지난 6월 3일부터 6월 5일까지 워싱턴DC에서 개최된 ‘가트너 시큐리티 서밋 2024(Gartner Security & Risk Management Summit 2024)에서 Sr Director Analyst Steve Santos(이하 스티브)는 “Outlook for Security Operations 2024”를 주제로 강연했다.
지난 기고문 들에서 위협 노출관리(Threat Exposure Management) 프로세스와 SOC 보안운영센터 빌드 방법에 대한 내용을 작성했었다. 이번 기고에서는 세부적으로 보안 운영을 하기 위한 방법을 스티브의 강연을 통해 전달하고자 한다.
본 강연에 앞서 스티브는 “다수의 사람들은 현재까지 보안 전문가가 수행해왔던 일을 생성형 인공지능(Generative AI 이하 GenAI)등이 대체할 수 있다고 믿고있다. 하지만 앞으로 약 1년 가까이는 불가능한 일이라고 생각한다.”고 전달했다. 전달하고자 했던 의미는 가능과 불가능의 영역이 아니라 결국 보안 운영을 강화하기 위한 목표와 계획을 생각하고 그것을 조사하는 일은 조직이 해야 된다는 내용으로 이 또한 명확한 목표 없이 신기술을 도입하려 하는 경우 투자 대비 효과를 보지 못할 것으로 전달했다.
향후 1년간의 보안 운영이 향상될 것인지 혁명적으로 발전할 것인지에 대해 스티브가 제시한 방법론을 통해 소개하고자 한다.
지난 “가트너 보안 서밋 현장-1” 기사(클릭)에서 위협노출관리(Threat Exposure Management) 프로세스를 소개했다. 스티브의 세션에서도 첫 번째 부분에서 위협노출관리(Threat Exposure Management)를 다뤘는데 그만큼 중요한 전략 중 하나임을 다시 한번 상기시켜준다. 기존과 다른 점은 노출 관리를 사용해 위협 탐지 및 사고 대응을 강화하자는 목적이다.
스티브는 보안 운영 강화를 위한 목적으로 노출 관리를 다음 4단계와 같이 적용할 수 있다고 설명했다.
▲1단계 - 향상된 위협 탐지 엔지니어링(Enhanced detection engineering)
탐색 된 공격 표면을 활용해 누락된 로그 및 네트워크 데이터 등을 식별해라. 기고자의 위협 탐지 활동을 비추어 생각해보며 외부에 노출되어 있는 자산은 반드시 정찰단계의 공격들이 탐지됨을 경험할 수 있었다. 따라서 공격 표면에 있는 자산들을 탐색했다면 가시성을 확보해야 한다.
▲2단계 - 상황에 맞는 위협 모델링(Contextual threat modelling)
노출된 자산 식별을 기반으로 위협을 모델링 해라. 앞선 1단계에서 가시성을 확보했으므로 조직으로 유입되는 공격유형을 분류하고 위험도의 구분을 통해 모델링 할 수 있어야 한다.
▲3단계 - 상황에 맞는 위협 경고(Contextualized alerting)
모델링한 위협과 자산 컨텍스트를 통해 보안 이벤트를 강화해라. 부족한 보안인력으로 발생하는 모든 경고를 분류하고 분석하는 건 쉬운 일이 아니다. 중요도가 높은 자산에 집중하고 보안 이벤트를 강화해야 한다.
▲4단계 - 최적화된 위협 헌팅 (Optimized threat hunting)
위협 행위자의 공격 형태는 매순간 진화하기 때문에 탐지되지 않는 위협 활동이 있을 수 있다. 조직은 위협 헌팅을 해야 한다고 생각하지만, 흔히 위협 헌팅을 서울에서 김 서방 찾기라고 표현하는 것처럼 어디서부터 시작해야 하는가 라는 문제부터 직면한다. 이 때 위협 노출 관리를 통해 범위를 좁히고 집중해야 될 대상을 선정해야 한다.
