[주말판] 훌륭한 보안 첩보 제공자 및 무료 툴 21가지

첩보가 사업에도 활용되는 때, 믿을만한 정보 취하려면 가볼만한 사이트
복잡해지는 공격, 미처 다 막을 예산이 부족하다면 생각해봄직한 툴들

[보안뉴스 문가용 기자] 첩보 관리가 기업 운영의 중요한 요소로 떠오르고 있다. 하지만 그 첩보를 어디서부터 구해야 하는지, 신뢰할만한 정보의 원천이 어디인지 알아보는 건 한양에서 김 서방 찾는 일과 진배없다. 물론 보안 전문 업체의 블로그나 웹사이트에서도 다양한 정보가 나오지만 그 내용이 항상 일치하는 것도 아니고 질이 항상 고르지도 않다. 본지는 이번 주 사업 운영을 위해 보안 첩보를 진지하게 탐구해보고자 하는 사람들을 위해 믿을만한 정보 제공자들을 모아보았다.

[이미지 = iclickart]

보안 업체 로진트 랩스(Rosint Labs)의 로셀 사프란(Roselle Safran)이 이 작업에 도움을 주었음을 밝힌다. 사프란은 오바마 정권 하에서 국토안보부와 대통령실에서 수년 동안 보안을 담당하기도 했다. 사프란은 누구나 알만한 정보 제공자들을 꼽기도 했지만, 이번 기회를 통해 자신만이 알고 있는 첩보 수집처를 공개하기도 했다. 그래서 꽤나 자신 있는 결과물이 나오긴 했지만, 이것이 전부는 아님을 기억하는 것도 중요하다. 사프란처럼 자신만의 정보 제공자를 포섭해놓는 것이 장기적으로는 이득이 되는 태도다.

1. 미국 국토안보부, 자동 지표 공유
미국의 국토안보부는 민간 기업들의 사이버 보안 강화를 위해 자동 지표 공유(Automated Indicator Sharing, AIS)라는 웹사이트를 개설해 무료로 운영하고 있다. 보안에 도움이 되는 기본적인 정보들이 제공되는데, 여기에는 악성 IP 주소, 피싱 이메일 발송자 주소 등이 여기에 포함된다.

국토안보부가 AIS를 운영하는 목적은 연방 기관이 됐든 민간 기업이 됐든, 악성 시도나 요소를 발견하자마자 모두가 공유할 수 있는 환경을 형성하는 것이다. 물론 여기서 제공되는 정보가 대단히 고차원적인 건 아니다. 그러나 해킹 공격 시도가 항상 높은 수준에서 이뤄지는 건 아니다. 오히려 장난이나 호기심에서 비롯된 1차원적인 공격이 더 많다. 이런 기본적인 첩보를 통해 단순한 위협 요소들을 제거하면 안심하고 수준 높은 방어에 집중할 수 있게 된다.

2. FBI 인프라가드 포털
FBI가 운영하는 인프라가드 포털(InfraGard Portal)은 공공 기관들과 민간 부문 사이의 ‘정보 거래소’ 역할을 한다. 여기서 거래되는 정보들은 대부분 사회 기반 시설 보호에 초점이 맞춰져 있다. 미국 정부는 사회 주요 시설을 16가지로 분류해 보호하는데, 인프라가드 포털에서도 이 16가지 부문과 연관성 있는 뉴스 피드와 정보들을 제공한다. 또한, 사이버 범죄자(Cyber Crimes)와 사이버 도피자(Cyber Fugitives)라는 링크들도 있어, FBI가 추적 중에 있는 최신 사건과 잠재적인 위협들을 열람할 수도 있다.

3. 국가정보공유분석센터위원회
이름이 다소 긴데, ISAC들을 위한 국가위원회라고 이해하면 된다. 2003년에 처음 설립됐다. 하지만 정보공유분석센터(ISAC)의 개념이 처음 논의되기 시작한 건 1998년의 일이다. 현재 미국에는 약 24개의 ISAC들이 존재한다. 분야별로 적절한 ISAC을 찾아 가입해 정보를 공유 받으면 될 것 같지만, 금융권의 ISAC을 비롯해 몇몇 센터들은 가입 조건이 까다롭거나 비용이 높다. 하지만 대부분은 무료이거나 저비용이다.

ISAC 국가위원회의 최종 목표는, 사회 각 분야별로 ISAC을 마련해 꼭 필요한 정보와 첩보들을 활발히 나누고 위협들을 제거하거나 막아내도록 하는 것이다. 모두가 하나의 플랫폼에서 각종 정보들을 교환하기 시작하면 중요하고 필요한 정보를 걸러낼 수가 없기에 분야별 ISAC을 운영하는 방향으로 가고 있다. 현재 대부분의 ISAC들은 24시간 쉴 틈 없이 위협 경고 및 사건 보고서를 공유하고 있다.

4. 랜섬웨어 추적기
@abuse.ch라는 자 혹은 단체가 운영하는 랜섬웨어 추적기(Ransomware Tracker)는 스위스의 보안 첩보 사이트로 랜섬웨어와 관련이 있는 도메인 이름, IP 주소, URL들을 모니터링하고 그 정보를 제공한다. 그렇기에 봇넷의 C&C 서버, 배포 사이트, 지불 사이트 등의 정보도 역시나 공유되고 있다.

