Dan Woods, F5의 글로벌 인텔리전스 책임자 – Q&A
F5의 글로벌 정보 책임자인 댄 우즈는 20년 이상 지역, 주 및 연방 법 집행 기관과 정보 기관에서 근무했으며, FBI에서 특수 요원으로 근무하며 사이버 테러를 조사했고, CIA에서 기술 운영 책임자로 근무하며 사이버 작전을 전문으로 했습니다. 우리는 그를 만나 그의 경력, F5에서의 업무, 그리고 주목해야 할 사이버보안 동향에 대해 알아보았습니다.
FBI에서 일하는 것은 어땠나요?
저는 FBI에서 사이버 요소가 포함된 온갖 범죄를 조사했습니다. 이는 반드시 사이버범죄는 아니지만, 컴퓨터나 인터넷과 관련된 모든 범죄를 의미합니다. 예를 들어, 저는 미 국립 실종 및 착취 아동 센터(NCMEC)와 협력하여 아동 포르노를 조사했습니다. 저는 2001년 미국에서 발생한 탄저균 공격(암호명 아메리스랙스)과 관련된 디지털 증거를 분석하는 데 도움을 주었습니다. 저는 일반적으로 인터넷 범죄 신고 센터(IC3)에서 회부하는 온라인 사기 사건을 조사했습니다. 저는 테러리스트 세뇌 및 모금 웹사이트를 조사했고, 미국 정부 컴퓨터의 침해 사건을 조사했습니다. 내 일상은 현재 진행 중인 조사나 내가 지원하고 있는 다른 요원의 조사를 진행하는 데 필요한 모든 것에 따라 결정되었습니다. 어떤 날은 은행 거래 내역서, 컴퓨터 기록/이미지, 전화 통화 기록을 검토하며 내내 작업 공간에 앉아 있기도 했습니다. 아니면 현장에 나가서 수색 영장을 집행하거나 인터뷰나 감시를 할 수도 있고, 훈련을 받거나, 컨퍼런스에 참석하거나, 검사와 회의를 할 수도 있죠. FBI 요원으로서 제가 정말 즐겼던 점 중 하나는 매일이 다르고 새로운 도전을 가져온다는 것입니다.
당신은 CIA에서 기술 운영 책임자로 일했었습니다. 거기서 당신의 작업은 어떤 내용으로 이루어졌나요?
저는 기술 서비스 사무실(OTS)에서 일하기 시작했습니다. 이를 위해 저는 전 세계를 여행하며 인적정보(HUMINT) 소스에 통신 시스템을 사용하는 방법을 가르쳐야 했습니다. 저는 이 직책이 마음에 들었지만 엄밀히 말해서 사이버 분야가 아니었기 때문에 CIA에서 다른 기회를 찾았습니다.
제 다음 직업은 제가 꿈꾸던 직업이었습니다. 저는 나중에 정보 운영 센터(IOC)의 일부가 된 비밀 정보 기술 사무소(CITO) 컴퓨터 네트워크 악용 및 공격 부서(CNEAD)에 배치되었는데, 이 부서는 오늘날 디지털 정보국(DDI)의 일부입니다. 이 직책을 맡으면서 저는 전 세계를 여행하며 사건 담당자(HUMINT 정보원을 모집하고 처리하는 사람들)를 도왔습니다. 여기에는 HUMINT 소스를 활용하여 일정 수준 접근 권한이 있는 컴퓨터 및 기타 정보 시스템에 접근하는 것이 포함되었습니다. 예를 들어, 사건 담당자(CO)가 고가치 대상의 인터넷 서비스 제공업체에서 청소부를 모집했다면, CO와 저는 그 사람을 만나서 ISP의 환경에 대해 질문할 것입니다. 이를 위해 몇 달 동안 여러 차례 회의를 해야 할 수도 있는데, 그 동안 우리는 관리인에게 운영의 각 단계에 필요한 특수 도구와 교육을 제공하고, 궁극적으로 CIA가 ISP 시스템에 원격으로 접근할 수 있도록 했습니다. 또한 이 직책을 통해 CO가 되는 데 필요한 교육을 이수할 수 있었습니다. 이를 통해 CO를 더욱 효과적으로 지원할 수 있게 되었습니다.
