• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

첩보 공유의 규제 논란, 표준화 정립이 더 중요 2015.04.23

미국의 가장 큰 이슈, 첩보 공유의 법제화

이미 이루어지고 있는 문화, 효율성을 논해야 할 때


[보안뉴스 문가용] 장담하건데 당신이 다음 페이스북 상태에 새로운 글을 올릴 때 tcp/ip나 http, html에 대한 생각은 요만큼도 하지 않을 것이다. 장담하건데 다음 왕좌의 게임 같은 드라마 콘텐츠를 신용카드로 구입할 때도 TLS/SSL에 대한 생각은 눈꼽 만큼도 하지 않을 것이다. 장담하건데 회사 네트워크에 접속할 때 OSI 공격 비슷한 것도 머리에 떠오르지 않을 것이다.


보안 담당자들에게 있어 디지털 세상이란 ‘조직적’이라거나 ‘표준화’와 같은 표현들과는 거리가 한 백만 광년쯤 떨어져 있는 곳이다. 위협에 관한 정보, 즉 첩보가 생성되고 전달되는 과정은 1993년과 크게 다르지 않다. 출처는 무수히 많고 그 형식(포맷)도 가지각색이다. 그래서 보안 담당자로서 이런 첩보 하나를 올바로 해석하고 추적하는 데 걸리는 시간이 평균 7시간이라고 한다.


물론 출처도 분명하고 알아보기 쉽게 정리된 것들도 있다. ISAC, NCFTA에서 공식 발행한 정보들이나 CERTS, DHS, USS, FBI와 같은 정부 기관들에서 발표한 정보들이 그렇다. 하지만 업계나 민간 차원에서 비공식적으로 돌아다니는 비밀 정보들이나 오픈소스 피드와 같은 열린 정보들은 대부분 불규칙적이고 일정하지 않은 포맷을 가지고 있다. 그래서 이런 정보를 헤집는 건 모래사장에서 바늘 찾기나 다름없을 때가 많다.


보안 전문가들의 숙련도가 더 높아져야 하는 걸까? 글쎄, 내가 아는 한 내 주변의 모든 보안 전문가들은 정보를 다루는 데에 있어 이미 더할 나위 없는 전문가들이다. 똑똑하기로 둘째 가라면 서운할 이들이 정보 한 타래 가지고 일곱 시간이나 쩔쩔 매는 건 숙련도가 아니라 표준화의 문제다.


표준화가 없어서 첩보 내용을 텍스트나 엑셀 파일에 따로 정리를 하고, 그것만으로도 불충분해서 동료나 다른 전문가들에게 전화를 걸고 이메일을 보낸다. 그러면서 혹시 다른 유사한 데이터가 있는지 정리되지 않은 정보의 바다에 다시 뛰어든다. 그러면서 정보의 출처를 다시 한 번 확인하는 것도 잊지 않는다. 이런 모든 과정을 통해 선택되는 정보는 반드시 ‘당장 해결해야 할’만큼 시급한 것이어야 한다. 이들은 이미 이런 걸 할 수 있다. 시간을 잡아먹는 건 기술이 아니라 표준화의 부재일뿐이다.


다행히 표준화 작업은 우리 모두가 참여할 수 있다. 전문가들이 전문성을 제 때 발휘하게 해주려면 우리는 어떤 노력을 쏟아낼 수 있을까?


정보처리 과정의 속도 높이기

그나마 다행인 소식이 있다면 이런 표준화의 움직임이 없지는 않다는 것이다. 게다가 최근들어 높아지기까지 했다. 현재까지 나온, 그나마 가장 표준에 가까운 건 STIX(구조화된 위협 정보 표기)와 TAXII(사이버 위협정보 전송 규격)로 MITRE와 미국국토안보국이 개발한 프로토콜들이며 사이버 위협 첩보의 처리 과정에 윤활유 역할을 하기 위해 개발됐다.


어떤 첩보든지 STIX와 TAXII 포맷으로 전환하면 보안 전문가들의 일처리가 훨씬 빨라지며 그러므로 위협에 대한 대응 속도가 높아진다. 문제를 어떻게 해결할지, 리스크를 어떻게 줄일지, 누가 공격을 주도했는지, 어떤 식으로 공격이 들어왔는지 등 궁금증에 대한 해소가 훨씬 빨라진다는 것이다.


표준화의 도입 그리고 참여는 전문가들이 데이터를 찾고, 짜깁기 하고, 포맷을 맞추는 게 아니라 실제 위협을 분석하고 보호책을 마련할 수 있는 등 진짜 본연의 일에 집중할 수 있도록 해준다는 것과 동일한 뜻이다. 그렇기 때문에 수백 개의 FS-ISAC 구성원들과 수천 개의 조직들이 STIX와 TAXII라는 표준화에 맞추려고 노력하는 것이다.


표준화의 파워는 어마어마하다. 일곱 시간 걸릴 일을 단 7초만에 해결하는 것도 가능해질 정도다. 일만 빨라지는 게 아니라 정보의 발송자와 수신자 사이의 신뢰도도 높아진다. 신뢰도가 높아지면 공유 속도가 당연히 올라간다.


현재 미국은 첩보의 공유라는 이슈로 들끓고 있다. 하지만 이는 늘 있어왔던 보안 문화의 일부였다. 거의 모든 민간 부문 산업에서 ISAC 등 이미 첩보 공유를 해왔다. 반대를 하는 이들도 법제화에 초점을 맞추고 있는 것이 대부분이지 첩보의 공유라는 개념 자체에는 큰 반대가 없는 것으로 알고 있다.


법제화가 되건 안 되건, 중요한 건 첩보 공유라는 걸 어떻게든 하게 될 텐데 이왕 하는 거 효율을 높여야 한다는 것이다. 아직도 7시간 걸려 정보 한 건 처리한다면 첩보 공유의 법제화건 문화화건 의미가 퇴색된다. 그 7시간 동안 해커는 얼마든지 자기가 하고 싶은 일을 하고도 남는다. 지금은 어떻게 해야 가장 효율적일까를 논해야 할 때라고 생각하고, 그 방법 중 하나는 표준화임이 분명하다. 그리고 이는 크게 어렵거나 강제적인 것도 아니다.


글 : 빌 넬슨(Bill Nelson)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>