보안에 대한 최고경영진들의 관심이 높아지면서 기업 내 보안 담당자들은 회사의 방어 현황을 추적할 수 있는 지표를 제출하라고 요구 받고 있다. 하지만 어떤 수치가 정말 의미 있는 걸까?
일부 최고 경영진은 어떤 질문을 해야 할 지조차 모른다. 방어에만 과도하게 집중하고 예방은 경시하기도 한다. 일례로 사건 대응 평균 비용이나 방화벽으로 중단된 공격의 수 같은 측정치들은 보안과 무관한 사람들에게는 의미 있는 수치처럼 보이겠지만, 조직의 보안 프로그램을 실질적으로 개선시키는데 유용하지는 않다.
몇몇 전문가들은 이러한 수치 대신 행동 또는 변화 전략에 영향을 주는 측정치에 초점을 맞추라고 추천하고 있다.
보안 소프트웨어와 컨설팅 업체 시지털(Cigital)의 보안 이니셔티브 디렉터 캐롤라인 웡은 “측정치가 있었다면 행동을 달리 했었을” 수치에 집중하라고 말했다. 그녀에 따르면 취약점을 취소화하는 평균 비용과 패치에 걸리는 평균 시간 같은 측정치들은 조직에 성숙하고 고도로 최적화된 프로세스가 있을 때 도움이 되지만, 그렇지 않은 오늘날 95%의 조직에는 적용되지 않는다고 말했다.
하지만 참여, 효과 정도, 노출의 기회를 측정하는 수치들은 조직이 계획을 수립하고 프로그램을 향상시키기 위해 사용할 수 있는 정보를 제공한다고 그녀는 덧붙였다.
첫 번째 보안 측정치: 프로그램 참여 수준
참여 측정치는 조직 내 커버리지를 본다. 이들은 얼마나 많은 비즈니스 유닛들이 일상적으로 침투 테스트를 실시하는지 혹은 얼마나 많은 엔드포인트가 현재 자동화 패칭 시스템으로 업데이트되고 있는지 등을 측정할 수 있다. 웡에 의하면 이 기본적인 정보는 조직이 보안 제어 채택 수준을 산정하고 잠재적 격차를 식별하는데 도움을 준다.
예를 들어 조직의 시스템 100%가 새 업데이트가 올라온 한달 이내 패치 완료되었다고 말할 수 있으면 좋겠지만 패칭은 시스템에 운영 상의 위험을 가져올 수 있기 때문에 이는 비현실적인 목표다. 참여를 관찰하면 일반적인 패칭 규칙하에 속하지 않는 시스템을 제외하고 패치가 필요한 시스템들에 집중하는데 도움이 된다.
두 번째 보안 측정치: 공격 지속시간
드웰타임(dwell time) 혹은 네트워크 내 공격 지속시간 역시 가치 있는 통찰을 제공한다. 공격 지속시간 정보는 보안 전문가들이 위협을 준비, 차단, 제어하고 피해를 최소화하는데 도움을 준다.
조사들을 보면 공격자들이 발견되기 전까지 평균 몇 달 간을 회사 네트워크상에서 보냈다는 점이 나온다. 그들은 이 시간을 인프라를 공부하고 정찰 활동을 하고 네트워크를 돌아다니며 정보를 훔치는데 썼다.
공격 지속시간을 측정하는 목표는 최대한 드웰타임을 최소화해서 공격자가 측면 움직임을 달성하고 핵심 데이터를 없애버릴 기회를 줄이는 것이 되어야 한다고 레이테온/웹센스(Raytheom/Websense)의 CTO 조슈아 더글라스는 말했다. 그에 따르면 드웰타임은 보안팀이 취약점 최소화와 사건 대응을 처리하는 방법을 알아내는데 도움을 준다.
“공격자가 당신의 네트워크에 오래 머물러 있을수록 더 많은 정보가 그들 손에 넘어가고 가할 수 있는 피해도 더 많아진다”라고 더글라스는 말했다.
세 번째 보안 측정치: 코드 결함 밀도
결함밀도(defect density) 혹은 코드 매 천(혹은 코드기반에 따라 백만)행당 발견되는 문제의 수는 조직이 자체 개발팀의 보안 프랙티스를 평가하는데 도움을 준다.
하지만 이는 경우에 따라 다르다 맥락이 중요하다. 만약 애플리케이션이 개발 초기에 있다면 높은 결함밀도는 모든 문제가 발견되었다는 의미이므로 좋은 결과다. 반면 만약 애플리케이션이 관리 모드에 있다면 결함밀도는 낮고 낮아져야 애플리케이션이 시간이 지날수록 더 안전해진다는 의미이며, 그렇지 않다면 뭔가 문제가 있는 것이다.
네 번째 보안 측정치: 노출의 기회
조직에서 애플리케이션의 결함을 식별해낼 수 있지만 이게 해결되기 전까지 애플리케이션은 취약한 상태로 남아있게 된다. 노출의 기회(windows of exposure)는 애플리케이션이 1년 중 며칠이나 알려진 심각한 취약점 공격과 문제들에 취약한 상태로 남아있는지를 본다.
웡은 이와 관련해 “목표는 1년 중 심각한 결함이 알려진 상황에서 해결되지 않은 일수를 0으로 만드는 것”이라고 말했다.
오인하게 만드는 지표들
경영자는 일반적으로 보안 사고 방지에 초점을 맞추기 좋아하는데 조직이 모든 공격을 외곽에서 차단시킬 수 있다는 오래된 관념 때문이기도 하다. 예를 들어 차단된 침투 시도들의 수를 보면 모두가 기분이 좋아지겠지만, 그 정보를 가지고는 얻을 수 있는 게 없다. 보안팀이 어떤 공격은 막지 못했는지 파악하는데 도움이 안되기 때문이다. 더글라스는 “아무것도 고쳐지는 건 없다”라고 말했다. .
평균 응답 시간 혹은 문제가 얼마나 빨리 발견되고 최소화되었는지 역시 별로 도움이 안 되는 측정치다. 응답 시간은 공격자가 네트워크를 측면적으로 움직인다는 사실을 무시한다. 문제 하나는 고칠 수 있겠지만 공격자가 다른 어떤 일을 저질렀는지 알아내려 하지 않는다면 동일한 공격자에 의한 다른 시스템 공격이 드러나지 않을 수 있다. 보안 전체가 아닌 개별적 문제에만 집중하면 환경이 취약해진다.
더글라스는 “한 번하면 끝나는 게 아니라 한번하고 이해하는 것”이라고 말했다.
취약점들의 감소 역시 흔하게 측정하지만, 그 자체만으로는 별로 쓸모가 없다. 만약 수많은 낮은 단계의 취약점들이 수정되었다면, 치명적인 문제들은 여전히 남겨진 가운데 조직의 위험 역시 그대로가 된다. 몇몇 취약점들은 다른 취약점보다 중요도가 높다.
최근 레이테온/웸센스 조사에 응한 중역들의 단 28%만이 그들 조직에서 쓰이는 보안 측정치가 “완전히 효과적”이라고 답했고, 65%는 “어느 정도 효과적”이라고 답했다.
보안 현업자들은 선임 관리자들에게 잘 규정된 목표를 달성하는데 도움을 주는 보안 질문에 초점을 맞추는 방법을 설명할 필요가 있다. 그렇지 않으면 너무 많은 주의 집중이 실제로 위험을 줄이거나 보안을 개선하는데 쓰이지 못하고 낭비된다.
웡은 “그런 곳이 당신의 제한된 시간과 돈을 쓰기에 적절한 대상인가?”라고 반문했다. dl-ciokorea@foundryco.com
