첩보, 좋은 것 알아도 제대로 활용하기 어려워
첩보 시장 규모가 올해 140억 달러...하지만 44%가 분석 안 돼

[보안뉴스 문가용 기자] 공격은 최선의 방어다. 방어를 잘 하기 위해서는 먼저 행동을 취해야 한다. 뭔가 알고 있을 때, 우린 비로소 준비할 수 있다. 당신이 소속된 사이버 팀의 모토가 무엇이든, 결국 우린 땅바닥에 귀를 대고 다가오는 것들을 멀리서부터 들을 수 있어야 한다.


이렇게 귀를 기울여 수집하고자 하는 정보가 바로 위협 첩보다. 우리는 인디언처럼 땅 위에 엎드리고 IT 인프라의 구멍을 해커보다 먼저 찾아내기 위해 귀를 지면 위에 붙인다. 흔들림을 먼저 느끼고 대비한다는 것인데, 이 개념을 많은 기업들이 받아들이고 있고, 그래서 2018년 위협 첩보 관련 지출은 140억 달러를 넘어섰다. 4년 전인 2014년에는 9억 5백 5십만 달러였다.

이 개념 자체에 문제는 없다. 다만 CSO들이나 사이버 보안 책임자들이 아직도 위협 첩보의 제대로 된 가치를 이해하지 못하고 있다는 게 문제다. 귀를 땅에 붙이는 흉내는 낼 수 있지만 그 의미도 모르고, 들리는 소리도 제대로 해석할 수 없다는 뜻이다. 이 문제를 정확히 분해해보았다.

1. 현상과 필요의 ‘미스매치’
사이버 보안 팀들 중 간혹 위협 첩보를 응급조치 혹은 즉효약으로 취급하는 경우가 있다. 첩보만 있으면 문제가 빠르게 해결될 거라고 기대하는 것이다. 하지만 이는 크게 과장된 것이고, 사실과 전혀 맞지 않다. 문제를 빠르게 해결해주는, 만능의 첩보라는 건 세상에 존재하지 않는다. 위협 첩보란 각 조직, 혹은 그 하위 조직이나 일개 부서의 특수한 필요에 따라 활용되어야 하는 것이다.

예를 들어 금융 서비스를 제공하는 업체라면 웹사이트 조작 복제와 악성 계약서 양식처럼 고객들을 속여 계좌 번호나 카드 비밀번호 등 중요한 정보를 입력하게끔 만드는 공격과 관련된 첩보에 신경을 써야 한다. 반면 기술 기업들이라면 지적재산이나 연구 개발 결과물을 누군가 몰래 빼가는 것을 경계해야 한다.

2. 위협 첩보를 활용하기 위한 자원 부족
당신이 중요한 첩보를 받았다고 치자. 그렇다면 그 첩보를 어떻게 활용해야 효과가 좋을까? 이 문제는 사실 대부분의 사람들이 아직 해결 못한 것으로 보인다. 왜냐하면 매일 발생하는 첩보의 44%가 눈길 한 번 받지 못하고 버려지기 때문이다. 여기에는 여러 가지 이유가 있을 수 있다.

경험 상 많이 보던 이유 중 하나는 첩보 데이터를 눈앞에 보고 있어도 어떻게 해야 할지 모른다는 것이다. 첩보가 가지고 있는 뜻과 의미를 모르고, 그걸 가지고 행동을 취하는 것도 어렵다. 이는 사실 보안 전문가의 전문성 문제라기보다 첩보를 활용하려는 경영진의 의지와 예산의 문제다. 누군가 홍수를 예언했을 때, 비가 많이 올 거라는 첩보가 누구에게나 전파되더라도 타당성을 알아보려는 노력도 없이 헛소리로만 치부하면 그 첩보는 버려지는 것과 같다.

첩보가 알려주는 건 뭔가가 잘못됐거나 잘못 되어가고 있다는 것인데, 이걸 알기만 해서는 소용이 없다는 것이다. 이를 해결할 수 있는 방법을 알고, 그 방법을 실천할 만한 자원이 확보되어 있어야 한다. 조직 차원에서 방법적인 기술과 자원을 확보하려면 제일 확실한 건 C레벨의 지원을 얻어내는 것이다. 첩보의 가치를 알고, 활용할 마음이 있는 C레벨 임원과 함께 실천가능한 목표를 세워 인재와 예산을 확보해가는 게 가장 빠른 방법이다.

3. 위협 첩보, 누가 하고 있나?
위협 첩보를 가지고 조직 내의 사이버 보안과 관련된 움직임을 결정해야 한다. 첩보가 알려주는 방향을 가지고 보안 인식 교육도 해야 하고, 서버 환경설정도 검토해야 하며, 최신식 멀웨어에 대한 대비도 해야 한다. 위협 첩보를 받아서 이렇게 조직을 움직일 수 있다면, 첩보 전문가라고 해도 무방할 것이다. 하지만 현실과 지향점 사이에는 항상 차이가 존재한다.

