차고 넘치는 첩보, 노이즈 없애고 맥락 상 중요도 파악해야
첩보 제공 및 배포의 목적은 결국 사용자를 움직이는 것

[보안뉴스 문가용 기자] 최근 기업들은 두 가지 종류의 사이버 위협에 맞서고 있다. 하나는 허리케인과 같은 것이고 다른 하나는 지진과 같은 것이다. 허리케인 같은 사이버 공격은 나를 향해 다가오는 게 보이는 유형이고, 지진은 터질 때까지 전혀 보이지 않는 공격이다. 둘 다 어느 순간 반드시 발생한다는 필연성을 가지고 있으며, 그에 대해 계획을 세우고 조치를 취해야 한다. 그 첫 걸음은 사이버 공격 및 위협 첩보를 이해하는 것부터다.


노이즈를 제거하라
위협 첩보란 무엇인가, 라고 물었을 때 대부분은 자신들이 구독하는 다량의 데이터 피드를 떠올릴 것이다. 유료 구독 서비스, 유명한 오픈소스, 일부 보안 업체들이 제공해주는 것들 말이다. 하지만 이 첩보들은 포맷도 제각각일뿐더러 아무런 맥락 없이 제공되기 때문에 어떤 것이 더 중요한지, 어떤 것을 나중에 처리해도 되는지 파악하기가 힘들다.

그렇기 때문에 이런 데이터를 받는 사람들은 그 양에 압박을 느끼게 된다. 첩보의 안을 들여다보고, 우선순위를 정해서 순서대로 처리해가야 데이터로서 가치가 생기는데, 그러질 못하고 와르르 쏟아지는 정보들을 쌓아놓기만 하니 모든 것이 노이즈가 된다. 모든 경보가 100% 사실이라고 해도, ‘지금의 우리 조직에게’ 다 시급한 공격은 아닐 것이다. 그러므로 조직 차원에서 받는 모든 첩보들을 한 곳에 모아두고, 한 가지 포맷으로 맞춘 후 자동으로 노이즈를 처리하고 우선순위를 정하는 프로세스가 도입되어야 한다. 이런 과정 없이 첩보를 구독하는 것만으로는, 첩보를 구독하지 않는 것과 다르지 않다.

위협에 집중하라
여러 위협 정보들을 어느 정도 정리하는 데까지 성공했다면, 이제 허리케인과 지진에 본격적인 대응을 해야 할 때다. 허리케인은 다가오는 게 보이는 공격으로, 미리 대비를 해서 방어를 하는 것이 가능하다. 이것은 커다란 공격 유행을 관찰함으로써 파악할 수 있다. 예를 들어 현재 유행하고 있는 멀웨어 파일들이 어떤 것이 있는지 미리 알아두면 해당 파일을 자동으로 블록 처리 하는 게 가능해진다. 허리케인과 같은 공격에 대해서는 정책적인 방어 전략이 필요하다. 또한 미리 예견이 가능하므로 자동화 처리도 당연히 필수적이다.

그에 반해 ‘지진형 공격’은 우리가 잘 모르는 공격들이다. 아니면, 알아도 어쩔 수 없는 종류의 공격들이다. 즉 현재 우리가 가진 능력 및 기술들로서는 어찌 할 수 없는 것들이다. 이런 공격들은 미리 방어한다는 게 불가능하다. 이런 때는 이미 들어온 공격에 대해서 최대한 빨리 탐지하고 대응하는 것, 그리고 피해를 최대한 원상복구 시키는 것이 중요해진다. 즉 빨리 발견하는 게 중요해지는데, 이는 전 세계적인 첩보와, 내부 첩보, 혹은 자잘한 사건 관련 정보를 서로 연결시켜 분석함으로써 가능해진다. 또한 첩보를 제작하고 제공하는 입장에서도 공격자에 대한 정보와 방어 및 복구 방법까지도 최대한 포함시켜야 한다.

정보 분석가는 첩보들끼리도 엮고 합쳐서 의미를 도출해낼 수 있지만 사업 경영이라는 커다란 맥락을 참고해서 위험의 우선순위를 판단할 줄 알아야 한다. 경영상 매우 중요한 자산이 위협 받고 있는가 묻고, no라는 대답이 나온다면 그 위협은 ‘낮은 위험 수준’을 가질 수밖에 없다. 그러나 yes라는 대답이 나온다면, 그 위협은 다른 기업들이 설사 낮게 평가한다고 해도 우리에겐 매우 큰 위협이 된다. 즉 첩보를 가지고 이렇게 저렇게 굴려서 응용하고 해석할 수 있어야 한다는 거다.

행동으로 이끄는 첩보가 진짜 첩보다
첩보가 즉시적인 행동으로 변환되려면 다음 세 가지 조건을 만족시켜야 한다.
- 정확도 : 첩보가 정확하고, 첩보의 출처가 믿을만하면 빨리 움직일 수 있다.
- 연관성 : 첩보가 우리의 사정 및 필요와 연관성이 있으면 행동을 금방 취할 수 있다.
- 적시성 : 한 달 전에 울렸어야 할 경보라면, 지금 시점에선 쓸모 없을 가능성이 높다.

하지만 현실 속에서 이 세 가지를 다 만족시키는 첩보는 좀처럼 나타나지 않는다. 두 가지만 만족해도 양반이다. 그러므로 저 세 가지 중에서도 특별히 더 중요한 것들을 순서대로 정해두는 것이 유용할 것이다. 조직에 따라 타이밍이 제일 중요할 수 있고, 연관성이 중요할 수 있고, 정확한 게 뭐니뭐니 해도 최고라고 볼 수도 있다.

첩보를 만들고 나누고 분석하는 가장 큰 목적은 결국 뭔가 행동을 취하게끔 하는 데에 있다. 그러나 행동이라는 건 결국 최종 사용자에게만 그 결정권이 온전히 주어진다. 아무리 첩보를 잘 만들어도 사용자가 꿈쩍도 하지 않는 사람이라면 소용이 없다는 것이다. 하지만 실감나게 전달되는 위험한 소식에 어지간하면 꿈쩍도 하지 않을 사람은 거의 없다. 최대한 사람으로 하여금 움직일 수 있게끔 하는 게 첩보 제공 및 배포자들의 몫이다.

첩보는 정보보안 업계가 일반 사용자들에게 제공하는 가장 ‘보안스러운’ 정보다. 첩보가 있어 우리는 허리케인처럼 대놓고 다가오는 위협을 막을 수 있고, 지진처럼 은밀히 다가오는 재앙에 날랜 대처를 할 수 있게 된다. 또한 이 정보를 최대한 활용해야 어지간해선 움직이지 않는 사용자들을 움직일 수 있게 된다. 사용자들이 움직여야 보안은 근간부터 단단해지기 시작한다. 상상이나 가상에서만 존재하는 것 같은 정보보안의 위협, 최대한 실감나게 전달하는 것도 고민해봐야 한다.

글 : 조나단 카우치(Jonathan Couch)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>