제대로 된 제품 확인 방법 마련되지 않아 소비자 신뢰 떨어지고
고딕 팬더 혹은 APT3의 공격 탐지 기술능력 평가를 제일 먼저

[보안뉴스 문가용 기자] 사이버 공격이 벌어지는 동안에는 무슨 일들이 일어날까? 사이버 공격이 진행 중이라는 걸 우린 어떻게 알 수 있을까? 이러한 문제들에 대한 답을 최근 과학 연구 단체인 MITRE가 내놓았다. 어택(ATT&CK)이라는 제품 평가 서비스의 형태로 말이다.


MITRE가 새롭게 공개한 이 서비스는 엔드포인트에서 공격을 탐지하고 대응하는 제품들을 평가하는 것으로, 특히 고급 공격에 대한 탐지 능력을 알아보기 위해 만들어졌다. “시장에는 악성 행위를 탐지해주는 제품이 많이 있습니다. MITRE에서는 이러한 제품들이 정확히 어떤 역할을 하는지 알아보려고 했습니다.” 수석 보안 엔지니어인 프레드 더프(Fred Duff)의 설명이다.

어택 서비스는 지식 베이스(knowledge base)를 기반으로 하고 있으며 Adversarial Tactics, Techniques and Common Knowledge의 준말이라고 한다. 마이크로소프트의 윈도우 디펜더 책임자인 제시카 페인(Jessica Payne)은 트위터를 통해 “실제 APT 공격자들이 어떤 식으로 행동하고, 실제 공격을 에뮬레이트 하고 싶었다면, 어택 지식 베이스가 큰 도움이 될 것”이라고 기대감을 나타내기도 했다.

더프는 이 지식 베이스 내 데이터를 수집한 원래 목적은 모의 해킹을 할 때 레드팀을 맡은 전문가들이 블루팀 및 경영진들과 좀 더 소통을 원활하게 하는 데 도움을 주는 것이었다고 한다. 또한 대중에게 공개된 데이터들만을 수집했기 때문에 MITRE의 내부로부터 영향이 있지는 않았으며, 그렇기에 이를 공유하는 것에 아무런 문제가 없다고 밝히고 있다.

더프는 “우리가 어택 서비스를 통해 하고 싶은 건 ‘평가’이지 ‘시험’이 아니라는 걸 반드시 업계가 기억해줬으면 좋겠다”고 강조했다. 또한 “커다란 지식 베이스라는 데이터셋을 효율적으로 관리함으로써 이 평가의 결과가 시장에 의미 있게 반영되도록 하고 객관성을 유지하도록 하는 것이 당장의 목표”라고도 덧붙였다.

“그래서 현재 MITRE는 첫 번째 평가 수행에 있어 심혈을 기울이고 있습니다. 첫 번째 평가는 APT3 혹은 고딕 팬더(Gothic Panda)라는 APT 단체와 관련이 있는 것일 예정입니다. 즉, 이 APT 단체를 현재 시장에 있는 제품들이 어느 정도나 탐지할 수 있는가를 평가하는 것이 저희의 첫 번째 일이 될 것입니다.”

더프는 “먼저 탐지 능력에 집중해 객관적으로 평가를 진행하고, 객관적은 결과를 낼 것”이라고 발표했다. “평가 결과는 당연히 공개될 예정입니다. 더불어 어택 서비스가 어떠한 과정과 기술을 사용해 평가를 진행했으며, 평가자들이 어떠한 행동들을 취했고, 제품이 어떤 반응을 보였는지도 상세하게 공유할 것입니다.”

공개 대상은 공공이다. 즉 일부 회원이나 산업 내에서만 결과가 공유되는 건 아니라는 뜻이다. “공공에 공개함으로써 투명성을 유지하고, 동시에 일반인들이 보안에 대해 한 번이라도 더 접할 수 있게 하려 합니다. 또한 사실 이러한 평가 결과를 가장 요구하는 것도 제품의 사용자인 일반 대중들이기도 하고요.”

확실히 일반 사용자들에게 있어 모든 위협이 탐지된다, 사이버 공격을 막을 수 있다는 광고 문구가 붙은 수많은 제품들을 제대로 확인할 수 있는 방법은 없었다. 또한 화려한 홍보활동에 비해 보안 사고는 계속해서 발생하고 있어, ‘사실 보안 솔루션, 소용없는 거 아냐?’라는 의심이 서서히 깃들고 있던 것도 사실이다.

MITRE의 어택 서비스가 가장 큰 의미를 가지려면 보안 산업과 솔루션에 대한 소비자들의 신뢰를 회복하는 것이라고 전문가들은 설명한다. MITRE에 의해 평가를 받고 싶은 벤더들은 2018년 4월 13일까지 신청할 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>