지난달 ‘회사마다 꼭 있는 '아몰랑 보안' 유형··· 혹시 당신도?&rsqu
해커
우선, 무찌르려는 상대방과 기술과 마음가짐을 지닌 전문가가 내부에도 있어야 한다. 솔라윈즈(SolarWinds)의 책임자 데스트니 버투치는 “포괄적인 침투 시험을 하고 보안 조치, 절차, 프로세스를 시험할 수 있는 기술을 갖춘 보안 전문가를 고용할 수 있는 방법을 모색해야 한다”고 밝혔다. 이어서 “이 사람은 건전한 호기심이 있어야 하며 DEFCON에서 처음으로 해커 대회에 참가해 본 사람이면 좋다”고 덧붙였다.
글로벌스케이프(Globalscape)의 엔지니어링 부사장 그레그 호퍼는 이러한 인재를 ‘착한 실력자’라고 부르면서 다음과 같이 말했다. “팀의 조수로서 모의 전투 방식으로 정보 관리 시스템의 보안 평가를 수행한다. 그들의 터무니없는 행동이 보안팀의 전반적인 성과에 도움이 된다.”
현상금 사냥꾼
어떤 사람들은 버그를 찾는데 열정이 있고 여러분은 그런 사람들을 찾아 그런 열정을 활용해야 한다. 코디스코프(Codiscope)의 CGO(Chief Guidance Officer) 크리스 슈미트는 “현상금 사냥꾼은 앉아서 가끔 버그를 찾으면서 남부럽잖은 생활을 할 수 있는 사람이지만 소득이 충분하지 못하고 하루 만에 수백만 달러짜리 버그를 찾는 꿈을 꾸기 때문에 출근하는 팀원이다”고 이야기했다. “그들은 익스플로잇(Exploit) 공격과 피버팅(Pivoting) 연결의 미학을 숙달했지만 발견한 버그를 신속하고 효과적으로 해결할 수 있는 해결책을 설명하는 예리한 능력도 개발했다. 그들은 정기적으로 오픈 소스 커뮤니티에 기여하며 최고의 프레임워크 유지보수 담당자들과 좋은 관계를 맺고 있다.”
음악가
레벨 3 커뮤니케이션즈(Level 3 Communications)의 CSO 데일 드류는 음악가를 찾고 있는데, 이는 비유법으로 이야기한 것이 아니다. 그는 음악가가 엄청난 양의 네트워크 메타데이터(Metadata) 등 혼란스러운 정보를 취하고 프로세스를 정립하여 변칙적인 움직임의 패턴을 찾을 수 있다고 밝혔다. 이어서 “나는 보안 직원을 고용하지 않았던 적이 많다. 시장에 상당수가 있을 때도 우리는 먼저 기술 전문가에 집중한 후에 보안에 대해 교육하는 경향이 있었다”고 덧붙였다.
레벨 3의 보안 아키텍처 조직의 새 팀원인 코트니 트레이는 플루트를 연주한다. 그녀는 처음에 유사 부호 작성을 ‘악보를 보는 것과 같다’고 생각했다. 트레이는 악보를 스캔하여 의미를 파악한 후에 세부 사항을 찾는 일을 하고 있다.
카리스마 있는 행정관
정보 보안 담당자가 되면 사람들에게 “안돼”라고 말하는 일이 많아진다. 동료에게 그들이 실행하고 싶은 앱이나 좋아하는 웹사이트가 안전하지 못하다고 말하고, 비밀번호가 취약하다고 지적하며, 잠시 책상에서 일어설 때도 로그오프 해야 한다고 권고한다. 코디스코프의 슈미트는 대부분의 사람들이 이러한 간섭과 잔소리를 그다지 좋아하지 않기 때문에 이를 편안하게 생각하는 행정관을 찾아야 한다며 다음과 같이 말했다. “행정관은 동료들 사이에서 존경을 받는다. 그들은 카리스마가 있는 훌륭한 소통자이며 유연함을 고려해야 할 때 그리고 조직의 위험 없이 그 유연성을 적용하는 방법을 파악할 수 있다. 가장 중요한 것은 행정관이 자신에게 부여된 권한을 이해하고 존중하면서 여기에 취하지 않는다는 점이다.”
써드파티 보안 닌자
당신이 보안 활동에 관한 아무런 통제권한이 없다 해도, 당신의 친구나 당신이 네트워크를 개방해 줘야 하는 협력사를 통해 적들이 접근할 수도 있다. 사이버GRX(CyberGRX)의 비즈니스 개발 책임자 스콧 슈나이더는 “제3의 관계, 제4의 관계가 점차 기업을 위협하는 사이버 공격, 시스템 고장, 데이터 노출의 원천이 되고 있다”고 전했다. “써드파티 보안 닌자는 이 부분에서 기업들이 자신을 보호하기 어렵다는 점을 알고 있다. 새로운 관계에 대해 ‘새로운 친구는 없다’는 닌자의 접근방식은 그들이 제3의 협력사에 접근하는 방식과 유사하다. 이들은 기업의 가장 약한 링크가 그 기업의 보안 강도 수준임을 알고 있으며, 기업의 데이터 관리 및 보안 전략에서 외부인이 그 어떤 틈도 만들지 못하게 한다.”
