위협 첩보 = 위협 데이터 + 맥락적인 정보 = ‘우리 조직’에 해당하는 것은?
위협 사냥, 감에 의존하는 경우 많아 올바로 도입하기 어려워
[보안뉴스 문가용 기자] ‘위협 첩보’와 ‘위협 사냥’이란 말이 점점 보안 업계 전체에 난무하고 있다. 위협을 어떻게 파악하고 어떻게 처리하느냐, 그 일을 누구에게 맡기느냐가 정보보안의 큰 화두가 되어가고 있기 때문이다. 하지만 아직 보편적으로 정립된 용어까지는 아니다. 나도 그렇지만 보안 전문가들은 이런 말들이 쉬이 생겨났다가 스러지는 걸 고깝지 않게 보는 편이다. 그러나 현실은 현실. 위협이 커다란 ‘이슈’라는 것만큼은 부정할 수 없는 사실이다.
.jpg)
보안 전문업체인 도메인툴즈(DomainTools)가 최근 발표한 보고서에 따르면, 해당 조사에 참여한 사람들 중 40%가 “우리 회사에도 위협 첩보 플랫폼이 있긴 있다”고 답했다고 한다. 위협에 대처해야 한다는 개념이 슬슬 기업들 사이에서 자리가 잡혀가고 있다는 뜻으로 해석이 가능하다. 당연히 이를 해결해야 한다는 의미의 ‘위협 사냥’ 또한 퍼져갈 수밖에 없다. 그렇다면 위협 첩보란 무엇이고, 위협 사냥이란 무엇일까?
위협 첩보는 위협 데이터에 맥락적인 정보 분석 결과를 더해 ‘우리 기업’에게 어떤 위험이 닥칠 수 있는가 이해할 수 있도록 만드는 과정 혹은 기술이다. 즉 API나 웹 포털에 돈을 내고 특정 위협 데이터를 구매하는 것과는 조금 더 복잡하고 어려운 과정을 말한다. 위협 분석을 제대로 하려면 경험이 풍부한 분석가와 믿을 수 있는 다양한 출처로부터 온 정보가 반드시 필요하다.
위협 사냥이라고 하면 네트워크나 데이터를 능동적으로 검색해 취약점이나 공격 표면이 될 수 있는 곳을 미리 찾아나서는 것을 말한다. 그런 과정을 통해 찾아낸 오류 등을 최대한 빨리 고치거나 조치를 취하는 것까지 위협 사냥에 포함된다. 그러므로 위협 사냥은 사실 굉장히 다양한 종류의 행위들을 지칭하며, 한 가지 성공적인 사냥법이 다른 환경에서도 똑같이 통하지 않는 것이 보통이다. 같은 환경에서라도 분석가에 따라 전혀 다른 방법을 차용하기도 한다.
게다가 대부분의 위협 사냥꾼들은 자신들이 하는 행위를 ‘예술’이라고 말하는 데에 거리낌이 없다. 다양한 IT 기술력을 갖추고 있는 것은 물론, 직감을 상당 부분 활용하기 때문에 ‘인간의 본연의 감과 숙련된 기술’을 동시에 활용하고 있기 때문이다. 이는 그들 스스로를 홍보하는 데에 있어 좋을지 몰라도 기업 입장에서는 그다지 환영할만한 현상이 아니다. ‘감’이란 매우 불안정하고 그래서 공식으로 이 과정을 도입하기에 매우 꺼려지기 때문이다.
그럼에도 도메인툴즈의 조사 결과, 위협 헌팅은 가장 촉망받는 ‘정보보안 전략’인 것으로 나타났다. 조사에 참여한 응답자의 26%가 1주일에 26시간 이상 위협 요소들을 찾아나서는 데에 투자한다고 답했고, 78%는 ‘위협 사냥꾼의 능력을 갖추거나 그러한 사람을 영입하는 건 가치가 있는 일’이라고 답한 것이다. 또한 사냥을 통해 얻은 정보는 1) 자신들의 네트워크 보안 장비에 반영해 방어를 더 탄탄히 하고 2) 산업 내 공유하는 것으로 나타났다.
위협 사냥 기능을 보안 환경에 구축하는 건 그리 어려운 건 아니지만, ‘제대로 갖춰져야 한다’는 어려움이 있다. 이걸 도모하고 있는 기업들이 겪고 있는 가장 큰 어려움은 ‘구축에 걸리는 시간’ 문제다. 구축을 하고, 그것을 또 충분한 시간을 통해 완성시켜야 하는데, 얼마나 시간을 들여야 ‘충분한지’ 아무도 모르고 있기 때문이다. 현재 이런 기업들이 가장 많이 참조하는 건 위협 사냥을 전문으로 하는 업체인 SQRRL의 위협 사냥 성숙 모델(Threat Hunting Maturity Model)이다.
SQRRL의 모델에 따르면 조직 내에서 사냥 기능을 키워가려면 네 가지 단계를 밟아야 한다. 이 네 단계는 다음과 같다.
0) 자동화 경보에 의존하는 단계로 데이터 수집 과정이 존재하지 않는다.
1) 위협 첩보 지수를 도입하는 단계로 양호한 데이터 수집 과정이 존재한다.
2) 다른 기관에서 진행한 데이터 분석 과정을 따르는 단계로 수준 높은 데이터 수집 과정을 동반한다.
3) 새로운 데이터 분석 과정을 창안하는 단계로 역시 수준 높은 데이터 수집 과정을 동반한다.
4) 수준 높은 데이터 분석 과정을 자동화까지 시켜놓은 단계로 데이터 수집 과정 역시 여기에 포함된다.
