보안위협 정보공유 ‘백짓장도 맞들면 낫다’

기업과 기관, 최신 위협과 악성코드 정보공유 보다 활발해져

다음카카오, C-TAS와 서로 위협 정보공유 및 활용

[보안뉴스 김경애] ‘백짓장도 맞들면 낫다’란 말이 있듯이 점차 고도화·일상화되고 있는 보안위협에 맞서 기관과 기업, 보안업계가 서로 협력하려는 움직임이 두드러지고 있다. 각 정부부처도 관련기관끼리 정보공유와 협업을 통해 대응방안을 마련해 나가고 있으며, 일반 기업과 기관, 정부도 서로 정보를 주고받으며, 상호 협력에 뜻을 모으는 분위기다. 그만큼 정보공유가 중요해지고 있기 때문이다.

정보공유, 최신 위협과 악성코드

이 가운데서도 가장 공유가 필요한 정보가 바로 최근 위협정보와 악성코드다. 특히, 최근에는 공유기 보안이슈가 잇따라 제기되고 있는 만큼 대응방안 마련에 보안종사자들은 촉각을 곤두세우는 분위기다. 공유기 침해사례와 웹서버 해킹 시도 등의 관련 정보를 공유함으로써 대응방안도 모색할 수 있다.

미래부에서는 공유기 제조사를 대상으로 보안가이드를 내놓는가 하면, 보안전문가들은 공유기 펌웨어의 최신 업그레이드, 불필요한 원격 관리자 포트 미사용 설정 등 응급조치에 대한 정보공유에 적극 나서고 있기도 하다. 요즘 같은 시기에는 그 어느 때보다 발 빠른 정보수집과 공유가 사이버위협 대응에 큰 몫을 차지한다고 볼 수 있다.

악성코드 역시 마찬가지다. 최근 사이버위협을 살펴보면 악성코드 감염으로 인해 정보가 유출되거나 사이버공격을 받는 사례가 급증하고 있기 때문이다. 그 중에서도 루트킷이나 백도어와 같은 웹서버 악성코드가 기승을 부리고 있다.

이와 관련 한국인터넷진흥원 김도원 선임연구원은 31일 열린 사이버 침해사고 정보공유 세미나에서 “주기적인 웹접근로그, 시스템 로그, 보안로그 등을 확인해 일정기간 혹은 전체가 삭제된 흔적이 있는지 확인하고, 모니터링 툴(tripwire, ossec 등)을 이용해 파일의 변조 및 이상 징후를 파악해야 한다”고 당부했다. 또한, 그는 “악성코드 실행을 위해서는 루트(root) 계정이 필요한 만큼 웹 또는 시스템의 취약점을 이용해 해커가 root 권한을 획득할 수 없도록 보안 업그레이드 및 취약점 점검이 필요하다”고 덧붙였다.

다음카카오, C-TAS 공유정보 활용

그렇다면 기업에서는 보안위협 정보를 어떻게 공유하고 활용하고 있을까. 실제 사례로 다음카카오의 경우 C-TAS(Cyber Threat Analysis & Sharing)를 활용해 사이버위협에 대응하고 있다.

C-TAS 시스템은 현재 침해사고 정보수집, 침해사고 종합분석, 정보공유 3단계로 구성된다. 침해사고 정보수집은 악성코드, 악성도메인, 악성IP, 취약점 정보 등과 같은 개별정보를 수집하고, 이를 통합·저장해 프로파일링한다.

침해사고 종합분석은 위협요소를 탐지하고, 이상징후 발견시 위협을 알리는 위협 탐지와 함께 개별정보들 간의 연관·위협 분석을 통해 사이버공격에 대응하는 연관분석을 진행하게 된다. 이렇게 분석된 정보는 유관기관에 신속히 전달해 정보를 공유함으로써 침해사고 확산을 방지하고 있다.

이러한 가운데 다음카카오는 내부적으로 블랙리스트와 화이트리스트로 구분해 정보를 관리 운영하고 있는 것으로 알려졌다. 블랙리스트에는 광고 어뷰징 IP, 검색어뷰징 IP, 메일 Spammer IP, 회원가입 어뷰징 IP, 회원 로그인 어뷰징 IP, 해킹시도 IP, 악성코드 경유지·유포지 IP 및 URL, C&C IP 및 URL 등을 포함하고 있다. 화이트리스트는 주요 대기업, 기관, 대학교 NAT IP, IDC 할당 IP, VPN 업체 IP 등을 포함해 관리·운영하고 있다. 이렇게 수집된 정보는 효율적인 사이버위협 대응을 위해 C-TAS 공유정보로 활용된다. 이러한 정보공유를 통해 기관과 기업이 상부상조하고 있는 셈이다.

이와 관련 다음카카오 IT보안셀 권태영 차장은 “한국인터넷진흥원으로부터 어뷰징(Abusing), 악성코드, 헤시(HASH), Distribute 등의 정보를 제공받고 있으며, 다음카카오에서는 C&C, VPN, IDC, 화이트리스트 정보를 제공하고 있다”고 밝혔다.

이를 통해 C-TAS 내의 Distribute IP를 사내 방화벽에 사전 적용시킴으로써 임직원의 악성코드 유포지 및 경유지 접근을 차단하고, 카페나 블로그, 게시판 등 외부 컨텐츠 삽입이 가능한 페이지에 C-TAS 내의 Distribute IP를 적용해 위협 페이지를 사전에 차단한다고 밝혔다.

이러한 정보공유가 활성화되기 위해서는 보안담당자 스스로 공부를 많이 해야 한다고 강조한 권 차장은 “보안위협 트렌드에 맞는 보안대책 적용과 함께 위협 DB를 구축해 놓는 것이 좋다”며 “그래야 위협관리에 연동하기 쉽다”고 설명했다. 이를 위해서는 양방향 정보공유가 무엇보다 중요하다고 강조했다.

[김경애 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)