※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
친화적인 GUI도 중요하지만 명령행도 빼놓을 수 없어…결국 오탐 적게 내는 것이 최고
안정적인 탐지 알고리즘과 방어 기술은 사이버 보안에 반드시 있어야 하는 요소들입니다. 하지만 세상에서 가장 좋은 백엔드 엔진이라고 하더라도 사용하는 데에 난이도가 높다면 큰 효율을 발휘하지 못합니다. 사용하는 데에 있어 편리함, 즉 이용성은 보안 도구가 제대로 기능을 발휘하는 데에 있어 중요한 요소입니다. 비단 최종 사용자용 도구만을 말하는 것이 아니라 수많은 상황과 각종 솔루션을 다뤄야 하는 보안 전문가들 입장에서 사용 편리성은 중요합니다. 일을 편하게 하려고 선택한 도구를 별도로 공부해야 하는 것만큼 모순이 되는 상황도 없기 때문에 전문가들이 보안 도구를 선택할 때 어떤 점을 주로 살피는지 알아보았습니다.
1. 구축이 쉬워야 한다
우선 솔루션이나 장비 평가를 하기 위해서는 구축을 해야 합니다. 그런데 윈도우와 네트워크를 끄고, 구축 에이전트까지 따로 사용해야 한다면 평가 점수가 심하게 깎이고 시작하는 것과 같습니다. 복사와 비슷한 작업을 통해 시스템에 옮겨 놓으면 깔끔하게 작동하는 것처럼 편리하면서도 보안 기능은 강력해야 합니다.
2. 제대로 효율을 발휘하려면 자격증이 필요하다?
장비나 솔루션들 중 운영에 자격이 필요한 경우가 있습니다. 그럴 수밖에 없는 것들도 있지만, 적은 시간과 인력으로 많은 솔루션을 운영해야 하는 관리자 입장에서는 이렇게 어렵고 전문적인 솔루션들로는 눈길도 가지 않고 보유하고 있어도 잘 사용하지 않게 됩니다. 해당 솔루션만의 고유한 기능이 필요한 특수 상황이 아니라면, 자격증까지 가지 않아도 충분히 사용할 수 있는 수준의 솔루션이 좋습니다.
컴퓨터를 좀 잘 다룬다고 하는 사람들 중에는 GUI에 대해 개의치 않아 하는 분들이 많습니다. 명령행이 그들에게는 더 잘 어울리고 효과적인 도구가 되지만 그렇다고 해서 GUI의 가치가 초보자들에게만 발휘되는 건 아닙니다. 처음 도구를 접하는 입장에서는 아무리 컴퓨터 다루는 실력이 뛰어나도 GUI가 도움이 됩니다. 특히 다른 사람에게 권해줄 때 GUI가 좋은 제품이라면 부담이 덜 하기 때문에 컴퓨터 실력이 조금 떨어지는 사람에게도 권할 수 있습니다. 이 경우 보다 많은 사람들을 보안에 참여시킬 수도 있습니다. 도구는 좋은데, 사용할 사람이 없다든가, 도구는 좋은데 특별 교육이 반드시 수반되어야 한다면 좋은 평가를 내릴 수 없습니다.
4. 명령행의 강력함도 유지할수록 좋다
모든 사람들도 비슷하지만 관제센터의 분석가들도 효율적이며 사용하기 편리한 UI를 꽤나 선호합니다. 하지만 분석가들이나 심층적인 연구를 해야 하는 전문가라면 그래픽 UI만으로는 충분치 않을 수 있습니다. 효과적인 GUI도 좋지만, 명령행 인터페이스를 통해 할 일을 제대로 할 수 있는 것도 중요합니다.