글 : 카일 윌호이트(Kyle Wilhoit)
[국제부 문가용 기자(globoan@boannews.com)]
위협 사냥, 감에 의존하는 경우 많아 올바로 도입하기 어려워
[보안뉴스 문가용 기자] ‘위협 첩보’와 ‘위협 사냥’이란 말이 점점 보안 업계 전체에 난무하고 있다. 위협을 어떻게 파악하고 어떻게 처리하느냐, 그 일을 누구에게 맡기느냐가 정보보안의 큰 화두가 되어가고 있기 때문이다. 하지만 아직 보편적으로 정립된 용어까지는 아니다. 나도 그렇지만 보안 전문가들은 이런 말들이 쉬이 생겨났다가 스러지는 걸 고깝지 않게 보는 편이다. 그러나 현실은 현실. 위협이 커다란 ‘이슈’라는 것만큼은 부정할 수 없는 사실이다.
보안 전문업체인 도메인툴즈(DomainTools)가 최근 발표한 보고서에 따르면, 해당 조사에 참여한 사람들 중 40%가 “우리 회사에도 위협 첩보 플랫폼이 있긴 있다”고 답했다고 한다. 위협에 대처해야 한다는 개념이 슬슬 기업들 사이에서 자리가 잡혀가고 있다는 뜻으로 해석이 가능하다. 당연히 이를 해결해야 한다는 의미의 ‘위협 사냥’ 또한 퍼져갈 수밖에 없다. 그렇다면 위협 첩보란 무엇이고, 위협 사냥이란 무엇일까?
위협 첩보는 위협 데이터에 맥락적인 정보 분석 결과를 더해 ‘우리 기업’에게 어떤 위험이 닥칠 수 있는가 이해할 수 있도록 만드는 과정 혹은 기술이다. 즉 API나 웹 포털에 돈을 내고 특정 위협 데이터를 구매하는 것과는 조금 더 복잡하고 어려운 과정을 말한다. 위협 분석을 제대로 하려면 경험이 풍부한 분석가와 믿을 수 있는 다양한 출처로부터 온 정보가 반드시 필요하다.
위협 사냥이라고 하면 네트워크나 데이터를 능동적으로 검색해 취약점이나 공격 표면이 될 수 있는 곳을 미리 찾아나서는 것을 말한다. 그런 과정을 통해 찾아낸 오류 등을 최대한 빨리 고치거나 조치를 취하는 것까지 위협 사냥에 포함된다. 그러므로 위협 사냥은 사실 굉장히 다양한 종류의 행위들을 지칭하며, 한 가지 성공적인 사냥법이 다른 환경에서도 똑같이 통하지 않는 것이 보통이다. 같은 환경에서라도 분석가에 따라 전혀 다른 방법을 차용하기도 한다.
게다가 대부분의 위협 사냥꾼들은 자신들이 하는 행위를 ‘예술’이라고 말하는 데에 거리낌이 없다. 다양한 IT 기술력을 갖추고 있는 것은 물론, 직감을 상당 부분 활용하기 때문에 ‘인간의 본연의 감과 숙련된 기술’을 동시에 활용하고 있기 때문이다. 이는 그들 스스로를 홍보하는 데에 있어 좋을지 몰라도 기업 입장에서는 그다지 환영할만한 현상이 아니다. ‘감’이란 매우 불안정하고 그래서 공식으로 이 과정을 도입하기에 매우 꺼려지기 때문이다.
그럼에도 도메인툴즈의 조사 결과, 위협 헌팅은 가장 촉망받는 ‘정보보안 전략’인 것으로 나타났다. 조사에 참여한 응답자의 26%가 1주일에 26시간 이상 위협 요소들을 찾아나서는 데에 투자한다고 답했고, 78%는 ‘위협 사냥꾼의 능력을 갖추거나 그러한 사람을 영입하는 건 가치가 있는 일’이라고 답한 것이다. 또한 사냥을 통해 얻은 정보는 1) 자신들의 네트워크 보안 장비에 반영해 방어를 더 탄탄히 하고 2) 산업 내 공유하는 것으로 나타났다.
위협 사냥 기능을 보안 환경에 구축하는 건 그리 어려운 건 아니지만, ‘제대로 갖춰져야 한다’는 어려움이 있다. 이걸 도모하고 있는 기업들이 겪고 있는 가장 큰 어려움은 ‘구축에 걸리는 시간’ 문제다. 구축을 하고, 그것을 또 충분한 시간을 통해 완성시켜야 하는데, 얼마나 시간을 들여야 ‘충분한지’ 아무도 모르고 있기 때문이다. 현재 이런 기업들이 가장 많이 참조하는 건 위협 사냥을 전문으로 하는 업체인 SQRRL의 위협 사냥 성숙 모델(Threat Hunting Maturity Model)이다.
SQRRL의 모델에 따르면 조직 내에서 사냥 기능을 키워가려면 네 가지 단계를 밟아야 한다. 이 네 단계는 다음과 같다.
0) 자동화 경보에 의존하는 단계로 데이터 수집 과정이 존재하지 않는다.
1) 위협 첩보 지수를 도입하는 단계로 양호한 데이터 수집 과정이 존재한다.
2) 다른 기관에서 진행한 데이터 분석 과정을 따르는 단계로 수준 높은 데이터 수집 과정을 동반한다.
3) 새로운 데이터 분석 과정을 창안하는 단계로 역시 수준 높은 데이터 수집 과정을 동반한다.
4) 수준 높은 데이터 분석 과정을 자동화까지 시켜놓은 단계로 데이터 수집 과정 역시 여기에 포함된다.
글 : 카일 윌호이트(Kyle Wilhoit)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
