분석가들의 업무 효율 최대한 나올 수 있는 시스템 마련
첩보 분석 제공자들과의 투명하고 궁합 좋은 신뢰가 관건
[보안뉴스 문가용] 지난 수년간 최대 규모의 하나로 손꼽히는 국방 산업체와 같이 일해 오면서 운영진들이 자금을 빡빡하게 운영하는 걸 수도 없이 목도해왔다. 핵심은 자린고비처럼 구는 게 아니라 필요한 부분과 덜 필요한 부분을 매끄럽게 다듬는 것이었다. 그들은 끊임없이 묻고 또 물었다, ‘위협 첩보라는 걸 활용해 투자자본수익률을 높이려면 어떻게 해야 하나?’라고. 결국 ROI를 어떻게 높일 수 있을까, 라는 것이었는데 그러려면 당연히 예산을 늘리거나 인원을 더 고용하는 건 좋은 대답이 될 수 없었다. 그들은 어떤 방식으로 이 질문에 대답을 했을까?
1단계 : 핵심성과지표를 만들라
어떤 보안 프로그램이든 성과를 내려면 정확한 규격과 핵심성과지표라는 게 필요하다. 그래야 가시적으로 성과를 측정할 수 있게 된다. 이를 위협 첩보와 관련된 업무에 도입하면 다음과 같다.
- 위협 첩보 팀이 해야 할 일을 세분화하고 그 요소 하나하나를 핵심성과지표에 반영한다. 물론 말하는 것만큼 실제로 하는 게 쉬운 작업은 아니다.
- 우리 조직에 정말로 위협이 되는 첩보가 무엇인지 구분한다. 반대로 어떤 위협은 분명 무시할만하다고 판단을 내린다. 이렇게 1차로 첩보를 걸러내면 분석가들의 시간이 훨씬 아껴진다.
- 첩보를 제공하는 자들을 평가한다. 분명 꾸준히 양질의 정보를 제공하는 자가 잇을 것이고 그렇지 않은 자가 있을 것이다. 이 평가 후에는 첩보의 우선순위가 자연히 정해진다.
2단계 : 위협 첩보 제공자를 끊임없이 평가하라
사이버 보안 산업에 있어서 만병통치약이란 존재하지 않고, 이는 위협 첩보라는 분야에서도 마찬가지다. 한 번에 모든 걸 꿰뚫는 첩보를 원한다면 그건 그 마음가짐이 잘못된 것이다. 그러므로 위협 첩보를 받으면서 다음 질문을 끝없이 던져야 한다.
- 위협 첩보가 겹치는 경우가 있는가? 자꾸만 겹치는 첩보를 제공하는 자가 있는가?
- 첩보 제공자 중 내가 보유하고 있는 툴과 궁합이 잘 맞는 첩보를 제공하는 자는 누구인가?(예를 들어 6백만 건 이상의 악성 IP 정보를 제공받는데, 그걸 다 소화할 도구나 방책이 마련되어 있는가?)
- 누가 무료로 첩보를 제공하는가?
- 우리 회사에서 현재 수사를 진행하고 있거나 당하고 있는 공격에 대한 첩보를 제공하는 자는 누구인가?
3단계 : 경보의 우선순위를 정해 분석팀의 시간을 아끼라
물론 최신식 도구와 기술력을 동원하면 분석 시간을 아낄 수 있다. 그러나 이것이 ROI 측면에서는 정답이 아니다. 값이 비싸기 때문이다. ROI 측면에서는 가지고 있는 툴을 최대한 활용하는 편이 더 낫다. 분석가들에게 쏟아지는 경보는 적게 잡아야 수백만 건이다. 그 속 내용이야 어떻든 일단 ‘질리게’ 만드는 숫자임은 분명하다. 이는 우선순위를 바르게 잡기만 해도 얼마든지 줄일 수 있는 감정반응이다. 사기도 높일 수 있고, 따라서 분석 질도 실제로 높아진다.
실력 있는 분석가는 항상 부족하다. 의외로 꽤나 많은 노력을 하고 돈을 부어야 구할 수 있다. 그런데 이렇게 어렵고 비싸게 구한 분석가를 제대로 관리하거나 다루지 못하는 게 현실이고 비극이다. 그들의 전문성을 낭비하는 것이다. 회사 차원에서 분석가를 제대로 대우해주고 또한 제 값을 뽑아내려면 회사 차원에서 이들의 능력이 100% 이상 발휘되도록 만들어줘야 한다. 그저 ‘어떤 환경에서건 네가 잘 해야 한다’는 건 무책임한 태도다. 우선순위라는 커다란 시스템을 정해 그에 따라 분석가들이 능력을 발휘하게만 해도 능률이 엄청나게 올라가는 걸 경험할 수 있을 것이다.
4단계 : 모든 분석팀들 간의 협업이 중요하다
그러나 분석이 제대로 되지 않는 것에는 회사의 책임만 있는 건 아니다. 분석가들끼리도 잘 해야 한다. 분석가 나름의 에고가 강해서인지 협력하는 걸 좀처럼 보기가 힘든데, 그래서 서로가 분석한 자료를 합쳐서 더 큰 첩보를 발굴한다거나 더 큰 위협 그 이상의 정보를 생성해내는 일을 잘 못한다. 어쩌면 같은 팀 내에서는 이런 일이 잘 이루어질지 모르겠다. 더 나아가서 회사 내에서는 잘 될지도 모르는 일이다. 하지만 전체 분석가 커뮤니티나 정보보안 커뮤니티 사이에서는 이런 식의 교류가 드물다. 그러나 세계 곳곳에서 온라인 웨비나나 컨퍼런스가 자주 열리는 회사에서는 이런 교류에 분석가들을 참가시키는 것도 좋다. 온라인 컨퍼런스라면 값도 나쁘지 않다. 조금 돈을 더 들일 의향이 있다면 블랙햇, ISEC 등도 좋다.
5단계 : 위협 첩보 유료 구독하기 전에 첩보의 질을 판단하라
보통 첩보를 두세 번 정도 시험삼아 접해보고 나서 구독을 결정하는 조직들이 많다. 당연히 이런 ‘시험 구독’에는 가장 좋은 보고서를 보내는데, 의외로 많은 기업들이 이에 쉽게 속는다. 유료 결정을 하고 싶다면 최소 30일어치는 읽어봐야 한다. 읽으면서 다음을 계속해서 주안점 삼으라.
- 위협 첩보가 공개되는 시간도 살핀다. 아무리 양질이어도 때가 지나면 소용 없는 법.
- 우리 회사나 산업에 가치가 있는 첩보인가, 아닌가?
- 이해하기가 쉬운 형태로 제공되는가? 전문 지식이 반드시 필요한 방식으로 표현되어 있는가?
- 분석가들이 애로사항을 표현하는가?
결국 위협 첩보로 ROI를 높일 수 있으려면 첩보의 제공자가 믿을만한, 그리고 우리 조직과 잘 맞는 자여야 한다. 서로 간에 신뢰가 쌓이지 않으면 첩보는 오히려 걸림돌만 될 뿐이다. 아는 것이 힘이지, 알아야 한다고 누군가 수두룩히 적어놓은 메모가 힘이 되는 건 아니다.
글 : 라이언 트로스트(Ryan Trost)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
