첩보 활용하는 방법 발전하고 있지만, 첩보 생산 및 공유는?
낭비라고 인식되고 있는 false positive, 피드백 잘 하면 유용해

[보안뉴스 문가용] 금융 서비스 분야 기업들은 사이버 공격에 대항하기 위해 긴 시간 남다른 노력을 기울여왔다. 마찬가지로 금융 서비스 산업을 노리는 공격자들도 그들의 무기를 날카롭게 갈아왔다. 그 결과 현재 가장 보안이 철저한 산업에 금융산업이 꼽히고 있다. 이는 방어 기술의 발전과도 밀접한 연관이 있는 결과지만, 금융산업 내 기업들끼리 방어를 위한 충분한 정보와 첩보를 활발히 주고받는 문화가 정착되어 있어서다. 그럼에도 아직 더 발전해야 할 여지가 충분히 남아있긴 한데, 그건 사건이 실제 터졌을 때 대응시간을 줄이는 것이다.


사이버 위협에 대해 금융 산업의 기관 하나하나가 올바른 대응을 빨리 할 수 있으려면 뭐가 필요할까? 정확한 사이버 위협 첩보를 활용할 수 있는 능력이 핵심이다. 첩보가 정확하지 않거나 이를 제대로 활용할 수 없다면 실제 발생하고 있는 공격을 발견하는 것과, 그에 대한 적절한 대처 및 복구 작업을 시작하는 시간차가 굉장히 커진다. 또한, 다른 산업에서 발견된 공격에 대한 첩보가 들어왔다면, 이미 금융 산업에서 아무도 모르게 같은 공격을 진행했다가 옮겨간 것일 수도 있다. 즉, 첩보 수집을 보다 넓고 광범위하게 하고, 정확하게 분석하는 것이 금융 산업 보안의 다음 목표라고 볼 수 있는 것이다.

사이버 위협 첩보 이해하기
한 기업이 첩보를 처음 받았을 때, 그 기업은 해당 정보의 소비자가 된다. 어떤 소비자는 자기가 소비하는 정보를 완전히 활용할 기술적, 재정적 배경을 가지고 있다. 예를 들어 멀웨어 해시에 대한 정보를 받았다고 하지만 멀웨어 해시가 무엇인지 이해하지 못하고 있거나 그런 종류의 파일을 스캔할 장비가 없다고 한다면 해당 첩보는 아무런 쓸모가 없어진다. 이런 경우가 누적되면 어떤 부분을 보강해야 하는지도 파악이 가능하다.

이미 수주~수개월 전에 일어난 공격에 대한 첩보의 경우에라도 첩보 활용 능력은 큰 도움이 된다. 특정 공격이 유행 중이라는 첩보가 들어온 순간부터 부랴부랴 네트워크 스캐닝을 시작한다고 하더라도 이미 오랜 기간 진행된 공격의 전말을 쉽게 발견할 수는 없는데, 어떻게 도움이 된다는 걸까? 첩보를 공유하는 기업들도 점점 사이버 보안 문제에 능숙해진다는 사실을 잊으면 안 된다. 단순 평면적인 내용이 거의 전부였던 첩보가 이제는 관련 콘텍스트 정보라든지 다양한 감염 경로, 대처법, 심지어 예상 가능한 공격 동기, 전략 등까지도 아우르는 방향으로 점점 발전하고 있는 것이다.

평면적인 내용이 어떻게 입체적으로 바뀌게 됐을까? 단순 첩보가 이른바 ‘긍정 오류(false positive)’를 자꾸만 일으켰기 때문이다. 같은 첩보라도 누군가에겐 매우 시급한 정보지만 누군가에겐 아무런 위협이 되지 않다는 걸 알게 되었고, 때문에 그 정보에 대한 또 다른 정보, 즉 콘텍스트(context) 정보 등이 추가로 필요하게 되었던 것이다. false positive는 시간과 인력 낭비의 주요 원인이라고 알려져 있지만, 이 false positive가 모이고 모여 첩보를 발전시키는 기묘한 결과를 낳게 되었다.

즉, 보안전문가 혹은 정보담당관이 기억해야 할 것은 ‘첩보’라는 이름을 달고 온 정보가 전부 위험을 불러일으키지는 않는다는 사실이다. 그리고 다른 정보를 통해 첩보를 어느 정도 걸러내면 false positive가 줄어들 수 있다는 것이다. 로그를 관찰하고 URL이나 IP 주소를 가지고 블랙리스트나 화이트리스트와 대조해보고, 관련된 사용자 활동을 검토하는 것 등이 이 ‘거르는’ 행위에 포함된다.

하지만 효율적인 거르기를 통해 false positive를 가려냈다고 해도, 그 정보 자체를 폐기물 취급할 필요는 없다. 왜냐하면 1) 우리에게만 안 중요할 뿐 다른 기업에겐 큰 도움이 될 수 있는 정보일 수 있고 2) 위에서 말했다시피 장기적으로 false positive의 경험이 쌓이면 첩보 생성의 질을 높일 수 있기 때문이다. 특히 2)번이 중요한데, false positive의 의미를 살리려면 첩보를 공유하는 사람들끼리의 피드백 시스템이 잘 갖춰져야 한다. 첩보를 전달해준 사람과 공동체 전체에 ‘우리에겐 false positive’라는 걸 알려줘야 전체적으로 첩보를 생성하고 다루고 전달하는 과정이 보다 더 효율적으로 변할 수 있기 때문이다.

표준화된 포맷
또 하나, 첩보를 공유할 때 중요한 건 ‘포맷’이다. 협력과 정보 공유로 보안을 강화한다는 것 자체는 이미 오래전부터 나온 개념인데, 왜 아직도 제대로 되지 않을까? 공유가 그만큼 효율적이지 않았다는 뜻이고, 이는 주류라고 볼 수 있는 포맷이 부재하기 때문이다. 최근 많이 사용하고 있는 포맷에는 STIX, TAXII가 대표적이다. 가장 표준에 근접해 있다고 볼 수 있다. STIX는 Structured Threat Information Expression의 준말로 구조화된 위협 정보 표현 방식이라고 해석할 수 있고, TAXII는 Trusted Automated Exchange of Indicator Information으로 신뢰할 수 있는 지표 정보의 자동화 공유 정도의 의미를 가지고 있다.

보안 위협 및 첩보 공유의 현장은 굉장히 빠르게 변하고 있다. 사이버 범죄자들이 숨가쁘게 변신 및 발전하고 있기 때문이다. 이런 공격자들보다 앞서가야 한다는 목소리들이 많은데, 자신 스스로가 공격자가 되지 않는 한 방어자는 공격자보다 빠를 수는 없어왔던 게 역사 속에서 무수히 증명되었다. 혹은 공격자에 대한 최신 정보를 빨리 접했을 때 겨우 가능했다. 100% 정확한 정보만 오고간다면야 더할 나위 없이 좋겠지만, 아직은 그렇지 않다. 정보의 1) 생성, 2) 전달, 3) 소비 방법을 발전시켜야 한다. 정보의 소비는 각 기업이 알아서 발전시켜야 할 부분이지만, 생성은 공유에 참여하는 모든 사람이 즉각적이고 성실한 피드백으로 다 같이 향상시켜야 하며, 전달 문제 역시 합의된 표준의 정착을 서두름으로써 해결이 가능하다.

글 : 마크 클랜시(Mark Clancy)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>