탐지와 대응, 빠르게 하려면 미리 공격에 대한 정보 있어야
정보를 가장 빠르게 접할 수 있는 건 부드럽고 활발한 공유

[보안뉴스 문가용] 정보보안은 현재 탐지와 대응으로 구성되어 가는 듯 하다. 이런 때에 가장 큰 무기는 결국 제 시간에 도착하는 첩보에 대한 소식이며, 이는 즉 공유의 문제와 이어진다. 공격에 대한 정보가 자세히 들어오면 들어올수록 방어하기 쉬워진다는 건 굳이 두 번 설명할 필요가 없는 문제이다.


▲ 자, 이젠 네가 뛸 차례야!

다행인 건 첩보 공유에 대한 인식이 점점 좋아지고 있다는 것. 2015년 3월 IBM의 사이버 보안 담당관인 앤드류 태넌바움(Andrew Tannenbaum)은 첩보 및 정보 공유를 지지한다는 성명서를 미국 상원에 제출한 바 있다. 그 문서에서 태넌바움은 다음과 같이 주장했다.

“사이버 위협은 너무나 다양하고 역동적으로 변해 완벽히 없앤다는 게 불가능한 때가 되었습니다. 사업체들은 각자의 IT 시스템 내에 존재하는 잠재적인 리스크를 파악하고, 우선순위를 결정한 뒤 가지고 있는 보안 자산을 알맞게 배치해야 합니다. 이런 걸 크게 ‘분석’이라고 정의할 수 있는데, 사이버 보안은 분석력과 가까이 결부되어 있기도 합니다.”

기술의 폭발적인 발전, 데이터량의 기하급수적인 증가 등을 언급한 태넌바움은 “이는 곧 리스크의 증가와 우리 눈에 보이지 않는 취약점의 증가를 뜻한다”고 설명했다. “그러므로 보다 종합적이고 리스크 분석에 근거를 둔 접근법이 필요하다”는 게 그의 주장이었다. “해커들보다 앞서가려면 어떤 인프라에 어떤 공격이 가능한지 서로 알아내고, 또 서로 알려주는 공유 체제가 반드시 필요하다”는 게 결국은 그 주장의 요지였다.

한편 NIST 역시 공유에 대한 가이드를 발표했다. ‘사이버 위협 첩보 공유를 위한 가이드(Guide to Cyber Threat Information Sharing)’이 바로 그것이었다. 이 보고서는 조직들이 사건이 터졌을 때 어떻게 대응해야 하는지, 어떤 식으로 정보를 공유해서 피해 확산을 확 줄일 수 있는지를 알려준다. 오바마 대통령 역시 진즉부터 정보를 공유하는 것에 커다란 지지를 보내왔다. 현재 하원과 상원을 거쳐 대통령이 서명까지 완료한 법안인 CISA(Cybersecurity Information Sharing Act)가 바로 그가 1년 동안 정보 공유를 지지해온 결과물이다.

2015년 버라이즌 데이터 유출 수사 보고서(2015 Verizon Data Breach Investigations Report)에 따르면 경보를 발령하는 수준의 단순한 첩보 공유를 할 때나 자세하고 방대한 정보를 공유할 때나 속도가 가장 중요하다고 한다. 현재 사이버 공격은 얼마나 빨리 일어나는지, 첫 번째 피해자에서 다음 피해자로 퍼지는 데 걸리는 시간이 최대 24시간에 불과하다(75%). 절반이 약간 안 되는 40%의 경우, 불과 1시간만이 소요되었다.

세계 최대의 SNS 플랫폼인 페이스북도 첩보 관련 유닛인 페이스북 쓰레트익스체인지(Facebook ThreatExchange)를 신설해 첩보 공유를 더욱 빠르게 만들고 있다. 현재 쓰레트익스체인지에 참여하고 있는 170개 회사 및 전문가 그룹은 여기서 얻은 정보를 자신들 각자의 커뮤니티로 빠르게 전파하고 있기도 하다. 리스크IQ, 핀터레스트(Pinterest), 드롭박스, 텀블러, 야후 등이 이에 참여하고 있다. 멀버타이징이 어느 사이트에 있는지, 랜섬웨어가 현재 어느 지역까지 확대되었는지 등을 서로에게 알려준다.

공유에 참여하는 기업이 많으면 많을수록 탐지와 대응이 쉬워질 것이다. 문제는 공유가 이뤄지는 모든 과정이 부드럽고 마찰 없이 일어나야 한다. 커뮤니티 보안 혹은 공동체의 보안이 떠오르고 있다.
글 : 피터 자블라리스(Peter Zavlaris)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>