• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

말 많고 시끄러운 첩보 공유, 파트너십이 중요 2015.04.16

정보를 공유할 때 제일 중요한 건 양자의 평등한 위치

평등한 위치 유지하려면 서로가 똑같이 이득을 봐야


[보안뉴스 문가용] 유출사고가 빈번히 발생함에 따라 사이버 보안 혹은 정보보안 전략의 필요성은 이제 잔소리 수준으로 당연시되는 개념이 되어버렸다. 이는 단지 개발부서 혹은 네트워크 관리 부서에만 국한된 것이 아니라, 여러 다른 일반 및 생산부서의 담당자들에게도 마찬가지다. 그래서 그런지 사이버 보안 산업은 전 세계적으로 성장세에 있으며 2019년까지 1천 557억 달러에 달할 것이라는 전망도 나오고 있다.

 


그러니 사이버 보안 업체들이 하루에도 몇 개씩 등장한다. 각기 특수 분야가 다 다르지만 요즘 들어서는 사이버 위협 첩보와 관련된 기능만큼은 공통으로 가지고 있는 듯한 모습이다. 더 자세히 들여다보면 ‘사이버 위협 첩보’ 기능은 위협 내용에 대한 여러 분석력 혹은 그 분석에 필요한 기술력을 의미할 때가 많다. 그렇기 때문에 그 부분이 바로 경쟁의 쟁점이 되는 부분인데, 최근 보안 관련 업체들마다 데이터 분석력을 자랑하는 게 그 증거다. 실제로 제대로 된 분석 자료만 있으면 미리 대처하고 올바른 결정을 내리는 데 큰 도움이 된다.


하지만 이게 말처럼 쉽지만은 않다. 먼저 정보를 분석하기 위해서는 정보를 수집해야 하는데, 보안업체들은 각자의 고객들로부터 주로 정보를 얻게 된다. 하지만 고객으로부터 분석에 도움이 되는 정보를 받는 과정에 대한 지침이나 정보의 유형에 대한 합의가 제대로 이루어지는 경우가 드물다. 정보라고 다 같은 게 아니라 첩보가 될 만한 게 따로 있는 법인데 이 구분이 잘 이루어지지 않는다는 것이다.


첩보가 공유되는 과정은 크게 다음과 같은 단계를 거친다.

1) 필수조건/환경조건 갖추기

2) 정보 수집하기

3) 수집된 정보 해석하기

4) 분석하고 보고하기

5) 최종 결과 퍼트리기


필수조건/환경조건 갖추기 단계란 고객이 첩보를 입수하거나 첩보입수팀과 함께 문제를 발견하고 진상을 파악해 어떤 조치를 취해야 할지 결정하는 것까지를 말한다. 그런데 여기서 굉장히 많이 삐걱거린다. ‘첩보를 발견한다’, ‘정보를 찾는다’는 건 사실 굉장히 모호한 표현이고 이런 지시를 받는 사람들은 대부분 허공에다가 손을 허우적거려 옆에 있는지 없는지도 모르는 투명인간을 잡으려는 느낌을 받기 때문이다. 어디로 손을 뻗쳐야 할지, 심지어 뭘 노려야 할지도 모르는 경우가 태반이다.


그런 경우 첩보 분석가 혹은 첩보 분석팀의 할 일은 ‘교육’으로까지 늘어난다. 하지만 이를 마냥 일이 늘어난 것으로만 볼 건 아니다. 어차피 고객을 통해 정보를 입수한다면 그 정보의 진원지를 올바로 다듬어 놓는 건 당연할 수도 있기 때문이다. 또한 그 ‘교육’ 행위를 통해 결국 이득을 보는 건 첩보 분석가들이다.


첫 단추를 잘 끼워야 한다고, 이는 굉장히 중요한 일이다. 뭘 찾아야 하는지, 어디부터 어떻게 찾아야 하는지, 어떻게 바라보고 해석해야 하는지 명확한 기준이나 지침이 없다면 그 다음 단계인 ‘정보 수집’이 흔들리기 때문이다. 정확한 목표나 지침 없이 수집된 정보는 부정확하거나 모호해서 결정을 내리거나 공유하기에는 부적절할 때가 많다. 그러니 1)번 단계가 확실히 마무리 될 때까지 시간과 자원을 얼마든지 투자해야 한다.


궁극적으로 ‘첩보 분석’이라는 과정 자체는 법으로 규정하는 서비스나 필수항목이 아니라 ‘파트너십’의 개념으로 접근해야 한다. 첩보라는 걸 생산하는 주체나 소비하는 주체는 단순 생산자-소비자의 관계와 달리 서로 입장이 얼마든지 바뀔 수 있고 한쪽의 몰락이 곧바로 다른 쪽의 동반몰락을 야기할 수 있으니 더욱 그렇다.


첩보를 공유한다는 건 제공하는 측이나 받는 측이나 의외로 손이 많이 가고 신경이 많이 쓰이는 작업이다. 하지만 분명히 붓는 만큼 돌려받게 되어 있다. 올바른 정보, 꼭 필요한 정보를 성실하게 주기적으로 제공하면 그에 대한 분석 결과도 정확해지고 정보의 순환이 빨라지므로 정확하고 신속한 대처가 되는 것이다. 이런 선순환이 쌓이고 쌓이면 산업 전체, 커뮤니티 전체가 자정능력을 갖추게 된다. 나이브한 꿈처럼 들릴 수도 있지만 정보를 사이에 둔 주체들의 평등한 파트너십만 전제된다면 안 될 것도 없다. 파트너십 자체가 꿈일 수도 있겠지만.


글 : 에밀리오 이아지엘로(Emillo Iasiello)

@DARKReading


[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>