[마이클 지 칼럼] 나눠서 정복-신속 조정 등 중요
출처 - http://www.zdnet.co.kr/column/column_view.asp?artice_id=20170919152328
마이클 지 포티넷 CTO
입력 : 2017.09.21.15:57
수정 : 2017.09.21.15:57
사이버 위협이 날로 정교해지고 있다.
전 세계 수많은 기업들은 매일 사이버 위협을 효과적으로 대응해야 하는
어려운 과제를 안고 있으며 보안 어플라이언스를 구축하여
기업의 데이터와 중요한 자산을 보호하는 중이다.
보안 어플라이언스는 사이버 위협을 방어하는데 매우 중요한 역할을 한다.
이것이 바로 위협 인텔리전스다.
진화하는 위협 환경을 면밀히 파악하고 적절히 대응하는 보안 어플라이언스의 역량은
사이버 방어력을 강화하는데 매우 중요하다.
적시에 정확하고 예측 가능한 위협 정보를 확보하는 것은 쉽지 않은 일이다.
효과적인 위협 인텔리전스는 아래와 같은 6가지 요건이 충족돼야 한다.
첫째, 나눠서 정복하라.
비즈니스의 여러 측면에서 대규모 팀은 대규모 생산량과 동일시된다.
동기 부여가 확실한 사이버 범죄자를 넘어서고 싶다면 최적의 전략이 필요하다.
효과적인 위협 연구 조직은 여러 팀으로 나눠서 구성돼야하며 각 팀은 특정 위협에 초점을 맞춰야 한다.
이를 통해 각 팀의 전문적인 역량이 향상되면 보다 신속하게 위협을 감지하고 식별할 수 있으며
고객 대응 시간을 단축시킬 수 있다.
둘째, 신속히 조정하라.
위협 연구팀은 민첩해야 한다.
위협 상황은 매우 역동적이기 때문에 시간,
분단위로도 상황이 달라질 수 있다.
팀은 즉각적이고 유연하게 우선 순위를 조정할 수 있어야 한다.
포티넷은 위협 환경이 어떻게 진화할지에 대한 예측을 기반으로
연구 계획을 업데이트한다. 방향이 정해지면 최적의 기술을 가진 연구원이
특정 테스크포스팀에 참여하여 새롭게 주목받고 있는 위협을 연구한다.
최근 예로는 IoT, 랜섬웨어, 자율적 멀웨어 등이 있다.
셋째, 전체를 조망하라.
연구자는 직접적인 연관이 없는 사안이라도 늘 주변 상황에 관심을 가지고 큰 그림,
즉 전체를 조망할 수 있어야 한다. 예를 들어 사물인터넷(IoT) 취약성을 연구해
위협 전망에 대한 엔터프라이즈 보안 업체의 이해도가 높아질 수도 있다.
넷째. 직감을 키워라.
연구 책임자는 실제 위협 상황이 벌어지기 전에 팀원들이 위협에 대한
통찰력을 가질 수 있도록 교육해야 한다.
예를 들어 뛰어난 위협 연구원들은 미라이 IoT 봇넷이 지난 9월에 등장하기 전에
이미 수 년 간 IoT 취약점이 차세대 위협이 될 것이라고 경고해 왔다.
새로운 위협이 끊임없이 등장하고 빠르게 진화하고 있다.
보안 업체들이 위협에 대한 조사를 늦추고 신속하게 반응하지 못하면 고객들도 신속한 보호를 받을 수 없다.
다섯째, 데이터를 축적하라.
위협 연구팀이 접근 가능한 데이터를 많이 확보할수록 연구 결과의 정확도가 커진다.
선두의 연구 기관들은 정보를 축적만 하는 것이 아니라, 공유한다.
포티넷은 전세계 3 백만 개의 센서를 통해 인텔리전스를 확보하는 것을 넘어서,
사이버 위협 연합(Cyber Threat Alliance, CTA)을 통해 인터폴, 나토(NATO),
국내서는 한국인터넷진흥원(KISA) 및 기타 보안 업체들과 적극적으로 위협 정보를 공유하고 있다.
