소셜미디어르를 통해 여러 사이버 공격이 시도되기 때문에 보안 업계는 소셜미디어를 부정적으로 보려하기도 한다. 하지만 소셜미디어의 긍정적인 면을 살린다면 오히려 보안에 큰 도움이 될 수도 있다.

[보안뉴스 문정후 기자] 새로운 위협거리들이 계속해서 등장하고 있기 때문에 방어자들의 할 일이 기하급수적으로 늘어나는 중이다. 고차원적인 공격 역시 빠른 증가 추세에 있어 보안 담당자들의 할 일의 양만 문제가 아니라 질도 문제가 된다. 할 일의 건수만이 많아지는 게 아니라 난이도도 높아진다는 것이다. 이런 상황에서 보안 첩보의 중요도 역시 가파르게 올라가고 있다.


위협 첩보가 진정한 가치를 발휘하려면 전파되고 공유되어야 한다. 그런데 요즘 정보 전파와 공유에 가장 높은 효과를 발휘하는 것은 무엇인가? 소셜미디어 플랫폼들이다. 기업 내에서 부서 간이든 기업 간이든, 소셜미디어는 대단한 정보 공유의 도구라는 것이 여러 해 증명된 바 있다. 실제 기업의 44%가 정보 공유를 위해 소셜미디어를 활용하고 있기도 하다. 주류 소셜미디어인 트위터에서부터 특수한 목적을 가진 포럼인 멀웨어바자(MalwareBazaar)까지, 정보 공유의 수단으로서 소셜미디어의 활용 사례는 계속해서 늘어나는 중이다. 보안 분야에서도 이러한 점을 연구해야 할 것으로 보인다.

모두가 필요하다
요즘 해커들의 공격 시도는 너무나 다양하고 빈번해 조직 혼자서 아무리 잘해도 제대로 된 방어를 구사하기가 힘들다. 제대로 잘 하라면 어마어마한 돈을 최첨단 보안 시스템과 장비, 솔루션들에 쏟아야 한다. 심지어 그렇게 하고서도 별 다른 성과를 거두지 못할 수도 있다. 왜냐하면 공격의 트렌드는 늘상 변하기 때문에 한 번의 대대적인 투자를 통해 마련한 방어 시스템이 금방 옛 것이 되어버릴 수 있기 때문이다. 그러므로 어떤 수준의 보안 기술과 솔루션을 갖추고 있든 위협과 관련된 첩보는 늘상 공유하고 또 공유 받아야 한다.

현재까지는 전 세계 수많은 보안 전문가들이 트위터라는 소셜미디어를 통해 위협 첩보와 보안 전략을 공유했다. 트위터는 누구나 쉽게 접할 수 있는 플랫폼이며, 매우 간결하고 사용하기 쉬운 인터페이스를 갖추고 있다. 그렇기 때문에 누구나 자신이 가진 정보를 즉각적으로 공유할 수 있으며, 따라서 필요한 정보가 빠르고 신속하게 퍼질 수 있다. @Gi7w0rm이나 @JAMESWT_MHT와 같은 계정의 경우 보안 첩보를 공유하는 것만으로 3만 이상의 팔로워를 보유할 정도로 성장하기도 했다.

주고받기
트위터의 영향력 높은 첩보 공유 계정의 주인들처럼 누구나 무료로 정보를 취득할 수 있도록 하는 사람들은 모두가 첩보를 공유함으로써 보안을 강화한다는 개념에 있어 대단히 중요한 역할을 하고 있다. 이들 덕분에 서로 다른 유형의 첩보들을 접하고 각종 위협에 대응할 수 있게 된다. 또한 보안 전문가들끼리 네트워킹을 하는 데에도 중요한 거점 역할을 하기도 했다. 보안 전문가들끼리 알고 지내면서 필요한 정보를 주고받는 건 보안 담당자로서의 역할을 수행할 때 은근 중요한 일이다.

이런 오픈소스 정보들이 보안 전문가들에게만 유용한 건 아니다. 위협 첩보에 관심이 있는 사람이라면 누구라도 정보를 취득하여 방어 계획을 세울 수 있다. 중요한 첩보를 퍼나르는 것만으로도 이들은 정보 확산의 주춧돌이 되며, 심지어 이런 정보를 모으고 편집해 따로 제공하는 활동을 하는 사람들도 존재한다. 이런 자발적 활동이 새로운 사업 기회를 제공하기도 하고, 정보를 보다 풍성하고 윤택하게 만든다.

암묵적인 규칙이 존재한다
모두가 자발적으로 참여해 정보를 생성하고 공유하는 소셜미디어 상 커뮤니티라고 하면 대단히 자유로운 방식으로 유지될 거 같지만 사실 거기에도 암묵적인 규칙이 존재한다. 일단 위협에 대해 전파할 때 피해자 정보는 절대로 포함시키지 않는다. 보안 전문가들이라면 프라이버시의 중요성을 그 누구보다 잘 이해하고 있는 사람들이다. 그러므로 피해자를 식별할 수 있을 만한 힌트는 조금이라도 제공하지 않는 게 거의 절대적으로 지켜진다고 해도 과언이 아니다. 피해자 정보를 공개하는 건 랜섬웨어 조직들 뿐이다.

또한 첩보 공유 게시글을 자세히 살펴보면 알겠지만, 글을 올리는 사람은 분류와 항목화에 많은 신경을 쓰는 편이다. 트위터처럼 계속해서 새로운 콘텐츠가 업로드 되는 바람에 중요한 소식들이 빠르게 묻히는 환경이라면 이런 항목화 노력이 매우 중요해진다. 예를 들어 다이내믹랫(DynamicRAT)이라는 멀웨어에 대한 첩보만 모아보고 싶을 때 #DynamicRAT이라고만 입력해 검색하면 관련성 높은 게시글만 모아서 볼 수 있다. 하지만 게시글을 올린 사람이 그런 해시태그 처리를 하지 않았다면 검색에 걸리지 않을 것이다.

첩보를 소셜미디어에서 접할 때 사람들은 해당 첩보의 객관적이고 정리된 내용 그 이상을 보고 싶어하는 게 보통이다. 예를 들어 “다이내맥랫이 요즘 윈도 생태계에서 퍼지고 있으니 주의”라고만 트위터에 올린다면 첩보로서 큰 효과를 내기 힘들다. 그런 첩보는 실제 방어를 계획하는 데 큰 도움이 되지도 않는다. 첩보에 대한 게시자만의 고유한 분석 결과나, 실질적인 도움이 되는 정보가 있어야 첩보는 즐겁게 소비가 된다. 그래서 소셜미디어 상에서 영향력이 높은 보안 전문가들은 더 깊은 내용을 블로그에 따로 적고 소셜미디어에 링크를 걸어두고 내용을 나누는 방식을 자주 사용한다.

첩보의 중요성, 아무리 강조해도 지나치지 않아
당연한 이야기지만 첩보만으로 보안의 문제가 해결되지 않고 소셜미디어를 보안 도구로 취급할 수 있는 것도 아니다. 하지만 첩보를 빠르고 넓게 나누고, 그 나눔의 그물망 속에 뛰어드는 것은 보안 전략을 마련하는 데 있어 빠질 수 없는 요소가 된다. 사이버 보안의 불꽃을 생생하게 유지하는 것도 역시 첩보들이다. 소셜미디어를 보안 첩보 플랫폼으로서 활용해 보는 것, 그리 어렵지 않으니 시작부터 해 보자.

글 : 이갈 리츠키(Igal Lytzki), 분석가, Perception Point
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>