찬성하는 사람들의 심리는 ‘공유 받기를’... 정보 제공은 드물어
어떤 정보 공유하는가 vs. 정보 어떻게 공유하는가... 후자 고민 더 필요
[보안뉴스 문가용] 지난 3월, 미국 국토방위부(이하 DHS)는 자동화 지표 공유(Automated Indicator Sharing, 이하 AIS) 시스템을 발표 및 적용했다. AIS 시스템은 말 그대로 사이버 위협 첩보를 민간 및 공공 부문의 보안 담당자들이 원활하게 공유할 수 있도록 하기 위한 것이다. 목적 역시 분명하다. 보다 빠르고 정확하게 정보를 공유해 방어를 튼실히 하는 것이기 때문이다.
정보를 공유해 공공의 적과 맞선다는 건 그 자체로 새로운 개념은 아니다. 카지노들도 블랙리스트를 공유해 사기꾼들을 몰아낸다. 그래서 한 곳에서 사기 도박을 하다가 적발되면 다른 카지노로의 입장 역시 금지된다. 그리고 꽤나 잘 먹히는 수단이다. 이를 사이버 공간에 적용한다니, 정말 굉장한 아이디어가 아닐 수 없다.
그래서인지 정보 공유를 통해 해킹 범죄에 대응하자는 아이디어 자체에 반대하는 보안 담당자는 찾기가 매우 힘들다. 하지만 이를 실천하는 단계에 이르러서는 참으로 많은 입장과 의견, 그리고 철학들이 대립하는 걸 발견할 수 있다. 과연 그 좋다는 정보 공유가 실제로 어떤 상황 속에서 벌어지는지 알아보도록 하자.
1. 위협 첩보, 가만히 있지 않는다
카지노의 예에서처럼 위협이 될 만한 요소를 공유해 후속 공격을 차단한다는 건 매우 그럴싸하다. 하지만 사이버 보안에서 실제 이 상황이 생각만큼 자주 벌어지지는 않는다. 일단 카지노들이 손잡고 축출하는 사기꾼은 ‘알려진 개인’이지만 사이버 공격에서는 공격자 자체가 드러나는 경우는 거의 없다. 즉 공격자가 얼마든지, 그것도 간단히, 변신이 가능하다는 것이고, 이를 알아보는 건 매우 힘들다.
카지노의 블랙리스트에 오른 사람들도 변장을 할 수 있지 않느냐고 물을 수 있지만, 물리적인 환경 속에서 눈 앞에 서 있는 사람의 변장 여부를 알아챌 가능성은 모니터 바깥에 있는, 단 한 번도 본 적이 없는 사람의 변장 여부를 알아챌 가능성보다 현저하게 높다. 공격자에 대한 단서가 희박한 사이버 공간에서 범죄자들이 아주 약간만 공격 패턴을 바꿔도 방어자는 쉽게 농락을 당할 수밖에 없는 것이다.
사람을 알아볼 수 없으니 사이버 보안에서 공유되고 있는 정보란 공격의 유형(멀웨어, 피싱, 랜섬웨어 등), IP 대역, 이메일 주소, 파일 해시 등이 전부다. 물론 하나하나 중요한 정보임은 분명하다. 하지만 누군가를 적발해내는 데 있어서 사진 한 장보다 효과가 높다고 하기 힘든 정보들이다.
게다가 카지노의 경우와 가장 크게 다른 건 공격의 스케일이다. 카지노 사기꾼은 한 번에 한 카지노만 공격할 수 있다. 영화에서처럼 커다란 조직으로 움직인다면 얘기가 다르겠지만, 그건 정말 영화에서나 나올 법한 이야기다. 하지만 사이버 공격은 한 사람이나 한 단체가 여러 방향, 여러 방법으로 여러 조직 및 단체들을 공격할 수 있다. 그것도 아주 빠른 속도로 말이다. 공격자하는 자가 한 명 및 한 단체가 아니라고 상상해보라. 그 속도와 범위는 이해 및 관리 능력을 훌쩍 뛰어넘는다.
