첩보 퀄리티 높아지고 있어, 사용하지 않는 것이 손해
첩보 구독만 해서는 소용 없어...실제 변화 동반해야

[보안뉴스 문가용 기자] 최근 감사 및 컨설팅 업체인 PwC에서 조사한 바에 따르면 전 세계 IT 담당자들의 절반 정도가 위협 첩보를 활용한다고 한다. PwC는 133개국에서 활동 중인 1만 명의 IT 관리자들을 대상으로 설문을 실시한 후, ‘위협 관리의 새로운 가능성을 향하여(Towards New Possibilities in Threat Management)’라는 보고서를 발표했다.

PwC의 파트너인 크리스토퍼 오하라(Christopher O’Hara)는 “IT 관리자 절반이 위협 첩보를 활용하는 것으로 드러났지만, 중요한 건 아직도 절반이 위협 첩보라는 유용한 툴을 사용하지 않는다는 것”이라고 설명하며 보고서 발간의 의도를 밝혔다. 그래도 몇 가지 주목할 만한, 희망적인 조사 결과들을 정리해보면 다음과 같다.

- 침입 탐지 툴 사용 : 52%
- 활발한 모니터링 및 보안 첩보 분석 : 51%
- 취약점 평가 실시 : 48%
- 위협 평가 실시 : 47%
- SIEM 툴 사용 : 47%
- 위협 첩보 구독 : 45%
- 침투 테스트 실시 : 44%

오하라는 “과거에는 세계적인 기업들이 첩보를 각 지역별로 수집하는 것이 거의 전부였지만, 요즘은 클라우드를 기초로 한 툴들을 사용해 훨씬 강력한 분석력을 자랑하고, 이해하기 쉽고 더 유용한 첩보들이 유통된다”고 설명한다. “또한 클라우드의 가시성도 점점 늘고 있어 사건 대응도 빨라지고 정확해지고 있습니다. 첩보를 활용하는 것이 점점 더 이득이 되는 상황이 되고 있는 것이죠.” 오하라는 업체들에 다음 네 가지 분야의 역량 강화에 집중할 것을 권장한다.

1. 의미가 있고 검증을 받은 첩보만을 실시간으로 받을 줄 알아야 한다. 첩보 서비스를 제공하는 채널을 여럿 후보 목록에 올려놓고 어느 정도 사용해본 후 회사 사정에 어울리는 것만 추려내는 작업이 필요하다. 이번 PwC 조사에 의하면, 믿을만한 첩보는 대부분 같은 산업 내 동료들에게서 온다고 답한 사람이 50%, ISAC 첩보가 신뢰할만하다고 답한 사람이 45%였다.

2. 첩보가 조직 전체에 미칠 영향을 평가할 수 있어야 한다. 클라우드에 기반을 둔 툴을 활용함으로써 보안 담당자들은 자기가 속한 조직에 가장 필요한 첩보들을 분석해 골라낼 수 있다. 예를 들어 소매업자라면 온라인 거래 행위와 관련된 첩보를 더 필요로 할 것이고, 의료 업계 종사자라면 개인식별정보나 각종 의료 업계 표준과 관련이 있는 첩보에 더 귀를 기울여야 한다.

3. 첩보로 제공받은 위협에 대처할 수 있어야 한다. 첩보만 받고 사실 아무런 변화를 적용하지 않는 건 책을 사기만 하고 읽지 않는 것과 같다. 책의 구매가 지식을 풍부하게 하지 않듯, 첩보를 구독하는 것만으로 위험에서 벗어날 수 없다. 최근 유행하는 공격에 걸맞는 보안 솔루션을 도입한다든가, 시스템을 마련해야 한다. 사기 로그인이 유행한다면 2중인증을 실시해야 하고, 심지어 바이오인증 체제를 갖출 수도 있다. 데이터 위협이 예상된다면 암호화 솔루션을 구비해야 한다.

4. 행동을 취하되 제 때 취해야 하고, 기술적으로 법적으로 사업 운영적으로 하자가 없는 행동이 뭔지 알아야 한다. 감염된 기기를 적발했다면 바로 인터넷 연결을 끊어버리고, 필요하다면 회사 전체를 잠시 정전시켜야 한다. 하지만 무조건 해당 기기의 주인을 해고한다든지 하는 행동을 취하는 건 법적으로 문제를 일으킬 수 있다. 보안을 위한 모니터링과 프라이버시 침해의 그 미묘한 차이를 조심해야 하는 것도 당연하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>