사이버 범죄자들이 지하에서 ‘뭉치듯’ 보안에도 뭉치기 필요해
배운다는 마인드... 보안 전문가들에게 가장 필요한 것 아닐까

[보안뉴스 문가용 기자] 오늘 날의 사이버 환경에서 가장 빠르게 변하는 것은 위협 요소들이다. 이런 변화에 맞춰 보안 솔루션과 기술들도 빠르게 변하고는 있지만, 최신 방어 기술을 해커들이 따라잡는 속도에 미치지는 못한다. 이는 현장에 있는 보안 담당자들이 그 누구보다 잘 알고 있는 것들이다. 심지어 “오늘 내가 해킹당하지 않은 것은 단지 운이 좋아서일뿐”이라고 말하는 이들도 있다.


그렇지만 안전을 언제까지 운에만 맡길 수는 없는 일. 사이버 보안 전문가들은 이 문제를 해결하기 위해 자신들의 기업 바깥에서부터 오는 외부인들의 도움을 받아들이기 시작했다. 첩보를 공유하기 시작했다는 것이다. 해커들도 어둠의 커뮤니티를 통해 도움을 주고받아가며 성장하듯이, 방어자들도 그렇게 하면 속도전에서의 불리함을 상쇄할 수 있을 것 같았기 때문이다.

그러나 첩보 공유만으로 문제가 해결되지는 않았다. 그저 모인다고만 되는 게 아니었던 것이다. 발 빠른 탐지나 대응을 위해서는 공유보다 더 깊은 ‘해커들에 대한 이해’가 필요하다. 즉 사이버 범죄자들이 어떤 구조로 범죄를 저지르는지, 최종 목적이나 동기가 무엇인지, 그 다음 행선지는 어디인지를 알아야 한다는 것이다. 다행스럽게도 ‘공유’ 자체의 방향이 틀리지는 않았다. 방금 언급된 ‘보다 깊은 이해’는 혼자서 할 수 없는 것이기 때문이다. 그렇기에 이제 보안의 중요 요소 중 하나로 ‘크라우드(crowd)’가 언급되기 시작하는 것이다.

모두 연결된 사회
크라우드소스로 첩보를 수집하거나 구축해간다는 건 결국 비슷한 분야에서 전문 기술을 가졌으며 지향하는 바도 비슷한 사람들끼리 서로 신뢰를 바탕으로 연결해 공통의 문제를 풀어나간다는 뜻이다. 여기서 공통의 문제란 특정 위협, 특정 적 세력, 특정 산업 등이 될 수 있다.

이런 활동을 꽤나 수월하고 능숙하게 해나가는 조직들이 있다. 아리조나 위협 대응 연합(The Arizona Threat Response Alliance)이 대표적이다. 줄여서 ACTRA라고 부르기도 하는데 각종 파트너사, 산업, 학계 분야, 법 집행 기관 등에 소속된 관계자들이 협업을 이뤄갈 수 있는 허브 역할을 해준다. 첩보 공유로 인해 조직들이 직접 도움을 얻되, 실시간 데이터가 빠르고 저렴하게 오고가기 때문에 ‘공유’라는 부분에 있어 좋은 예가 되고 있다. 이른바 첩보의 크라우드소싱의 메커니즘이 잘 작동하고 있는 것이다.

하지만 첩보를 공유하고 ‘크라우드소싱’하는 절차가 완벽하지는 않다. 아무리 ACTRA가 잘한다고 해도 아직 첩보 공유 환경이 제대로 정착했다고 말하기는 힘들다. ACTRA뿐만 아니라 ‘위협 첩보 공유’ 환경에 장애가 되는 것들이 몇 가지 있기 때문이다. 가장 큰 방해요소는 수동 추적 및 분석 기능, 비효율적인 공유 모델, 분석 표준의 부재, 보고 체제의 부실함이다. 이런 요소들 때문에 정보를 공유해도 잘 알아듣지 못하거나, 제대로 활용하지 못하는 것이 현실이다.

제대로 활용 못한다고 함은 가장 많은 경우 ‘제 시간에 활용하지 못하게 된다’로 귀결되는데, 그렇다면 이 문제를 어떻게 해결해야 할까? 산업 불문 이 같은 고민은 계속해서 이어지고 있는데 가장 최신에 나온 접근 ‘공유의 기본’ 세 가지를 소개한다.

1. 배운다는 ‘마인드’가 제일 중요하다. 현재 산업별로 ISAC이나 ISAO와 같은 첩보 공유 단체가 조직되어 있는 경우가 많다. 이를 적극적으로 활용해야 한다. 아직 가입이 되어 있지 않다면 당장 가입하라. 첩보 공유 없이 혼자서 사이버 공간에서 벌어지는 각종 위험들에 대처할 수는 없다. 그런 때가 아니다. 또한 이런 커뮤니티의 일원이 됨으로써 사이버 첩보는 물론 사고 발생 시 법적 절차, 보다 효과적인 내부 통신 노하우 등도 얻어낼 수 있다. 어쩌면 해커들과 방어 담당자의 가장 큰 차이점이 이 ‘배운다’는 마인드일 수도 있다.

2. 분석기술은 이제 필수전공 과목이다. 첩보를 받았으면 뉴스 읽듯 사건사고를 그저 쓰윽 읽어보고 그칠 것이 아니라, 그에 대한 분석을 진행해야 한다. 어떤 결론을 얻어낼 수 있으며, 어떤 교훈을 우리 조직에 접목시킬 것인지 정리한 후 임직원에 전달해야 첩보를 제대로 활용하는 것이다. 통계가 그렇듯 이렇게 분석을 통해 결론을 내릴 땐, 샘플 정보가 많으면 많을수록 정확도가 높아진다. 그래서 혼자서는 할 수 없다는 것이다.

3. 오케스트레이션과 자동화를 접목시켜야 한다. 지금 보안 산업의 현실은 ‘극심한 인구부족’이기 때문이다. 사람이 모자라면 배울 수도 없고 분석할 수도 없다. 이미 많은 기업들이 단순 위협 탐지 및 분석에 자동화 기술을 장비들에 도입해 처리하고 있다. 다른 장비에 다른 규칙을 설정해두어, 자동화가 보다 정확해지도록 꾸리기도 한다. 자동화가 각 요소요소에서 일어난다면, 그걸 총괄할 오케스트레이션이 필요한 건 당연하다.

글 : 아담 빈센트(Adam Vincent)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>