통계학자
점차 많은 보안 툴이 시스템 건전성에 관한 많은 데이터를 제공할 수 있게 됨에 따라 기업에는 이 모든 것들을 분석하고 해석할 사람이 필요해졌다. 코디스코프의 슈미트는 그 사람을 이렇게 묘사했다. “그들은 지표를 위해 살아 숨 쉰다. 그들은 오전 내내 로그 데이터의 트렌드를 그래프로 작성하고 먼 곳에서도 이례적인 부분을 찾아낼 수 있다. 통계학자는 겉으로 보기에 이해할 수 없는 수 테라바이트의 로그 데이터를 수용하고 가장 어린 시스템 운영 관리자도 잠재적인 이벤트를 조기에 발견할 수 있도록 단순한 시각화를 생성하는 인간 기계와 같다.”
데이터 걱정맨(Worrier)
그렇다. ‘전사(Warriar)’가 아니라 ‘걱정맨(Worrier)’이다. 데이터는 조직에서 필수적인 자원이며 누군가 이 부분을 항상 강조하지 않는다면 틈 사이로 빠질 위험이 있다. 탈레나(Talena)의 설립자 겸 CEO 타이틴 돈드는 “모든 IT보안 드림팀에는 항상 백업 등을 관리하는 사람이 필요하다”고 강조했다. “데이터 걱정맨이 없다면 기업들은 실수로 데이터를 삭제하거나 애플리케이션이 망가질 수 있으며 생각보다 훨씬 더 취약하게 된다.”
QA 전문가
PC 피트스톱(PC Pitstop)의 사이버 보안 부사장 도디 글렌은 자신의 보안 드림팀에 다른 부서에서 차출한 사람이 포함되어 있다고 했다. 그는 “IT 드림팀에는 QA 엔지니어가 있다”며 “이들은 생산에 돌입하기 전에 준비 환경에 변경사항을 배치하는 방법을 알고 있다. 먼저 준비된 환경에 배치하는데 시간을 투자함으로써 많은 문제를 방지할 수 있다”고 말했다.
사냥꾼
RFS(Raytheon Foreground Security)의 CSO(Chief Strategy Officer) 조슈아 더글라스는 위협이 발생할 때까지 기다리지 않는 사람이 필요하다고 생각하는 사람이다. 그는 “위협 사냥은 선제적인 마음가짐이며 인간 사냥꾼과 고도의 분석툴이 포함된다”고 말했다. 자동화된 알람 또는 이벤트를 기다렸다가 위협을 조사하는 전통적인 접근방식 대신에 사냥꾼은 가장 보편적인 툴보다 먼저 위협을 찾는다. 그들의 업무는 환경 내에서 유출의 증거를 찾고 그 증거를 이용해 엄격한 분석 방법으로 포렌식 조사를 하며 지속해서 끈질긴 위협을 찾아 근절하는 것이다.”
엘리트 분대
상황이 잘못됐을 때는 어떻게 할까? 코디스코프의 슈미트는 ‘조직 내 최고 중의 최고’로 선발된 다양한 역량을 지닌 인력으로 핵심 그룹을 만들 것을 권했다. 슈미트에 따르면, 이 그룹은 다양한 업무를 담당하지만 유출이 발생했을 때는 조직의 인프라를 보호할 뿐 아니라 공격자를 기소하는 데 필요한 포렌식 증거를 수집하는 최선의 희망이 될 것이다.
PCITS(Portage County Information Technology Services)의 CIO 브라이언 D. 켈리는 이 그룹이 “보이지 않는 어떤 세력이 기업 네트워크를 공격하거나 해킹할 경우 배치할 특수 무기와 전략을 갖추고 신속하게 적과 교전하여 사이버 위협을 완화해야 한다”고 말했다.
실용주의적 선구자
그렇다면 이 드림팀의 팀장으로는 누가 제일 좋을까? 프로텍트와이즈(ProtectWise)의 공동 설립자 겸 CTO 진 스티븐스는 “이 역할에 선견지명이 있으면서도 실행 가능한 접근방식으로 팀을 이끄는 현실적인 리더가 필요하다. 수년 동안 지혜가 쌓인 그들은 혁신과 탐구에 대한 취향이 엄격한 낙관론자이며 팀을 전진시키는 데 집중한다. 이 유형의 리더는 FUD(Fear·Uncertainty·Doubt) 요소를 멀리하며 조직이 우위를 점하기 위해 공포와 의심을 유도해야 한다는 생각 자체를 거부한다. 대신에 그들은 수년 동안 쌓은 지혜와 솔루션을 신속하게 직관적으로 판단해 혁신을 추진하고 팀을 긍정적인 미래로 이끄는 내재적인 능력의 가치를 신뢰한다”고 밝혔다.
로봇
마지막으로 NSFOCUS의 수석 검색 지능 분석가 스티븐 게이츠는 팀에 로봇을 합류시켜야 한다고 말했다. 이는 어떤 면에서 비유일 뿐이다. 게이츠에 따르면, 인간 팀원들 외에 자동화된 보안이 필요하며 이를 매끄럽게 유지하려면 그 이면의 기술을 개발하고 모니터링하는 전문가팀이 없이는 불가능하다. 그는 “위협 행동자들 그리고 취약성을 악용하기 위해 개발된 위협 벡터와 보조를 맞추려면 위험을 최소화하고 전반적인 보안 태도를 개선하는 데 도움이 될 실시간 정보를 제공하는 자동화된 위협 지능 서비스가 필요하다. 하지만 전 세계의 데이터를 이용해 위협 지능 서비스를 개발하려면 24시간 내내 일하는 연구원 및 엔지니어로 구성된 팀도 필요하다. 인간과 기계가 함께 ‘로봇’을 만든다”고 전망했다. 미래에는 우리가 보호하려는 시스템이 우리의 팀원이 될 수 있다. dl-ciokorea@foundryco.com