그런 조직에서 일하면서 얻은 가장 중요한 교훈은 무엇이었나요?
대부분 사람들은 제가 CIA와 FBI에서 일했던 경험에 끌리고 그 조직에 대해 많은 질문을 합니다. 하지만 제가 맡았던 가장 흥미롭고 인생을 바꾸는 직책은 90년대 초반에 근무했던 순경이었습니다. 저는 애리조나주 피닉스 도심에서 표시된 순찰차를 운전하면서 가정 폭력, 침입, 위조, 신원 도용, 총격, 살인, 갱단 폭력, 범죄적 피해, 불법 약물, 실종된 아동 또는 취약한 성인, 도난당한 차량, 교통사고 등과 관련된 전화에 대응했습니다. 수년에 걸쳐 저는 다양한 계층의 수천 명의 사람들을 인터뷰(또는 심문)하게 되었습니다. 이런 상호작용을 통해 저는 연민, 공감, 교육의 가치, 그리고 가장 중요한 효과적인 의사소통의 중요성을 배웠습니다.
최근 몇 년 동안 사이버테러리즘은 어떻게 발전했습니까? 이에 맞서기 위해 가장 많이 사용되는 도구는 무엇입니까?
예상했던 대로 사이버 범죄자들은 수년에 걸쳐 더욱 정교해졌지만 그 정도는 새로운 대책을 극복하는 데 필요한 정도에 불과했습니다. 예를 들어, 조직에서 무단 로그인을 방지하기 위해 브라우저 지문 인식을 사용하기 시작했을 때 악의적인 행위자는 Genesis Marketplace 와 같은 플랫폼을 개발했습니다. 이는 사용자 이름과 비밀번호뿐만 아니라 브라우저 지문을 생성하는 데 사용되는 피해자의 컴퓨터와 동일한 속성을 많이 판매합니다. 조직에서 문자 메시지 기반 2FA를 사용하기 시작하자 공격자는 OTP 봇을 사용하기 시작했습니다. 공격자도 진화할 수밖에 없는 상황에 직면하지 않는 한 진화하지 않습니다. 사이버테러에 맞서 싸우는 데 사용되는 도구는 다른 유형의 사이버 범죄와 동일합니다. 우리는 목적에 관계없이 악의적인 행위자가 시스템에 무단으로 접근하는 것을 방지해야 합니다.
국가와 조직들이 사이버테러에 맞서 싸울 준비가 되었다고 생각하시나요? 아니면 아직 갈 길이 멀다고 생각하시나요?
국가와 조직들은 준비 상태가 충분하지 않습니다. 이유는 주와 조직에 따라 다르지만, 몇 가지 일반적인 이유는 다음과 같습니다. 1) 조직이 공격을 탐지하고 예방하는 데 직간접적으로 협력해야 하는 사람들 간의 협조 부족 또는 때로는 적대적 관계. 2) 조직이 완전히 다른 시스템을 변경하거나 빠르게 통합하게 만드는 합병, 인수 또는 기타 이벤트. 3) 기관 지식의 손실을 초래하는 인력 교체. 4) 악의적인 내부자. 5) 적절한 교육을 받고 적절한 자금을 지원하는 보안 팀의 부족. 국가와 조직이 모든 과제를 내부에서 직접 해결하려고 하는 경우가 너무 많은데, 특정 기능을 제3자에게 아웃소싱하는 것이 더 나은 선택입니다. 예를 들어, 고객 신원 및 액세스 관리, 보안 장치 및 시스템의 모니터링 및 관리, 행동 생체 인식 정보 수집 및 분석, 악성 봇 식별 및 방지 등이 있습니다. 이러한 분야는 모두 아웃소싱이 가능하고, 또 아웃소싱해야 합니다.
사이버테러와의 전쟁에서 가장 많이 저지르는 실수는 무엇인가?
