정보를 공유한다는 건 데이터와 시스템을 보호한다는 측면에서 반드시 있어야 하는 일이다. 현재는 정부와 대기업들 사이에서만 제한적으로 이뤄지고 있는데, 정보 공유의 효과를 높이기 위해서는 범위가 넓어져야 한다.

[보안뉴스 문가용 기자] 미국 정부가 지난 3월 발표한 국가사이버보안전략(National Cybersecurity Strategy)에는 컴퓨터 시스템들의 보안을 강화 및 유지하는 데 대해 다른 누구보다 기술 제공 업체들이 더 많은 책임을 담당해야 한다고 나와 있다. IT 업체가 소비자보다 더 많은 책임을 가져간다는 것은 국가 보안 강화를 위한 미국 정부의 새로운 기조라고 해도 과언이 아니다.


여태까지 사용자들에게 지나치게 많은 책임이 부과되어 왔다고 여긴 정부가 ‘책임의 균형’을 바로잡은 것이라고도 볼 수 있다. 보안 업계는 이를 환영하는 분위기다. 이런 ‘균형 바로잡기’에 대한 미국 정부의 시도가 하나 더 있는데, 그건 바로 민과 관의 정보 공유다. 민간 부문과 공공 부문이 효과적으로 정보를 공유하고 협업하기 시작하면 정보를 보다 넓은 영역으로 보편화시킬 수 있게 되고, 그러므로 모든 기업들의 보안을 강화할 수 있게 된다고 미국 정부는 보고 있다.

이게 왜 균형과 관련된 문제일까? 왜냐하면 오늘날의 사이버 보안은 상위 1%만이 누리는 것이기 때문이다. 자원이 풍부하거나, 사이버 보안 인력을 충분히 확보하고 있거나, 여러 기술적 경험과 노하우가 축적되어 있는 기업(혹은 이 세 가지 모두를 갖춘 기업) 외에는 보안이 ‘버려도 되는 사치품’ 정도로 여겨지고 있는 게 현실이다. 보안 벤더들도 대기업들의 눈높이에 맞춰 경쟁력을 강화하는 게 보통이다. 대기업으로부터 비싼 주문을 따내는 게 보안 기업들의 지상 과제이자 궁극적 목표다. 아니라고들 말은 하지만 말이다.

그리고 대기업들에서 피해가 발생할 경우 어떤 일이 일어나는가? 이 거대하면서 영향력도 높고 능력도 많은 조직들은 침해로 인해 발생한 피해를 능수능란하고 효과적으로 고객들과 하청업체들이 비용을 지게 만든다. 그렇게 함으로써 살아남는다. 같은 공격이 중소기업에 일어날 경우 비용에 대한 부담을 혼자 짊어지기 때문에 기업의 존속 자체가 불투명해진다. 정보가 투명하게 공유된다면, 그래서 누구나 정보를 확보하는 데 있어 자원에 대한 부담감을 지지 않아도 된다면 대기업 위주로 형성된 보안 지형도를 어느 정도 균형 있게 맞추는 데 도움이 될 것이라고 전문가들은 보고 있다.

정보의 교환
미국에서는 2015년 사이버 보안 정보 공유법(CISA)이 시행되면서 민과 관의 사이버 첩보 공유 활동이 활발해졌다. 민간 기업들은 사이버 사건을 유관 기관에 적극 보고하기 시작했고, 정부 역시 민간 기업들에 정부만 알 수 있는 각종 첩보들을 알려주었다. 아직 정보 공유 문화가 완전히 정착했다고 보기는 힘들다. 정보를 공유하려니 거리낌이 되는 것들이 많이 생각나는 게 기업의 현실이기도 하다. 그렇지만 예전과 비교했을 때 지금 전문가들은 비할 데 없이 정보 공유에 열려 있다.

정부는 정부 나름대로 노력 중이다. 민간 기업들과의 협업 프로젝트를 만들고, 각종 컨퍼런스에 참여하면서 많은 정보를 나눠 주고 나눠 받으려 한다. 다만 이런 정부의 움직임에 혜택을 받는 건 아직까지 대기업들 뿐이다. 물론 대기업에 초점을 맞추는 것에는 나름의 이유가 있다. 영향력 높은 소수에만 민감한 정보를 전달하는 게, 다수에 공개하는 것보다 뜻하지 않은 유출의 가능성을 낮춘다. 예를 들어 취약점 정보의 경우 중간에 알 수 없는 경로로 공격자들의 손에 넘어갔을 때 오히려 공격을 부추기게 된다.

하지만 필자는 이것이 ‘구더기 무서워서 장 못 담근다’의 전형적인 사례라고 생각한다. 좀 더 많은 이들과 정보를 공유하지 않는 이상 정보 공유로 균형을 맞춘다는 의의는 이룰 수 없기 때문이다. 더 큰 목적을 달성하는 것에 집중해야 얻을 것이 많아진다. 그리고 풍성하게 나눠지는 정보 속에서 더 정확한 대처를 보다 많은 사람이 할 수 있게 될 것이다. 이렇게 대다수의 보안 능력이 강화된다면 일부 민감 정보가 새나간다 하더라도 지금보다 더 나은 대처를 할 수 있을 것이라고 생각한다.

이미 보안 전문가들은 이 점을 잘 이해하고 있으며, 따라서 일반 대중들에게도 정보 공유하는 걸 즐겨 한다. 개념증명용 익스플로잇은 물론 각종 방어 도구들, 공격자들의 최신 전략과 관련된 정보를 ‘전체 공개’한다. 한 보안 업체의 전문가들이 악성 파일의 패턴 탐지 관련 정보를 분석하면, 다른 보안 업체에서는 배후 세력을 캐는 식으로 협업을 이루기도 한다. 이를 보고서 형태로 적극적으로 나누고, 새롭게 발견된 기술 정보나 방어 방법은 깃허브(GitHub)와 같은 플랫폼을 통해 공유한다. 그러면서 공격자들의 전유물과 같았던 노하우와 경험 공유 및 상향평준화가 보안 업계 내에서도 이뤄지고 있다.

데이터에 치여
필자는 보안 업계의 이러한 변화를 적극 지지한다. 다만 세상 모든 일이 그렇듯, 이런 움직임이 완벽하기만 한 것은 아니다. 왜냐하면 이미 모든 기업의 보안 팀들은 첩보의 홍수 속에서 간신히 버티고 있기 때문이다. 이미 개별 기업 수준에서도 지나치게 많은 정보를 모으고 있는데, 첩보를 공유한답시고 다른 기업에서도 정보를 끌어모으면 결국 그 물살에 휩쓸리게 되지 않을까? 그러니 정보를 공유한다는 것에도 전략이 있어야 한다.

공유되는 첩보는 직관적이며 ‘액셔너블(actionable)’ 해야 한다. 즉 받는 사람이 추가 분석 과정을 거치지 않고도 곧바로 실질적인 행동을 취할 수 있도록 정보의 내용과 형식이 구성되어야 한다는 것이다. 내가 하는 좋은 일이, 때론 다른 사람들에게 저주처럼 가 닿을 수 있다. 첩보 공유 때문에 진짜 공격의 신호를 놓치게 된다면 준 사람이나 받은 사람이나 참 허무할 것이다. 그런 일을 방지해야만 첩보 공유는 의미를 갖게 된다.

글 : 마이크 위아섹(Mike Wiacek), CEO, Stairwell
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>