식별자를 탐지하는 데 유용하지만, 공격자는 여전히 이러한 탐지의 메커니즘을 완전히 무시하는 사소한 변경을 쉽게 수행할 수 있습니다.
이를 완화하기 위해서는, 방어층이 공격 표면의 많은 지점을 덮어야 합니다. 다양한 방어 메커니즘을 통합하면 보안 솔루션의 효율성이 향상되고 조직은 여러 지점에서 공격 수명 주기를 중단할 수 기회를 갖게 됩니다.
계층화된 보호 외에도, 사이버 방어자들은 이제 공격자들이 움직이는 방식을 더 잘 이해할 수 있습니다. 공격자의 행동에 대한 큐레이션된 지식 기반 시스템이자 모델인 MITRE ATT&CK 프레임워크®는 공격자의 수명 주기 단계들과 보안 방어를 약화시키는 데 사용되는 전술 및 기술을 개략적으로 설명합니다. MITRE ATT&CK은 사이버 방어자들에게 공격 행위에 대한 공통 분류법을 제공함으로써 기업을 방어하기 위한 접근 가능하고 투명한 플레이북을 제공해왔습니다.
보안 공급업체는 이러한 동일한 개방성과 투명성의 정신에서 기회를 찾아야 합니다.
실무자가 격차를 해소할 수 있도록 지원하는 개방형 보안
증거에도 불구하고, 소프트웨어 개방성이 본질적으로 덜 안전하다는 오해가 여전히 존재합니다. 많은 보안 공급업체는 자사의 위협 탐지에 사용되는 메커니즘을 제공하지 않음으로써 공격자가 소프트웨어의 약점을 파악하는 것을 더 어렵게 만들 것으로 기대합니다. 그러나 오늘날의 사이버 범죄자들은 그들이 해당 시스템을 침해하기도 전에 보안 시스템이 그들을 식별할 수 있는지를 알 수 있는 도구를 이미 가지고 있습니다.
이러한 현실을 감안할 때, 개방형 보안은 새로운 위협이 틈새를 빠져나갈 때 탐지하는 시간을 줄임으로써 문제를 단락(short circuit)시킬 수 있는 기회를 제공합니다. 보안 요원이 보안 카메라 영상을 검토할 때, 그들은 카메라가 어디를 가리키는지 그리고 어디를 가리키고 있지 않은지 정확히 알고 있습니다. 이를 통해 카메라의 시야 밖에 있는 취약한 영역을 식별하고 추가 조사가 필요한지 여부를 결정하는 데 도움이 될 수 있습니다.
어느 빈틈을 메워야 하는지를 이해한다는 것은 보안 실무자가 기존 보안 도구를 보완해야 할 부분을 파악하거나 위협을 사전에 모니터링할 수 있다는 것을 의미합니다. 이를 통해 보안 팀은 적절한 방어 기능을 갖춘 것으로 인식되는 환경뿐만 아니라 그들의 특정 환경에 대해 가능한 최상의 방어 기능을 구축할 수 있습니다.
확장 가능한 보안에 대한 커뮤니티 접근 방식
개방형 보안의 또 다른 이점은 무엇일까요? 공급업체가 보안 제어, 탐지 규칙 및 위협 논리에 대해 투명하게 설명함으로써 탄생한 커뮤니티는 업계 전반에 걸쳐 모범 사례의 강력한 승수가 될 수 있습니다. 보다 광범위한 보안 커뮤니티의 전문가와 자체 전문가를 상호 참조하는 보안 공급업체는 직접 관찰한 새로운 위협이나 미묘한 공격을 탐지하는 혁신적인 방법에 대해 훨씬 더 자세히 알게 됩니다. 이를 통해 기업뿐만 아니라 고객과 데이터에 대한 시스템 방어의 확장성이 한층 더 향상됩니다.
보안은 위협 탐지를 넘어 위협에 대한 조치를 취할 수 있는 기능과도 관련이 있으며, 이 점을 기억해 두는 것이 중요합니다. 어떻게 공격을 막을 수 있을까요? 그리고 앞으로 진행될 유사한 위협에 대한 방어를 강화하기 위해 포렌식으로부터 무엇을 배울 수 있을까요? 공급업체가 보안을 개방적이고 투명하게 할 경우, 제한된 내부 리소스를 사용하여 수행할 수 있었을 수준 이상으로 도구를 지속적으로 개선할 수 있습니다.
궁극적으로, 개방형 보안은 신뢰에 관한 것입니다. 보안 소프트웨어가 최신 사이버 위협으로부터 회사를 보호할 것이라는 신뢰와 보안 소프트웨어가 일상적인 운영을 방해하지 않고 고유한 환경에서 작동할 것이라는 신뢰가 있는 것입니다.
사이버 위협에 대한 대응을 가속화하기 위해 Elastic의 집단 자원을 결합함으로써, Elastic은 매년 발생하는 사이버 공격의 양과 영향을 획기적으로 줄일 수 있는 잠재력을 갖추고 있습니다.
개방형 보안 솔루션을 통해 위험을 획기적으로 줄일 수 있는 방법을 직접 확인하려면, Elastic Security 소개: MTTR을 줄이는 방법과 같은 소개 웨비나를 참조하세요.