공유를 통해 알려진 위협에 대처하는 건 보안에 신경을 쓰는 조직이라면 어디라도 해야 할 일이다. 다만 그 효율이 그렇게 높지 않으며, 갈수록 떨어진다는 걸 알아야 한다. 위협에 대한 정보가 공유될 즈음엔 이미 공격자가 다른 공격 패턴이나 IP주소를 사용하고 있을 가능성이 대단히 높다. 가끔 같은 공격 패턴을 계속 우려먹는 덜 부지런한 공격자가 있기도 한데, 그렇더라도 얼마든지 후속조치만으로 정체를 숨길 수 있다.
2. 끈적끈적한 공포
1번의 경우 공유하는 정보가 따라갈 수 없을 정도의 속도로 바뀐다는 것이 문제라는 게 내용의 핵심이라면 이번엔 ‘공유’라는 행위 자체에 내포되어 있는 문제를 들여다볼 차례다. 정보 공유에 찬성하는 사람이 많은 건 누구나 위협 첩보를 공유‘받아’ 방어를 탄탄히 할 수 있겠다는 기대감 때문이다. 그러나 모든 사람이 ‘받는 자’가 될 수는 없다. 누군가는 주는 자 혹은 생성자가 되어야 공식이 성립된다. 하지만 사이버 범죄에 대한 정보를 공유하는 것에 있어 많은 이들이 주춤하는데, 그 이유는 다음과 같다.
- 우리 회사가 공격을 당했다고 온 세상에 광고하는 꼴이다.
- 우리 회사를 공격할 수 있는 방법을 온 세상에 광고하는 꼴이다.
- 결국 우리 회사를 눈여겨보지 않았던 공격자들의 시선을 끄는 꼴이다.
그렇다면 어떤 방향으로 가야 해결책이 나올까?
현 시점에까지 정보 공유의 핵심은 ‘무엇’이었다. 즉 어떤 정보를 공유하느냐가 관건이었다는 것인데, 이를 ‘어떻게’, 즉 어떻게 공유하느냐로 방향을 재설정해야 한다. 공유에 참여하는 조직들이 전부 이득을 볼 수 있도록 하는 공유 방법은 무엇일까? 물론 정답은 아직 없다. 다만 다음 몇 가지 사안들을 고려해볼 수는 있을 것이다.
- 위협 첩보 피드가 기계만 읽을 수 있는 형태라면? 그렇다면 해당 정보를 읽고 해독할 수 있는 탐지 시스템을 갖춘 기업들만이 첩보를 활용할 수 있을 것이다. 그런 탐지 시스템은 대체로 값이 비싸며, 때문에 보안에 대한 진지한 자세를 갖춘 조직들이 주로 가지고 있다. 얌체처럼 공유된 정보만 쏙쏙 빼먹으려는 사람들이라면 이런 값비싼 시스템을 가지고 있지 않을 가능성이 높다. 다만 이 경우, 사람의 이해 및 개입을 어떻게 이루어 가느냐가 문제로 남는다.
- 첩보를 제공하는 조직을 철저하게 비밀로 부쳐두면 어떨까? 어떤 방법으로도 첩보 제공자를 알 수 없도록 조치를 취한다면? 이것이 잘 지켜진다면 공유를 하는 데에 충분한 동기부여가 될 것으로 보인다. 하지만 다른 조직들도 활용이 가능할 정도로 충분한 정보와 정보 제공자의 정체를 드러내기에 충분한 정보는 거의 일치한다는 게 해결해야 할 문제다.
- 만약 자발적인 참여가 정보를 공유하는 태도에 있어 정답이 아니라면? 선택할 수 있기 때문에 걱정거리가 생기고, 이것 저것 조심해야 할 목록이 늘어날 수도 있다. 그러다 보면 ‘그냥 공유 안 하고 말지’라고 결론이 날 가능성도 높고 말이다. 하지만 강제적인 정보 공유가 적용되었을 때, 정보의 질이 그대로 유지될 수 있을 것인가, 하는 의문이 생긴다.
찬성하는 사람도 많고 하자는 움직임도 적지 않은데, 정작 잘 되지 않는 정보 공유, 어떻게 해야 할까? 아직 아무도 모르지만, 답이 반드시 필요한 때다.
