믿을 만한 위협정보를 유통하려는 시도 늘어

[보안뉴스 문가용] 사이버 공간을 통해 사람 사이의 연결망이 더욱 촘촘해지고 있다. 그러다보니 사실상 모든 산업 분야에서 사이버 네트워크의 비중이 대단히 커져버렸다. 이로 인해 네트워크 보안 역시 중요한 문제로 대두되고 있는 실정이다.

네트워크 보안 역시 혼자 힘으로 해결하려는 시도가 많았지만 최근 들어 여러 개인이나 조직들이 힘을 합쳐 위험에 대비하는 시도가 유행처럼 번지고 있다. 하지만 이게 중세시대의 수성, 공성 전쟁도 아닌데 여러 사람이 함께 방어한다고 해서 잘 통할까?

어떤 공격에 대한 지식과 경험을 많은 사람들이 나눈다는 건 공격에 노출된 사람이 적어진다는 의미이다. 뭉치면 살고 흩어지면 죽는다고, 이렇게 힘을 합하면 착한 놈들이 나쁜 놈들에게 당할 확률이 줄어들기 마련이다. 그리고 실제로 그렇게 되고 있다. 그렇다고 균형이 완전히 착한 사람들 쪽으로 넘어간 건 아니다. 하지만 방어력 자체는 늘어나고 있는 게 사실이다.

하지만 이런 ‘머리 모으기’ 혹은 ‘손 맞잡기’가 만병통치약은 아니다. 다양한 정보가 오고 갈 때 정보의 신뢰도와 투명성을 어떻게 확인할 수 있느냐가 새로운 문제로 제기된 것. 익명성이 기본 전제가 된 사이버 세상에서 원래 저자의 본명이 한 글자도 들어가 있지 않은 정보가 입수됐을 때 우린 그 정보가 맞는지 아닌지 어떻게 판단할까? 정보랍시고 열람하는 순간 멀웨어에 감염되는 건 아닐까? 나쁜 정보가 아니더라도 영양가가 담뿍 들어있는지 아닌지 어떻게 판단하고, 등급을 매길 것인가? 이런 문제들이 있음에도 세 가지 유형의 방어책이 모양을 드러내고 있다.

특별한 이해관계로 뭉치다

목적이나 생각하는 바가 비슷한 조직들이나 개인들이 힘을 합해 특정한 공격 방식에 대응하는 경우가 늘어나고 있다. 컨피커 워킹 그룹(Conficker Working Group)은 2008년도 후반에 탄생했으며 컨피커라는 멀웨어에 대응하기 위한 전문가 풀 확보를 위해 시작됐다. 전문가를 모으다보니 민간 사업체, 공공 사업체 및 개인 등 다양한 계층의 전문가들이 힘을 합하게 되었고, 그 효과도 강력했다. 참여자 계층의 다양함과 성과의 의미에서 굉장히 후한 평을 듣고 있기도 하다.

FS-ISAC(금융서비스 정보공유 및 분석 센터)는 1999년 민간 및 공공 분야의 물리 및 사이버 보안의 강화를 위한 정보 공유를 목적으로 생겼으며, 특별히 미국 금융 산업과 같이 대단히 중요한 분야의 인프라 보호를 주목적으로 탄생했다. FS-ISAC은 금융산업 전체를 아우르는 조직으로 위협 정보를 끊임없이 수집하고 분석한 후 유용한 사항들을 모아 멤버들에게 빠르게 전파하는 활동을 했다.

처음엔 미국 금융기관들을 위한 활동들을 해왔는데 2013년부터는 조직 내 규정을 새로 고침으로써 세계 곳곳에 있는 금융기관들과의 정보 공유를 시작하기에 이르렀다. 최근 도입한 CINS(Critical Infrastructure Notification Systems : 주요 인프라 알림 시스템) 덕분에 위협에 대한 상호 경고가 훨씬 빨라졌기에 가능한 일이었다.

착한 용병 모셔오기

구글이나 페이스북, 페이팔과 같이 기술력을 주무기로 삼은 선두 업체들은 일찌감치 화이트해커라고 하는 착한 용병들을 고용해왔다. 그래서 자신들의 서비스나 제품에 있는 취약점들을 사전에 발견해서 수정했다. 음지에 있을 수밖에 없는 해커들의 활동을 양지로 꺼내 긍정적인 방향으로 활용했다는 면에서 방법과 효과가 모두 뛰어나다. 또한 해커의 본질에 있는 ‘범죄성’을 간과한 채 해킹에 매력을 느끼고 있는 어린 프로그래머들이 범죄의 길에 들어서지 않을 수 있도록 방향을 제시했다는 점에서도 칭찬 받을 만하다.

최근 전 NSA 연구원들이 뭉쳐 실리콘 밸리에 사이낵(Synack)이라는 새로운 회사를 설립했다. 이 회사는 인프라 내에 잠재하고 있는 취약점을 찾아내 보완하고자 하나 기술이나 전문성이 부족해 하지 못하고 있는 기업들의 필요를 충족시켜 준다. 사이낵은 구성원 개개인의 전문성과 현장 경험을 활용해 믿을 만한 전문가그룹을 더 충원함으로써 빠르게 늘어가는 기업들의 요구에 발맞추고 있다. 기업들과의 신뢰도를 높이기 위해 사이낵은 화이트해커 용병처럼 돈을 받는다.

즉, 기업들의 요구가 충족되었을 때에야 비로소 돈을 지급 받는 것이다. 이뿐 아니라 사이낵이 보유하고 있는 분석가들 그룹을 항상 주시해 최신 정보를 빠르게 얻어낸다. 그래서 금융, 건강, 온라인 쇼핑 등 다양한 분야의 기업들이 사이낵을 적극 도입하고 있다.

“위협 정보를 팝니다”

위협 정보만 모아서 고객들에게 보내는 걸 아예 업으로 삼는 기업들도 있다. 에얼리언볼드(AlienVault), 쓰렛스트림(Threat/Stream), 클라우드플레어(CloudFlare)가 그런 예다. 이들은 다양한 루트를 통해 위협정보를 모으고 패키지화시켜서 고객들에게 제공한다. 정보를 수집하고 종합해 분석하는 과정을 통해 믿을 만한 내용만을 뽑아 공유함으로써 신뢰도를 높여가고 있다. 이런 정보를 보안 솔루션 패키지로 팔기도 하고 정보만 따로 공유하기도 하는데, 이런 ‘판매 수단’은 갈수록 다양해질 것으로 보인다.

사이버 범죄 수단은 갈수록 영악해지고 있으며 다양해지고 있다. 진화가 너무 빨라 하룻밤 사이에 무슨 일이 벌어질지 모르고, 어지간한 일에는 별로 놀라지도 않는다. 그렇기 때문에 보안이 절실해지는데, 이를 위해 여러 사람이 지식과 경험, 정보를 함께 공유하는 방법 역시 점점 뜨거운 이슈로 떠오르고 있다.

현대의 사이버전 역시 중세시대의 수성이나 공성처럼 머릿수가 많으면 많을수록 나쁠 건 없어 보인다. 다만 그때나 지금이나 누군가의 ‘지도’는 꼭 필요하다. 아무리 사람이 많아도 통일된 방향을 누군가 제시하지 않는다면 배가 산으로 가기 마련이니까.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>