이는 싸움에 누가 참여하느냐에 따라 달라지지만, 가장 큰 실수를 하나 꼽으라면, 조직이 공격을 감지하고 예방하도록 돕기 위해 직간접적으로 협력해야 하는 사람들 사이에 협조가 부족하거나 때로는 적대적인 관계가 있다는 것입니다. 여기에는 보안팀과 네트워크 운영팀 간의 마찰, 보안팀과 사업부 간의 일치 부족, 심지어 조직과 조직이 운영되는 국가 간 목표의 충돌이 포함될 수 있습니다. 가장 큰 실수는 기술적인 것이 아니라 인간적인 것입니다. 즉, 다른 사람을 희생시켜 한 영지를 키우거나 보호하는 것, 예산을 쌓아두는 것, 의사소통이 효과적이지 않은 것, 시대에 뒤떨어진 정책과 절차, 전반적인 리더십 부족 등이 있습니다.
최근 유럽 방위 기금(EDF)은 사이버 보안 역량을 개선하고 사이버 및 정보전에 대처하는 도구를 개발하기 위해 6,700만 유로를 지원했습니다. 이 정도면 충분한가요? 아니면 추가 투자가 필요한가요?
전혀 충분하지 않아요. 이 문제는 결코 해결되지 않을 것이지만, 해결책에 점근적으로 접근하려면 비용이 수십억 달러에 달할 것입니다. 그리고 제가 위에서 설명한 인간의 문제 또한 해결되어야 할 것입니다.
F5의 글로벌 인텔리전스 책임자로서의 역할을 설명해 주세요.
저는 매일 F5 네트워크를 통해 흐르는 수십억 건의 거래를 조사하는 데이터 과학자, 엔지니어 및 분석가와 함께 일합니다. 이러한 거래는 전 세계 사람들이 매일 온라인에서 하는 일과 연관이 있습니다. 이러한 거래와 관련된 클라이언트 측 신호를 분석하면서 악의적인 공격, 공격에 사용되는 공격 인프라, 새로운 공격 도구, 새로운 수익화 계획에 대한 증거를 발견하게 되었으며, 이를 정기적인 위협 브리핑을 통해 고객과 공유합니다. 또한 이러한 결과를 피드백 루프로 사용하여 F5 보안 제품군의 효율성을 지속적으로 개선합니다.
앞으로 몇 년 동안 사이버 보안 추세는 어떻게 될 것으로 생각하시나요?
조직에서는 앞으로 다가올 위협을 예측하고 이에 대비해야 합니다. 그러나 많은 조직들이 현재 직면한 실제 문제를 해결하는 것보다 다음에 무슨 일이 일어날지 추측하는 데 더 많은 시간과 노력을 쏟습니다. 예를 들어, 신임장 정보 유출은 여전히 가능합니다. 이는 악의적인 행위자가 하나 이상의 조직에서 유효한 수백만 개, 심지어 수십억 개의 사용자 이름/비밀번호 쌍을 구매하거나 획득한 다음 다른 조직의 로그인 애플리케이션을 통해 프로그래밍 방식으로 이를 시도하는 경우입니다. 사용자 이름과 비밀번호를 재사용하는 소비자 습관으로 인해 이러한 공격으로 인해 시도된 계정의 0.1%~3.0%가 손상됩니다. 이러한 공격이 계속해서 효과적인 한, 공격자들은 더 이상 진화할 동기를 갖지 못할 것입니다.
또한 조직에서 2FA를 보다 광범위하게 사용함에 따라 공격자는 SS7 침해, 통신사 내부 정보 유출, 모바일 기기 맬웨어, 소셜 엔지니어링, OTP 봇, 포트 아웃, SIM 스왑 등을 통해 2FA를 무력화할 방법을 계속 찾을 것입니다. 앞으로는 조직에서는 사용자 마찰을 증가시키는 보안 대책을 구축하는 대신, 클라이언트 측 신호에 더 많이 의존하여 사용자를 인증해야 합니다. 여기에는 행동 생체 인식은 물론, 장치, 사용자 에이전트, 네트워크에서 전송되는 신호도 포함됩니다. 이러한 신호를 함께 활용하면 사용자 마찰을 증가시키지 않고도 보안을 향상할 수 있습니다.
_______
Dan Woods의 최근 블로그 게시물 에서 더 많은 내용을 확인하세요.