글 : 네이선 버크(Nathan Burke)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
어떤 정보 공유하는가 vs. 정보 어떻게 공유하는가... 후자 고민 더 필요
[보안뉴스 문가용] 지난 3월, 미국 국토방위부(이하 DHS)는 자동화 지표 공유(Automated Indicator Sharing, 이하 AIS) 시스템을 발표 및 적용했다. AIS 시스템은 말 그대로 사이버 위협 첩보를 민간 및 공공 부문의 보안 담당자들이 원활하게 공유할 수 있도록 하기 위한 것이다. 목적 역시 분명하다. 보다 빠르고 정확하게 정보를 공유해 방어를 튼실히 하는 것이기 때문이다.
정보를 공유해 공공의 적과 맞선다는 건 그 자체로 새로운 개념은 아니다. 카지노들도 블랙리스트를 공유해 사기꾼들을 몰아낸다. 그래서 한 곳에서 사기 도박을 하다가 적발되면 다른 카지노로의 입장 역시 금지된다. 그리고 꽤나 잘 먹히는 수단이다. 이를 사이버 공간에 적용한다니, 정말 굉장한 아이디어가 아닐 수 없다.
그래서인지 정보 공유를 통해 해킹 범죄에 대응하자는 아이디어 자체에 반대하는 보안 담당자는 찾기가 매우 힘들다. 하지만 이를 실천하는 단계에 이르러서는 참으로 많은 입장과 의견, 그리고 철학들이 대립하는 걸 발견할 수 있다. 과연 그 좋다는 정보 공유가 실제로 어떤 상황 속에서 벌어지는지 알아보도록 하자.
1. 위협 첩보, 가만히 있지 않는다
카지노의 예에서처럼 위협이 될 만한 요소를 공유해 후속 공격을 차단한다는 건 매우 그럴싸하다. 하지만 사이버 보안에서 실제 이 상황이 생각만큼 자주 벌어지지는 않는다. 일단 카지노들이 손잡고 축출하는 사기꾼은 ‘알려진 개인’이지만 사이버 공격에서는 공격자 자체가 드러나는 경우는 거의 없다. 즉 공격자가 얼마든지, 그것도 간단히, 변신이 가능하다는 것이고, 이를 알아보는 건 매우 힘들다.
카지노의 블랙리스트에 오른 사람들도 변장을 할 수 있지 않느냐고 물을 수 있지만, 물리적인 환경 속에서 눈 앞에 서 있는 사람의 변장 여부를 알아챌 가능성은 모니터 바깥에 있는, 단 한 번도 본 적이 없는 사람의 변장 여부를 알아챌 가능성보다 현저하게 높다. 공격자에 대한 단서가 희박한 사이버 공간에서 범죄자들이 아주 약간만 공격 패턴을 바꿔도 방어자는 쉽게 농락을 당할 수밖에 없는 것이다.
사람을 알아볼 수 없으니 사이버 보안에서 공유되고 있는 정보란 공격의 유형(멀웨어, 피싱, 랜섬웨어 등), IP 대역, 이메일 주소, 파일 해시 등이 전부다. 물론 하나하나 중요한 정보임은 분명하다. 하지만 누군가를 적발해내는 데 있어서 사진 한 장보다 효과가 높다고 하기 힘든 정보들이다.
게다가 카지노의 경우와 가장 크게 다른 건 공격의 스케일이다. 카지노 사기꾼은 한 번에 한 카지노만 공격할 수 있다. 영화에서처럼 커다란 조직으로 움직인다면 얘기가 다르겠지만, 그건 정말 영화에서나 나올 법한 이야기다. 하지만 사이버 공격은 한 사람이나 한 단체가 여러 방향, 여러 방법으로 여러 조직 및 단체들을 공격할 수 있다. 그것도 아주 빠른 속도로 말이다. 공격자하는 자가 한 명 및 한 단체가 아니라고 상상해보라. 그 속도와 범위는 이해 및 관리 능력을 훌쩍 뛰어넘는다.