최근 몇 달 간 포티넷은 전 세계 더 많은 정부 기관과 통신사업자들과 협업하는데 성공했다.
여섯째, 연구 기술에 투자하라.
위협 정보를 수동으로 분석하는 시대는 지났다.
효과적인 연구 팀은 매 초 마다 들어오는 엄청난 데이터를 분석하는 고급 툴이 필요하다.
포티넷은 단일 시그니처로 수천 개의 현재, 미래 악성코드 변종을 식별하는
콘텐츠 패턴 인식 언어(Content Pattern Recognition Languages, CPRL)를 보유했다.
그러나 미래에는 빅데이터 분석 및 인공 지능과 같은 기술이 더 많은 역할을 할 것이다.
사람들은 네트워크를 연결하고 데이터를 공유하며 시스템에 데이터를 적용하는
복잡한 작업을 수행하고 있다. 미래에는 더욱 성숙한 인공 지능 시스템이
이러한 복잡한 작업을 자동화시켜줄 것이다.
그러나 AI가 아무리 발전한다고 해도 100% 자동화 시스템을 구현하기는 어렵다.
사람의 개입이 여전히 필요하다. 빅데이터 및 분석 플랫폼을 통해 멀웨어 진행을 예측할 수는 있지만
멀웨어의 변이는 예측이 어렵다.
워너크라이와 같은 랜섬웨어는 패치가 적용되지 않은 시스템을 감염시키기 위해
미국 국가안보국(NSA)으로부터 유출된 취약점을 악용했는데 이를 미리 예측하는 것은 쉽지 않다.
멜웨어의 진화는 본질적으로 인간의 진화와 사람들이 일상 생활에
새로운 기술을 어떻게 적용하는지에 따라 달라진다.
자율주행차와 웨어러블 IoT가 더욱 대중화되면 사이버 범죄자들은
이들 장치를 악용할 방법을 찾을 것이다. 마찬가지로 암호화 화폐에 대한 관심이
높아지면 해커들은 이를 악용할 방법도 찾아낼 것이다.
자동화의 개념이 사이버 범죄자들에게 새로운 가능성을 열어주면서
많은 기업들이 이를 주목하고 있다. 해커들이 멜웨어 자동화 기능을 강화하면서
대상 기업에 대한 공격 속도가 빨라지고 침입 후 영향을 미치는 시간도
단축됐으며 탐지를 피하는 방법도 빠르게 발전하고 있다.
기업들은 IoT부터 클라우드에 이르기까지 분산 네트워크 에코시스템 전반에 걸쳐
거의 실시간 위협에 대응해야 한다.
그러나 오늘날 많은 기업들이 이를 위한 역량을 확보하지 못하고 있다.
최고정보책임자(CIO)들이 주목해야 할 대목이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
마이클 지 포티넷 CTO
이메일 sjung@fortinet.com
약력
마이클 지(Michael Xie)는
네트워크 보안 업계에서 15년 이상 경력을 가졌다.
2000년 10월 포티넷을 공동 창업했으며 2010년 10월부터
CTO로 기술 전반을 책임지고 있다.
이전에는 넷스크린에서 소프트웨어 디렉터이자 아키텍트로,
서브게이트에서 CTO 겸 부사장을 맡았다. 그는 CRN 매거진이
수여하는 '2009 테크 이노베이터 어워즈'를 수상했으며 2006년 바비즈니스 매거진 주최
'언스트앤영(Ernst & Young) 및 톱 테크놀로지 이노베이터(Top Technology Innovator)'에서
올해의 노던 캘리포니아(Northern California) 기업인에 선정되기도 했다.
중국 칭화대학 자동차공학과 석사 및 캐나다 매니토바 대학교에서
전기 및 컴퓨터 공학과 석사 학위를 받았다.
댓글 없음:
댓글 쓰기