그 이유 중 하나는 첩보를 다루는 사람이 데이터를 분석하는 전문가가 아니라는 것이다. 첩보는 데이터 분석가가 다루는 게 맞다. 데이터 분석가란, 데이터를 가지고 큰 그림을 그려내 조직 전체가 이해할 수 있도록 돕고, 그 큰 그림을 바탕으로 조직 전체가 가야 할 방향을 정해주는 역할을 하는 사람이니까 말이다. 능동적인 위협 사냥과 사건 방지 역시 여기에 포함된다. 이는 사건이 일어난 후의 일처리를 담당하는 사건 대응 전문가의 역할과는 크게 다르다. 그러므로 사건 대응이라는 개념을 가지고 첩보를 분석하는 건 적절치 않다.

첩보 수집을 주로 누가 하고 있는가? 어떤 시각으로 첩보를 분석하는가? 위에서 말한 올바른 분석 및 활용 방법과 현실 사이에는 어떤 차이가 있는가? 이 점을 먼저 점검하는 게 필요하다. 그리고 사이버 보안 팀 내 임무를 새롭게 설정하기도 해야 한다.

4. 위협 첩보 통합의 실패
사이버 보안 팀원들이 첩보 분석을 통해 얻어진 지식과 통찰을 활용하고 있다는 걸 어떻게 확인할 수 있을까? 가장 빠른 방법은 일반 임직원들이 이미 알고 있는 부분에 첩보 관련 내용을 연결하라고 시켜보는 것이다.

그것이 아니더라도 위협 첩보와 관련 데이터 피드를 흔히 사용되고 있는 소프트웨어(예를 들어, SIEM 등)에 통합시키는 건 꽤나 중요하다. 그래야 조직에게 가장 실질적인 데이터가 수집되고, 그것을 통해 조직을 보호하는 데에 효율적인 결과를 끌어낼 수 있기 때문이다. 통합적인 사이버 보안 프로그램을 운영하는 데에 있어 큰 도움이 되기도 한다.

반대로 위협 첩보가 일반 사용자 환경과 따로 놀면 어떻게 될까? 첩보에 대한 이야기가 아는 사람들끼리만 속닥이는 가십처럼 변한다. 그러므로 효율이 크게 떨어지고(첩보 수집은 돈이 드는 일이다), 다른 출처로부터 일일이 데이터를 모으고 비교해야 하는 사이버 보안 팀들의 업무가 크게 증가된다.

5. 위협 첩보의 전달 문제
첩보의 출처가 누구인지에 따라 첩보의 뜻이 크게 달라진다. 같은 내용을 전달하더라도, 사람에 따라 그 언어가 다르다. 그러므로 첩보가 어디서부터 어디로 전달되는지, 누가 전달하는지와 같은 부수적인 요소들을 고려하지 않은 첩보는 옮겨가는 과정 중에 완전히 변질되거나 소실되기도 한다. 작은 문제가 아니다.

상급 관리자들이 첩보에 대해 말할 때는 주로 경영진의 결정과 관련한 부분에 집중되어 있는 경우가 많다. 이 첩보 때문에 올해 보안 예산은 어떤 식으로 결정이 될까? 이 첩보로 인해 어떤 기술 파트너사가 쫓겨나거나 초대될까? 컴플라이언스 이슈는 어떤 게 생길까? 이런 방향으로 첩보가 해석될 가능성이 높다.

반대로 사이버 보안 분석가들과 첩보 이야기를 하면 어떨까? 십중팔구 기술적인 이야기와 용어가 난무한 대화가 시작될 것이다. SSL 인증서 업데이트, 멀웨어 데이터베이스의 활용, 최신 랜섬웨어 페이로드의 블랙리스팅, 직원들이 가장 빈번하게 드나드는 웹사이트 목록 추려내기와 같은 주제가 다뤄질 가능성이 높다.

그러므로 첩보를 다룰 때는 그 내용이 전달되는 방식과 주체, 대화의 맥락을 고려해야 한다. 그리고 그러한 다양한 시각과 해석을 존중할 수 있어야 한다. 할 수 있다면 이러한 의견들을 다 같이 나누는 게 바람직하다. 그러면 첩보의 활용이 더 풍부해질 수 있다.

위협 첩보는 다른 정보 보안 내의 요소들과 마찬가지로 꽤나 많은 장점들을 가지고 있다. 그러니까 그 많은 CSO들과 보안 전문가들이 첩보가 좋다고 노래를 부르는 것이다. 하지만 좋다는 말만 듣고 첩보를 건드려서는 오해만 쌓일 수 있다. 다른 요소들과 마찬가지로 위협 첩보도 제대로 된 사용법 대로 활용해야 한다.

글 : 조나단 장(Jonathan Zhang), TIP

3줄 요약
1. 위협 첩보, 특효약이나 즉효약처럼 취급하는 건 잘못된 일.
2. 첩보 활용은 경영진의 의지와 예산과 밀접한 문제. 사건 대응 전문가보다는 데이터 분석가가 활용하는 게 나음.
3. 전달 과정의 맥락과 전달자에 대한 이해도 반드시 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>