공유를 통해 알려진 위협에 대처하는 건 보안에 신경을 쓰는 조직이라면 어디라도 해야 할 일이다. 다만 그 효율이 그렇게 높지 않으며, 갈수록 떨어진다는 걸 알아야 한다. 위협에 대한 정보가 공유될 즈음엔 이미 공격자가 다른 공격 패턴이나 IP주소를 사용하고 있을 가능성이 대단히 높다. 가끔 같은 공격 패턴을 계속 우려먹는 덜 부지런한 공격자가 있기도 한데, 그렇더라도 얼마든지 후속조치만으로 정체를 숨길 수 있다.
2. 끈적끈적한 공포
1번의 경우 공유하는 정보가 따라갈 수 없을 정도의 속도로 바뀐다는 것이 문제라는 게 내용의 핵심이라면 이번엔 ‘공유’라는 행위 자체에 내포되어 있는 문제를 들여다볼 차례다. 정보 공유에 찬성하는 사람이 많은 건 누구나 위협 첩보를 공유‘받아’ 방어를 탄탄히 할 수 있겠다는 기대감 때문이다. 그러나 모든 사람이 ‘받는 자’가 될 수는 없다. 누군가는 주는 자 혹은 생성자가 되어야 공식이 성립된다. 하지만 사이버 범죄에 대한 정보를 공유하는 것에 있어 많은 이들이 주춤하는데, 그 이유는 다음과 같다.
- 우리 회사가 공격을 당했다고 온 세상에 광고하는 꼴이다.
- 우리 회사를 공격할 수 있는 방법을 온 세상에 광고하는 꼴이다.
- 결국 우리 회사를 눈여겨보지 않았던 공격자들의 시선을 끄는 꼴이다.
그렇다면 어떤 방향으로 가야 해결책이 나올까?
현 시점에까지 정보 공유의 핵심은 ‘무엇’이었다. 즉 어떤 정보를 공유하느냐가 관건이었다는 것인데, 이를 ‘어떻게’, 즉 어떻게 공유하느냐로 방향을 재설정해야 한다. 공유에 참여하는 조직들이 전부 이득을 볼 수 있도록 하는 공유 방법은 무엇일까? 물론 정답은 아직 없다. 다만 다음 몇 가지 사안들을 고려해볼 수는 있을 것이다.
- 위협 첩보 피드가 기계만 읽을 수 있는 형태라면? 그렇다면 해당 정보를 읽고 해독할 수 있는 탐지 시스템을 갖춘 기업들만이 첩보를 활용할 수 있을 것이다. 그런 탐지 시스템은 대체로 값이 비싸며, 때문에 보안에 대한 진지한 자세를 갖춘 조직들이 주로 가지고 있다. 얌체처럼 공유된 정보만 쏙쏙 빼먹으려는 사람들이라면 이런 값비싼 시스템을 가지고 있지 않을 가능성이 높다. 다만 이 경우, 사람의 이해 및 개입을 어떻게 이루어 가느냐가 문제로 남는다.
- 첩보를 제공하는 조직을 철저하게 비밀로 부쳐두면 어떨까? 어떤 방법으로도 첩보 제공자를 알 수 없도록 조치를 취한다면? 이것이 잘 지켜진다면 공유를 하는 데에 충분한 동기부여가 될 것으로 보인다. 하지만 다른 조직들도 활용이 가능할 정도로 충분한 정보와 정보 제공자의 정체를 드러내기에 충분한 정보는 거의 일치한다는 게 해결해야 할 문제다.
- 만약 자발적인 참여가 정보를 공유하는 태도에 있어 정답이 아니라면? 선택할 수 있기 때문에 걱정거리가 생기고, 이것 저것 조심해야 할 목록이 늘어날 수도 있다. 그러다 보면 ‘그냥 공유 안 하고 말지’라고 결론이 날 가능성도 높고 말이다. 하지만 강제적인 정보 공유가 적용되었을 때, 정보의 질이 그대로 유지될 수 있을 것인가, 하는 의문이 생긴다.
찬성하는 사람도 많고 하자는 움직임도 적지 않은데, 정작 잘 되지 않는 정보 공유, 어떻게 해야 할까? 아직 아무도 모르지만, 답이 반드시 필요한 때다.
글 : 네이선 버크(Nathan Burke)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