다음으로 스티브는 “Penetration testing, Breach Attack Simulation, Red Teaming과 같이 노출 관리에 대한 검증 프로세스가 포함될 때 위에서 언급한 4단계가 더 효과적으로 동작하고 사고 대응 프로세스에서 시간을 절약할 수 있다” 라고 말했다. 결국 사이버 보안을 방어 입장에서 공격 입장으로 전환하고 시뮬레이션을 지속해 조직의 보안 탐지 및 통제 수단이 효과적인지 검증해야 된다는 것이다.
다음은 위협 검증 (Threat Validation) 을 위한 3가지 요소다.
▲첫번째 요소 - 위협 행위자(Threat Actor)의 기술을 사용해 고위험군에 노출된 자산에 공격을 시뮬레이션 한다.
▲두번째 요소 - 위협을 탐지하기 위한 보안 장치가 정상적으로 동작하는지 파악해야 된다. 이를 통해 보안 운영 강화를 위한투자를 검토하거나 대안을 모색할 수 있는 기회를 제공받을 수 있다.
▲세번째 요소 - 시뮬레이션을 통해 식별한 내용들을 기반으로 표준작업지침서(Standard Operating Procedures) 또는 플레이북 생성과 같이 사전 사고 대응을 위한 절차를 마련한다.
스티브가 전달하고자 했던 내용을 종합해보면 위협 노출 관리(Threat Exposure Management) 를 통해 위험도가 높은 자산을 찾고 우선순위를 부여하는 활동만이 아니라 탐지 활동을 향상 시키고 사고 대응 활동을 시뮬레이션 함으로서 보안 운영을 강화할 수 있다고 설명했다.
그리고 GenAI를 활용하는 방법에 대해서도 심도있게 강연을 이어 나갔다,
가트너에서 이 새로운 유형의 AI 구현은 보안 운영의 매우 초기 단계에 있다고 얘기하면서 그런데도 사이버 보안 시장에서는 보안 운영을 강화하거나 제공하기 위해 AI가 가까운 미래에 이 영역을 담당할 수 있다 라는 과장된 표현들로 넘쳐난다면서 현재까지는 AI 가치를 입증하기 위한 사례가 많지 않다는 연구 결과를 발표했다.
그렇다면 GenAI를 어떻게 활용해야 될지 스티브의 강연을 통해 안내해보고자 한다. 스티브는 “GenAI는 훌륭한 어시스턴트지 조직의 일을 대체하기 위해 사용하기는 이르다”라고 말하면서 보안 인재의 부족과 유지면에서 도움받을 수 있다고 설명했다. 다음 항목은 보안 운영 효율을 개선할 수 있는 항목들이다.
▲향상된 위협 탐지 기능(Enhanced detection capabilities)
발생한 경고의 추가적인 컨텍스트를 AI 어시스턴트가 권장 사항을 제시하고 강화할 수 있다. 또는 사용자 입력에 따른 쿼리문을 생성해주고, 도출된 결과로 추가조사해야 될 내용을 제시해준다. 이처럼 탐지 기능 향상 또는 추가 조사에 대한 제시 역할도 AI가 할 수 있을 것으로 기대되기 때문에 보안 인재는 제품의 동작 방식을 학습하고 이해하는데 의존도를 낮출 수 있다.
▲더 빠른 사고 및 경고 해결(Faster incident/alert resolution)
조직이 보유한 보안 도구를 기반으로 탐지한 경고에 따라 적절한 조치 사항은 어떤 것들이 있는지 제시하기도 한다. 이를테면 악성 평판을 갖는 행위자로부터의 접근이 탐지됐다면 방화벽에서 행위자의 IP를 차단하라는 가이드를 AI가 제시해줄 수 있다. 더불어 보안 담당자가 입력해야 할 사항들을 자동으로 채워 주기도 하기 때문에 사고 대응 기능을 더욱 효율적으로 만든다.
