공유의 핵심 위협 첩보, 전문가들의 이러쿵 저러쿵

“첩보 공유 플랫폼 1세대는 맥주”...“오프더레코드 정보가 유용”
빠른 대처가 가능해야 첩보 받는 의미 있어 vs. 급할수록 천천히

[보안뉴스 문가용] 위협 첩보를 어떻게 다뤄야 할까? 많은 기업들이 이를 고민한다. 그 고민이 너무 깊어져 가끔은 아예 쳐다보지도 않는 것이 최고의 방법이라고 말하기도 한다. “뭔가 행동을 취할 수 있지 않다면 차라리 그냥 보고 잊어버리는 게 나을 수도 있어요.” 위협 첩보를 전문으로 다루는 아노말리(Anomali)의 부회장인 제이슨 트로스트(Jason Trost)가 바로 그런 부류 중 하나다.

▲ 자자, 녹음기 껐으니까 얘기 더 해봐

트로스트가 그런 말을 한 건 “위협 첩보를 받고 있다는 사실 자체만으로 안심해버리는 기업이 너무 많기 때문”이다. “첩보는 사용을 해야 가치가 살아납니다. 누가 첩보를 준다니까 대뜸 가입해서 뉴스피드 받듯이 받고, 그냥 잊어버리면 아무런 소용이 없죠. 책 좋아한다고 책 사서 모으기만 하는 것과 다름이 없어요. 책은 읽어야 책입니다.”

트로스트는 “첩보를 받겠다고 신청하는 건 여기에 자산을 투자하겠다는 약속”과 같다고 설명한다. 웹루트(Webroot)의 수석 보안 아키텍트인 데이비드 두푸르(David Dufour)도 이를 거든다. “첩보를 받는 건 쇼핑몰 뉴스레터 받겠다고 신청하는 것과는 다릅니다. 하나의 프로젝트를 시작하는 거라고 생각해야 해요. 즉, 미리 첩보를 어떻게 활용하겠다는 기획까지도 잡혀 있어야 합니다. 활용을 위한 자산도 확보되어 있어야 하고요.”

반대로 사실 첩보 공유라는 게 그렇게 처음부터 거창할 필요는 없다는 의견도 있다. 솔트라(Soltra)라는 벤처기업의 CEO인 마크 클랜시(Mark Clancy)는 “업계 내 아는 사람들끼리 만나 저녁식사라도 함께 하면서 가볍게 정보를 주고받는 것도 첩보 공유”라고 한다. “공격을 당한 경험담을 술 한 잔 나누면서 해주는 것도 첩보 공유라고 할 수 있죠. 전 개인적으로 첩보 공유 플랫폼 1세대가 맥주라고 생각합니다.”

소매업자들의 사이버 첩보 공유를 활성화하기 위한 단체인 R-CISC(Retail Cyber Intelligence Sharing Center)의 센터장인 웬디 네이더(Wendy Nather) 역시 “진짜 정보가 공유되는 건 공식적인 회의가 끝나고 다 같이 저녁을 먹으러 가는 때”라고 설명한다. “오프더레코드 정보가 더 알차고 유용한 건 모두가 다 아는 사실 아닌가요?”

네이더는 “이렇든 저렇든 결국은 모은 정보를 어떻게 정리해서 이해하기 쉽도록 유통하느냐”라고 지적한다. 또한 그런 소통이 반드시 규격화된 양식 안에 작성되어 표준화된 플랫폼을 거쳐야 할 필요가 없다고도 주장한다. “A라는 회사 보안 담당자가 사석에서 B라는 회사의 보안 담당자에게 어떤 IP 주소로부터 어떤 공격이 시작되었고, 트래픽양이 대략 어느 정도더라 라는 이야기를 해주었다고 해봐요. 해커가 최근 트래픽양을 대폭 줄여 정체를 숨기는 데에 주력하고 있는 듯 하다는 정보까지도 함께 말이죠. A 회사의 보안 담당자가 이 이야기를 문서로 작성해 결제라인을 따라 쭉 올리는 게 효율적일까요 아니면 해당 IP나 포트로부터의 악성 트래픽을 스캐닝해보고 막는 조치를 취하는 게 효율적일까요? 최소한 구두로 보고하는 편이 더 빠르지 않을까요?”

하지만 트로스트는 첩보를 받고 진정할 필요도 있다고 설명한다. “적기의 대처를 위해 빠르게 움직이는 건 좋습니다. 하지만 빠릿빠릿하게 움직이는 것이 누군가에겐 비상사태가 발발한 것처럼 보일 수도 있고, 그 때문에 필요치 않은 패닉에 빠질 수도 있습니다. 조금 냉정해질 필요도 있습니다. 너무 많은 첩보에 질린 나머지 냉정을 잃고 불필요한 대처를 하는 기업을 굉장히 많이 봐왔습니다. 그게 가장 큰 실수며 오류로 작용할 때도 많고요.”

보안 전략회사인 서프와치(SurfWatch)의 최고 전략가인 아담 메이어(Adam Meyer)는 “첩보 하나나 두 개만 딱 놓고 검토를 시작하라”고 제안한다. “한 개나 두 개의 첩보에 대해 회사가 할 수 있는 일이 무엇인지 검토하세요. 결정되었으면 다음 첩보를 가져와 분석합니다. 그렇게 천천히, 단계별로 첩보 처리 양을 늘려야 합니다. 어떤 첩보부터 시작해야 하느냐, 라고 물을 수 있는데, 여기에는 딱히 답이 없습니다. 첩보의 출처가 어디인지 조사해보고, 그 조직들의 신뢰도를 비교해보는 것이 가장 간편한 방법입니다.”

또한 너무 오래돼서 쓸모없는 첩보들을 가려내는 것도 좋은 시작 방법이다. 클랜시는 “정보의 내용도 중요하지만, 언제 그 정보를 취득했는가도 중요하다”며 “특히나 침해지표(IoC)들의 경우 시간에 매우 민감하다”고 강조했다. 트로스트는 “이런 단순 작업은 자동화로 많은 부분 해결할 수 있다”고 덧붙였다.

하지만 제일 중요한 건 “첩보 공유 자체가 게임 오버를 선언하는 건 아니”라는 것이다. 쓰레트코넥트(ThreatConnect)의 CEO인 아담 빈센트는 “첩보를 공유하면 판단하는 데에 큰 도움이 된다”며 “그러나 그것 자체가 모든 것을 해결해주지는 않는다”고 경고했다. “증권가에도 속칭 ‘찌라시’라는 게 돌죠? 하지만 그것만 맹목적으로 믿지는 않습니다. 사업을 하면서 얻어내는 여러 가지 정보들이나 위협 첩보도 마찬가지입니다. 결정을 내리는 데에 있어 보조수단일뿐임을 기억하는 게 중요합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)