기존과 똑같이 행동해서는 최신 위협을 상대할 수 없어

[보안뉴스 주소형] “똑같은 일을 계속해서 반복만 하면서 다른 결과를 기대한다면 그게 바로 미친 것이다.” 알버트 아인슈타인(Albert Einstein)이 살아생전 했던 말이다.

보안업계가 착각하고 있는 것이 한 가지 있다. 그건 바로 위협정보를 많이 알면 알수록 보안성을 높일 수 있을 것이라는 기대감이다. 지금도 보안업계는 매일매일 그러한 정보 수집에 몰두하고 있지만 그렇게 모아진 데이터들이 실제로 모두 다 보안시스템에 적용되어 보안성 향상에 도움이 되는 것은 아니다. 물론 초기 위기 시스템에 다양한 위협 요소들을 입력시켜 발생될 수 있는 잠재적인 위협들을 방어하거나 예상할 수는 있다. 하지만 거기에도 비용이 소모되며 해당 데이터들을 분석하는 데 시간과 리소스의 제약을 받는 경우가 많다. 그렇다면 과연 그렇게 열심히 모아대고 있는 데이터들이 그럴만한 가치가 있을까?

정확히 위협정보가 무엇인가?

“최근 발생하고 있는 실질적인 근거들을 기반으로 한 지식, 메커니즘, 지표, 관계, 건설적인 충고 등을 말한다.” 가트너(Gartner) 랩은 이렇게 설명했다.

위협이 실제로 위협적이기 위해서는 그들의 의지, 능력, 기회 이 삼박자가 맞아 떨어져야 한다. 여기서 의지, 능력, 기회는 다음과 같다.

- 표적에 대한 의지 및 계획성

- 특수한 종류의 멀웨어 또는 익스플로잇 킷과 같은 위협할 수 있는 능력

- 취약점 같이 공격의 여지가 있을 때(기회)   

위협정보는 악성 요소들에 대한 의지, 기회, 능력 등과 같은 정보를 분석해야 탄생할 수 있다. 예를 들어 어떤 정보에 공격의 의지와 능력은 있지만 공격 대상에 대한 취약한 부분을 찾을 수 없다면 위협 정보에 해당되지 않는다는 것. 너무 기본적인 거 아니냐고 할 수 있지만 실질적으로 도움이 되는 위협정보인가를 선정할 때 매우 중요한 기준이 된다.

위협정보를 받았을 때, 이 세 가지 요소 중에 하나라도 부합되지 않는 것이 있다면 그 정보는 실제로는 쓸모없는 정보가 될 것이다. 따라서 무조건 누군가는 이를 체크하고 위협정보에 대한 진위를 가려야 한다. 솔직히 한 조직에 맞게 그 조직만을 위한 정보를 찾지 않고서는 모든 상황들이 다르기 때문에 그대로 부합되어 사용할 수 있는 정보는 매우 드물다.

우리가 너무 많은 위협정보를 갖고 있는 건 아닐까?

위 질문에 대해 언뜻 생각하면 “아니다”라고 답할 것이다. 유출사고와 공격이 전혀 줄어들 기미가 보이지 않기 때문이다. 그러니 계속해서 정보를 갈구하는 것. 그런데 이게 도대체 무슨 도움이 되고 있는 것 일까? 2015년 버라이즌 정보 유출 분석 보고서에 따르면 사이버공격은 날로 정교해지고 있기는 하지만 막상 대부분의 범죄들은 피싱과 해킹 등과 같은 방법에서 벗어나지 못하고 있다. 게다가 올해 버라이즌 보고서는 사고 발생에서 탐지까지 경과한 시간을 짚어내고 있는데 그 결과 유출사고의 60% 이상이 공격자가 단 몇 분 내에 원하는 곳까지 침투할 수 있다는 것이 드러나기도 했다.  

그런데 과연 이런 정보들이 실질적으로 무슨 도움이 되는 것일까? 우리가 단지 이런 정보들을 숙지하고 있는 것만으로는 현실적으로 아무런 도움도 되지 않는다. 그러는 사이 공격자들은 민감한 정보들과 지적 재산들을 빼내고 있다.

솔직히 요즘 같이 셀 수 없는 위협들과 공존하고 있을 때, 방어를 한다는 것이 쉽지 않다는 것은 모두 공감할 것이다. 하지만 예산, 인프라스트럭처, 사용자, 사업 운영 등을 고려한다면 들어오는 위협정보들이 실효성이 있는 것인지 따져볼 필요가 있다. 그저 이런 악성 요소들이 있구나 정도에 그치고 있는 게 현실이기 때문이다.

그런 위협요소들을 앞서고 싶다면, 각자의 조직에 맞게 정보들을 재가공해야 한다. 이 때 다음과 같은 네 가지를 기억해야 한다.

1. 툴은 결코 중요한 정보를 제공하지 않는다. 정보를 입력하는 것만은 큰 의미가 없다. 단지 정보를 입력한 게 위협정보와 같은 중요한 정보가 될 수는 없다는 뜻이다. 적어도 위협정보 수준의 정보가 되려면, 어떤 식으로든 분석이 들어가야 하며 그 분석 작업은 사람에 의해 이루어 질 수 있다. 자동화(automation), 해석(analytics) 등과 같은 다양한 툴들은 그러한 분석을 효율적으로 할 수 있게 도와줄 뿐이지 그 이상을 기대해서는 안 된다.

2. 위협정보를 받고 공유할 때 표준이 되고 있는 사이버위협정보표현규격/사이버위협정보전송규격(STIX/TAXII) 및 Open IOC에 대한 정의를 정확히 해두어야 한다. 특정 산업군의 경우는 정보공유분석센터(ISAC)를 통해 위협정보를 받고 공유하여 도움을 받을 수 있기 때문이다. 특히 큰 조직일수록 정보공유분석센터를 활용하는 것이 위협 확인에 효과적일 것이다.

3. 관련된 요소들을 확인해야 한다. 아무리 많은 고급정보들을 가지고 있어도 이를 각자가 속해있는 조직에 녹여낼 수 없다면 그 정보는 없는 것과 마찬가지다. 따라서 속해있는 조직의 예산 및 서비스 등과 같은 비즈니스 프로세스들을 잘 파악하고 있어야 한다.

4. 기본에서 시작해야 한다. 보안의 가장 기본은 위협요소들을 제거하는 것이다. 이러한 기본적인 단계가 성취되어야만 그 다음 단계인 진화된 공격자들의 공격을 완화시키고 대응할 수 있기 때문이다. 보안을 위한 이러한 기본적인 절차들이 실현되어야만 실질적인 정보유출 가능성이 줄어들고 진짜 필요한 게 무엇인지까지 파악할 수 있다.

우리는 계속 똑같이 행동하면서는 절대 최신 위협을 상대할 수 없다는 점을 기억해야 한다. 또한 위협이라는 단어가 너무 남발되고 있는 경향이 있는데 이는 오히려 혼란을 야기할 수 있으니 그에 대한 기준을 확실히 정하고 구분해야 한다. 수많은 위협정보들을 각자의 조직에 맞게 가공하여 정말 가치 있는 정보로 만들어야 한다는 것이다. 이를 위해서는 보안의 기본에서부터 접근하고 냉철한 시각을 키워야 한다. 위협을 기반으로 한 정보들을 어떤 조직이든 관심 있을 만한 정보이기 때문이다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>