5. CAC(Configuration-as-Code)를 지원해야 한다
애플리케이션 보안 분야에서는 GUI가 괜찮다고 해서 사용성이 괜찮다는 뜻이 되는 건 아닙니다. 예를 들어 5만 개의 빌드 작업에 동일한 설정을 적용해야 하는 방대한 일을 앞둔 데브옵스 개발자에게 있어 UI를 통한 접근법은 대단히 제한적이고 일을 빨리, 정확하게 끝내기도 어렵습니다. 그렇기 때문에 CAC 접근법을 지원할 수 있어야합니다. CAC는 환경설정 자원을 출시 및 배포 파이프라인과 애플리케이션 코드에 저장해서 관리하는 방법론으로, 환경설정을 마치 코드 관리하듯 하는 것을 뜻합니다. 시간을 아낄 수 있고 시스템 업타임 향상에 큰 도움을 줍니다.
6. 공개 플랫폼과 연결할 수 있어야 한다
공개된 플랫폼들과 솔루션을 연결할 수 있어야 데이터를 공유하고 공통의 대시보드를 통해 팀들 간 협업을 이뤄낼 수 있습니다. 쉬운 공유와 협업이야 말로 이용성을 증대하는 가장 큰 요소라고 생각합니다. 데이터 교환하는데 복잡한 기술들을 동원해야 하고, 서로 엉뚱한 대시보드를 보느라 소통에 문제가 생기면 당연히 불편함을 느낄 수 밖에 없습니다.
7. 관리 체계가 간단해야 한다
보안 팀의 인력과 시간은 부족한데, 분석해야 할 건 산더미에 도구들도 복잡해 누구라도 쉽게 도움을 줄 수 있는 상황이 아닙니다. 그런 도구들이 세심한 관리의 손길을 필요로 한다면 일을 도와주는 게 아니라 더해주는 것이기 때문에 도구 관리하느라 진짜 할 일을 못하게 되고, 사건 대응도 늦어집니다. 아무리 좋아도 관리가 까다로운 도구라면 꽝입니다.
좋은 보안 도구들은 사용자가 올바른 결정을 내릴 수 있도록 합니다. 유연성이라는 미명 아래 여러 가지 옵션들만을 제공하는 건 아이들한테 사랑을 준답시고 괜찮아 괜찮아만 연발하면서 사실은 방관하는 것과 같습니다. 일 잘 하는 보안 도구는 어마어마한 데이터를 분석하고 사용자가 구체적인 행동을 취할 수 있도록 하는 분석 결과를 요약해서 보여줍니다. 즉 사용자가 정말로 원하는 것과, 보안 도구가 내는 답 사이에 간극이 적다는 것입니다.
9. 설정을 하찮고 귀찮은 일로 만들지 않는다
웹 애플리케이션 방화벽들이 이전에 일상적인 웹 트래픽 내에 안전하고 안정적으로 삽입시키는 미묘한 작업을 주기적으로 해야만 오탐이 줄어들었습니다. 그 미묘한 작업의 난이도가 높았고, 또 너무 자주 해야 하다보니 귀찮았습니다. 그로 인해 사용자들은 줄어가고, 웹 애플리케이션 방화벽과 씨름하느라 시스템이 망가진 사례들은 보안에 있어서 이용성이 얼마나 중요한지를 나타내는 사례입니다.
10. 보안 솔루션의 이용성은 결국 경보의 문제다
보안 솔루션을 사용하는 보안 담당자 입장에서 사용자 친화적인 도구란 그 무엇보다 제대로 된 경보를 울려주는 것을 말합니다. UI나 이런 것들의 편리성에 첫 인상이 좋아질 수는 있지만, 자꾸 오탐을 내고 경보를 엉뚱하게 울린다면 좋은 평가를 받을 수 없습니다. 즉 진짜로 문제를 해결해주는 것이 도구들의 할 일이라는 것입니다. 인공지능과 머신러닝을 기반으로 한 솔루션들에 보안 전문가들의 관심이 쏟아지는 것도 이 때문입니다. 이런 알고리즘을 잘 활용하면 오탐을 줄일 수 있기 때문입니다.
출처 : 보안뉴스