▲워크 플로우 효율화(Workflow efficiency)
문제가 잦은 경고들 또는 사용자가 수행하는 반복적인 작업들에 대해서는 워크플로우 생성을 제시하고 샘플 코드를 제공하면서 구현을 원하는 경우 AI를 통해 코드 작성을 할 수도 있다.
AI 어시스턴트의 보안 운영 효율 강화에 대해 얘기하면서 스티브는 한가지 명심해야 될 점으로 “직원을 감소시키는 목적의 AI 도입 검토가 아니라 조직이 얻을 수 있는 이점은 보안 인재의 시간이다면서 AI가 모든 것에 대한 해결책이 될 수는 없다.”고 설명했다. 결과적으로 GenAI가 해결할 수 있는 새로운 과제를 찾기보다 조직의 비즈니스 목표와 명확하게 일치하는 인력 강화를 구축하고 유지하는데 GenAI를 사용할 것을 안내했다.
Steve는 보안 운영 자동화(Security Operation Automation)을 현실적으로 적용하기 위한 방법에 대해서도 안내했다. 스티브는 자동화 적용에 대한 내용을 안내하기에 앞서 “자동화가 적용된 지 오랜 시간이 흘렀다. 그런데도 불구하고 조직은 모든 작업을 자동화를 통해 해결하지 못했고, 비용 또한 절약하지 못했다.”라고 얘기하면서 어떻게 하면 비즈니스 목표나 보안 목표를 충족할 수 있는지 강연했다.
스티브가 언급한 내용에 핵심이 있다. 모든 것을 자동화하고자 하는 노력에서 실패가 이어진다는 것이다. 2023년 가트너 시큐리티 서밋에서도 유사한 내용에 대한 가트너 분석가의 강연이 진행되기도 했었다. “모든 것을 자동화하려고 하지 마세요. 조직이 또는 팀이 해야 될 일을 구분하고 우선순위가 높은 업무부터 순차적으로 자동화에 대한 계획을 하십시오.” 라는 내용을 다뤘던 기억이 난다.
이 강연에서도 자동화하고자 하는 범위를 정밀하게 재조정(Precision Scaling) 해야 한다고 언급하면서 주니어 분석가와 시니어 분석가의 사례를 들어 AI와 자동화에 대한 내용을 설명했다.
위 그림에서 알 수 있듯이 분석가가 하는 모든 일에 AI 또는 Automation을 포함시키지 않으면서 스티브는 “분석가, 엔지니어, 사용자 등 어떤 역할을 하는지 리스트업 하고 자동화나 AI가 그 역할에 도움을 줄 수 있는지 알아보라”고 말했다.
예를 들면 위협 연구의 경우 출시된 많은 EPP, EDR, NDR, XDR 제품 들에서 알 수 있듯이 위협 데이터를 학습하고 신뢰도 높은 경고를 발생시킨다. 즉, 위협 데이터의 학습은 충분히 입증되어 왔으며, 데이터 또한 방대함을 반증한다. 이런 경우 연구 및 조사 활동을 분석가가 하는 것이 아니라 AI에게 도움을 요청하는 것이다. 이 공격 벡터는 무엇인지, 이 위협은 언제 발견됐는지 어떻게 작동하는지 등을 보조 받는 것이다.
이를 통해 스티브는 “보안 인재의 피로감이나 스트레스로 인해 발생할 수 있는 번아웃을 줄이고, 인간적인 논리가 필요한 일에 집중할 수 있도록 개선할 수 있다”고 말했다.
서두에 언급한 것처럼 특정 프로세스 또는 보안 운영 센터의 빌드 방법이 아닌 보안 운영 강화를 위한 강연인 만큼 노출 관리, 생성형 인공지능, 자동화에 대한 내용에서 조직에 부족한 부분을 개선하고 강화할 수 있기를 기대한다.
[글. 권표 수석 / 파고네트웍스 MDR센터 / CPTO (Chief Product & Technology Officer)]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