랜섬웨어 추적기에서 제공되는 정보는 호스팅 업체, ISP 업체, CERT, 사법 기관, 보안 분석가들에게 유용하며, 적절히 활용할 경우 랜섬웨어에 의해 공격 당하고 있는 사회 시설들에 대한 전체적인 ‘조감도’를 얻을 수 있다. 또한 특정 랜섬웨어가 현재도 위협적으로 사용되고 있는지도 파악할 수 있다. 보너스로 랜섬웨어 방지 및 시스템 복구법도 제공된다.

5. 스팸하우스 프로젝트
대략 20년 전인 1998년에 창립된 스팸하우스 프로젝트(The Spamhaus Project)는 전 세계적인 비영리 단체로 런던과 제네바에 사무소를 두고 있다. 이름 그대로 스팸 공격 혹은 스팸과 관련된 공격을 추적한다. 즉, 피싱, 멀웨어, 봇넷 공격에 대한 정보가 여기서 다뤄진다는 것이다.

스팸하우스는 DNS에 근거한 블록 처리 목록을 발표하는 것으로 유명하지만 인터넷 방화벽 및 라우팅 장비와 함께 사용할 수 있는 특별한 데이터도 생성한다. 스팸하우스 드롭(Spamhaus DROP)이라고 하는 목록, 봇넷 C&C 데이터, 스팸하우스 대응 정책 구역(Spamhaus Response Policy Zone) 데이터 등이 여기에 포함된다. 전 세계 수천만 인터넷 사용자들이 악성 이메일의 수상한 링크를 클릭하지 않도록 돕고 있다.

6. 인터넷 스톰 센터
인터넷 스톰 센터(Internet Storm Center)는 2001년에 설립됐다. 라이언(Li0n)이라는 웜이 등장해 보안 커뮤니티가 한 차례 공조한 직후 출범했다. 현재의 인터넷 스톰 센터는 침투 탐지 로그를 매일 수백만에서 수천만 건씩 5십여만 개 IP 주소가 할당된 센서들로부터 수집한다. 이 주소들은 대략 50여개국으로 분포되어 있다.

인터넷 스톰 센터는 무료 서비스이며 SANS 인스티튜트(SANS Institute)가 운영하고 있다. 운영비는 SANS에서 진행하는 보안 교육 프로그램의 등록비 및 학비에서 충당한다. 위의 침투 정보 외에 다양한 툴들에 대한 소개 자료와 링크, 교육 팟캐스트, 포럼, 보안 구인/구직란도 마련되어 있다.

7. 무료 안티멀웨어 사이트들
‘버라이즌 2017 데이터 침해 수사 보고서’에 의하면 데이터 침해 사고의 51%에 멀웨어가 사용되거나 동반됐다. 보안 업체들도 이 멀웨어 분석과 탐지에 온 기술과 노력을 집중시킨다. 그래서 멀웨어와 관련된 정보는 비교적 쉽게 찾아볼 수 있는데, 가장 대표적인 곳은 다음 세 가지 사이트다.
1) virustotal.com
2) malwr.com
3) VirusShare.com.

8. 벤더 블로그
각종 보안 솔루션을 판매하는 벤더들 역시 괜찮은 첩보들을 제공한다. 물론 제품 광고와 홍보와 관련된 정보들 속에 파묻혀 있지만, 진주처럼 좋은 정보들을 간직하고 있는 곳이 대부분이다. 또한 같은 공격이나 현상에 대해서 벤더들마다 접근하는 방법이 달라, 이를 교차 비교해보는 것도 흥미롭다.

다만 모든 벤더들이 다 좋은 정보를 제공한다고 볼 수 없어, 로셀 사프란이 목록을 어느 정도 추려줬다.
1) 에얼리언 볼트(Alien Vault)
2) 시스코 위협 분석 블로그(Cisco Threat Research Blog)
3) 크라우드스트라이크 리서치 및 위협 첩보 블로그(CrowdStrike Research and Threat Intel Blog)
4) 파이어아이 위협 리서치 블로그(FireEye Threat Research Blog)
5) 팔로알토 네트웍스 유닛 42(Palo Alto Networks Unit 42)
6) 리코디드 퓨처(Recorded Future)
7) 윈도우 보안 블로그(Windows Security Blog)

9. 쓸 만한 무료 툴 5
클라우드, 모바일, 사물인터넷 등이 등장하며 공격의 경로가 다양해지고 있다. 그러면서 방어 역시 복잡해지고 있다. 하지만 복잡해진다는 건 방어자 편에서 돈이 많이 들어간다는 뜻이기도 해서, 공격자들이 승승장구하고 있는 게 현실이다. 이에 자동차 부품 제조사인 넥스티어 오토모티브(Nexteer Automotive)의 CISO 아룬 데수자(Arun DeSouza)가 자신이 즐겨 사용하는 몇 가지 무료 및 저가 툴들을 공개했다.

1) 블러드하운드(Bloodhound) : 오픈소스 침투 테스트용 툴로 마이크로소프트의 액티브 디렉토리 환경에서 사용할 수 있다.

2) 닉토(Nikto) : 오픈소스 웹 서버 스캐너로, 65000개의 알려진 취약점들을 찾아내는 강력한 기능을 선보인다.

3) 명성 모니터(Reputation Monitor) : 보안 업체 에얼리언 볼트(Alien Vault)에서 무료로 제공하는 위협 분석 서비스다.

4) 고스터리(Ghostery) : 무료 브라우저 확장 프로그램으로 ‘프라이버시 웹 브라우징’을 할 수 있도록 돕는다. 데이터 위생 관리에 도움이 된다.

5) 구글 오센티케이터(Google Authenticator) : 2중 인증 코드 생성기로, 아이덴티티 관리 정책이나 기술, 솔루션을 마련하지 못한 단체에서 사용하기 알맞다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)