정보 처리의 자동화를 통한 신속 정확한 배달

산업 간 경계를 넘는 종합 방어 도구

[보안뉴스 문가용] 마이크로소프트는 한국 기준으로 23일 기업 및 조직들끼리 해킹 공격에 관한 정보를 공유하게 해주는 정보공유 플랫폼을 개발했다고 발표했다. 이 플랫폼은 마이크로소프트의 애져(Azure)라고 불리는 클라우드 서비스에 기반하고 있으며 이름은 인터플로우(Interflow)로 사건대응 담당자와 보안전문가들을 위해 특별히 마련됐다.

“사건을 제1선에서 접하는 대응 담당자들과 정보를 좀더 효과적이고 자동적으로 공유할 수 있는 방법이 필요했습니다. 그 필요를 쫓다보니 인터플로우와 같은 플랫폼을 완성할 수 있었던 것이죠.” 마이크로소프트의 미래전략을 담당하는 수석보안 전략가 제리 브라이언트(Jerry Bryant)의 설명이다. “이 플랫폼 덕분에 지식공유 과정이 좀 더 자동화 될 수 있었습니다.”

브라이언트는 클라우드 기반 플랫폼인 애져가 원래는 정보 검색(Information Retrieval) 커뮤니티를 위해 디자인됐다고 설명했다. 그래서 데이터 피드 자체는 무료이지만 사용자는 애져에 정액을 내야만 이 데이터 피드를 받아볼 수 있는 방식이다. 인터플로우는 개방형 표준에 기반하고 있어 정보의 공유가 일정하고 균일하게 이루어지며 정보가 기계의 언어로 변환되어 방화벽, IDS, IPS, SIEMS 등에 자동으로 피드된다.

그 동안은 방위 산업, 금융 서비스, 건강보험, 소매업과 같은 산업의 종사자들은 ‘그들만의 리그’를 형성해 정보를 교환해 왔다. 자기들만의 정보교환 체제를 보유하고 있을 뿐 아니라 해당 산업에만 유용한 정보를 다루는 그들만의 정보보호업무 수행기관(ISAC)까지도 형성했었다. 멀웨어, IP 주소, 여러 증거물 등 위협에 대한 정보를 공유한다는 건 나쁜 놈들에 맞서는 착한 놈들의 합리적인 방어책이었다.

하지만 이런 식으로 똘똘 뭉친 조직들이 정보를 공유하는 방식은 무척이나 원시적이었다. 주고받는 정보의 내용을 들여다보면 악성 IP 주소, 악성 파일 해시, 악성 URL, 악성 이메일 주소가 주를 이뤘는데도 말이다. 이게 뭐가 문제냐면, 이런 종류의 정보는 ‘타이밍’이 생명인데 원시적인 방식으로 주고받다 보면 정보가 유효한 ‘타이밍’을 지나치기 일쑤라는 것이다.

기업체의 70%가 이런 정보가 가진 ‘타이밍’에 동의한다. 수분 혹은 수초 내에 가치가 사라지는 정보라는 게 분명 있다는 것. 그런데 이런 정보가 며칠 혹은 몇주 내에 도착한다면, 그 정보는 이미 쉬어빠진 것이나 다름이 없다. 그렇다고 정보공유란 것이 말처럼 쉽고 간단한 것이 아니다. 정보를 공유함에 있어 여러 가지 법적 혹은 시장 경쟁에 입각한 ‘고민거리’들이 수반되기 때문이다.

또한 정보가 너무 많이 돌아다니는 것도 고민이다. 금융산업 분야 ISAC 회원인 DTCC의 위기관리책임자 마크 클랜시(Mark Clancy)는 분석가들의 보고서 중 상당 부분이 여전히 여러 정보를 ‘잘라 붙이’거나 ‘복사해 붙이기’로 만들어진다고 한다. “4년 전만해도 이런 식의 보고서 만들기는 꿈도 꿀 수 없었습니다. 아무도 정보를 공유하지 않았기 때문이죠. 하지만 지금은 사용 가능한 정보가 너무 많아서 규칙을 세워야 할 정도입니다. 그런 세부 규칙 없이는 정보의 혼돈 속에 빠지기 십상이거든요.”

그래서 자연스럽게 이런 ‘정보의 홍수’를 정리할 수 있는 방법들이 등장하고 있다. STIX(Structured Threat Information eXpression : 구조화된 위협 정보 표현)와 TAXII(Trusted Automated eXchange of Indicator Information : 신뢰할 수 있는 지표 정보 공유 자동화)가 대표적이다. 이 둘이 표준이 되어 데이터의 효과적인 ‘소화’를 가능하게 해주고 있는 분위기가 조금씩 형성되고 있다. 마이크로소프트가 이번에 발표한 인터플로우는 STIX를 활용해 정보를 분석하고 TAXII를 활용해 분석 정보 전송 프로토콜을 설정했다. 이외에 CybOX(Cyber Observable eXpression : 사이버 관찰 표현)이란 것도 함께 활용했다.

“이렇게 업계 선두에 선 기업에서 표준이 되어가는 툴과 언어를 활용했다는 건 긍정적인 현상입니다. 주류 콘텐츠를 대규모로 생산하는 곳에서도 점점 이에 따를 것이라고 봅니다.” 클랜시의 설명이다. 보안전문가들 역시 마이크로소프트가 STIX, TAXII, CybOX를 고루 활용했기 때문에 자동화 정보 공유 시스템이 더 빨리 정착될 것으로 전망하고 있다.

마이크로소프트의 브라이언트 씨는 인터플로우의 API 덕분에 위협 혹은 공격 정보의 E2E(end to end) 자동화가 가능해질 것이나 이 플랫폼만으로 ISAC 등의 다른 체제를 대체할 수는 없을 것이라고 했다. “같은 분야에 있는 기업 및 업체끼리만 정보를 나눴었는데, 이젠 인터플로우로 그 경계를 허물고자 합니다. 이 ISAC에서 저 ISAC으로의 정보 교환도 가능해질 수 있는 풍토를 조성하고 싶은 것이죠. 인터플로우는 한 마디로 어떤 시스템이라도 연결시켜 주고 기계와의 대화를 이어주는 ‘통역기’와 같은 역할을 하고 싶은 것입니다.”

마이크로소프트는 이미 인터플로우를 회사 시스템에 깔고 운영하는 중이다. 마이크로소프트의 파트너 업체들 중 몇몇이 여기에 합류했고 여기엔 통합 보안 솔루션 전문업체 파이어아이(FireEye)도 포함돼 있다. 덕분에 마이크로소프트를 끼고 인터플로우에 합류한 업체들은 파이어아이가 감지한 공격정보를 보다 빠르고 신속하게 받아볼 수 있다. “정보 공유의 자동화가 코앞으로 다가왔습니다.”

멀웨어바이츠(Malwarebytes)의 멀웨어 정보부장인 아담 쿠자와(Adam Kujawa)는 “정보공유의 가장 큰 문제는 ‘정보처리 방법’에 있습니다. 마이크로소프트가 이를 빠르게 캐치해서 해결하려고 한 듯이 보입니다. 사용자들은 이제 정보를 모으거나 출력하는 등 ‘정보를 다루는 것’ 자체를 보다 쉽게 할 수 있을 것입니다. 정보 처리에만 능숙해져도 지금보다 더 많은 정보가 쓰레기처럼 버려지는 일은 줄어들 것입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>