세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
보안 전문가의 적이자 친구, 위협 첩보의 가치는 무엇일까?
  |  입력 : 2018-05-24 15:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위협 첩보가 제공되는 형태는 두 가지, 피드와 플랫폼
다양한 내용의 정보가 천차만별 형태로 제공돼 ‘거르기’ 어려워


[보안뉴스 문가용 기자] 위협 첩보. 이 단어가 주는 무게감이 어마어마하다. 보안 전문가라면 어쩐지 이것과 매우 친해야 할 것 같다. 이 첩보를 처리하고 분석하기 위해 인공지능이 연구되고 있고, 그 외 여러 자동화 기술이 이미 현장에서 도입되고 있다. 이제 시간만 조금 지나면 지루하고 반복적인 보안 업무를 기계들이 알아서 처리해줄 것이다.

[이미지 = iclickart]


하지만 현실과 이런 미래(혹은 상상) 사이에는 심각한 괴리가 존재한다. 또한 보안 전문가 대다수는 위협 첩보라는 걸 별로 좋아하지도 않는다. 예를 들어 시장 연구 조사 단체인 포네몬(Ponemon)의 경우, 최근 위협 첩보에 관한 보고서를 발표했는데, 무려 보안 전문가의 70%가 “위협 첩보는 너무 복잡하거나 애매해 사실상 쓸모가 없다”고 답했다고 나온다. 애초에 재료에 대한 신뢰나 관심이 없으니 인공지능이나 자동화 기술에도 큰 관심이 생길 리 없다.

사이버 보안 업계의 시드 펀드사인 시큐어 옥테인(Secure Octane)을 설립한 마헨드라 람싱하니(Mahendra Ramsinghani)는 테크크런치에 발표한 기고문을 통해 “위협 첩보란 전문가들이 하루 빨리 버려야 하는 거짓들 중 하나”라고 표현하기도 했다. 또한 지난 블랙햇에서의 한 보안 강연을 예로 들며 “보안 전문가들이 무려 5개월이나 다양한 엔드포인트들을 분석했을 때 위협 첩보가 들어맞지 않고, 도움이 되는 정보를 제공한 것도 아니라는 걸 우리는 들어서 알고 있다”고 썼다.

이런 모든 말들이 위협 첩보의 힘을 믿고 있는 보안 전문가들에게는 당황스럽게 다가올 수 있다. 구글과 아마존 같은 돈 벌기 대명사인 회사가 위협 첩보 산업에 투자하고 있으니 위협 첩보에도 가치가 있음이 분명한데, 왜 많은 보안 전문가들이 위협 첩보를 쓰레기 취급하는 것일까? 의아할 수도 있다. 그 이유를 알아보자.

피드 vs. 플랫폼
이야기를 진행하기 전에 한 가지 분명히 해둘 것이 있다. 바로 위협 첩보 피드와 위협 첩보 플랫폼의 차이점이다. 간단히 설명하면 위협 첩보 피드는 제3자가 끊임없이 제공해주는 정보의 흐름을 말한다. 현재 진행되고 있거나 임박한 위협에 대하여 알려주는 정보이기도 하다. 예를 들어 도메인, 해시, 악성 IP 등 특정 항목에 집중된 정보가 될 수도 있다. 이런 피드들의 출처는 크게 여섯 가지로 나뉘는데, 1) 오픈소스, 2) 고객, 3) 허니팟, 4) 다크넷, 스캔 및 크롤링, 5) 멀웨어 처리 및 분석, 6) 사람이다.

이런 피드 처리에는 몇 가지 어려움들이 존재한다. 먼저는 모든 피드가 천차만별이라는 것이다. 양식부터 다루는 내용, 질과 양의 면에서 모두 다르다. 특히 무료로 제공되는 오픈소스의 경우 기본적인 편집 과정도 거치지 않은 것이 상당수다. 그러므로 저 회사에서는 유용한 것일지라도 우리 회사에서는 오탐에 가까운 것일 수도 있다. 그래서 오픈소스 피드들은 잘 걸러내는 게 중요하다.

그런 의미에서 유사 혹은 동종 산업에서 온 피드들이 오픈소스보다는 더 유용할 때도 있다. 하지만 이런 경우 유로일 때가 많고, 그 값이 낮다고만은 할 수 없다. 게다가 돈을 지불하고 받는다고 해서 모든 정보가 다 깔끔하게 다듬어지거나 나의 필요에 맞춤형으로 제공되는 것도 아니다. 여전히 거르거나 편집해야 하는 필요가 발생한다. 물론 첩보 편집 및 필터링을 서비스로 제공하는 업체들도 있지만, 이 역시 추가 비용을 내야만 사용 가능하다.

그래서 나오는 또 다른 어려움은 피드들을 항목화하고 분류하는 것이다. 너무나 많은 정보가 각양각색의 형태로 들어오기 때문에 여기서 의미를 찾으려면 분류와 정리가 필수적이다. 첩보 피드 중 ‘맥락적 정보’가 첨가되어 있는 경우 역시 드물다. 첩보가 진정한 의미를 가지려면 그 맥락적 정보가 굉장히 중요한데도 말이다.

그렇다면 첩보 플랫폼이란 무엇일까? 현재 첩보 피드의 어려움을 개선하고 있다며 각광 받는 시스템인데, 여러 첩보 피드를 정리해놓은 서비스를 말한다. 가트너의 그렉 영(Greg Young)은 최근 한 보고서를 통해 “위협 첩보를 실시간으로 수집, 연결, 항목화, 공유, 통합하여 방어에 필요한 모든 행위를 효율적으로 만든다”고 플랫폼에 대해 설명했다. 뿐만 아니라 현존하는 보안 기술들(SIEM, IPS, 방화벽 등)과도 통합될 수 있다고 한다.

그러면서 “이러한 첩보 관리 방법은 사이버 보안 업계의 덩치 큰 기업들에게 대단히 유용할 것”이라고 주장했다. 하지만 “첩보를 사용한다는 측면에서의 유용함이지, 보안의 전체적인 면이 향상될 것이라는 뜻은 아닐 수 있다”고 설명을 이어갔다. “저는 기업의 방화벽과 OT 소프트웨어, 사용자 행동 분석 기술이 보안을 더 향상시킨다고 생각합니다. 첩보가 잘 관리된다고 해서 이런 것들보다 더 도움이 될 거라고 보진 않습니다.”

결국 위협 첩보가 보안의 한 도구인 건 맞지만, 전문가나 사용자가 기대하는 것만큼의 성과를 내고 있지 못하다는 것인데, 이는 피드나 플랫폼 모두 마찬가지다. 그러므로 첩보에 지나치게 매달리기 보다는 OT 운영을 좀 더 부드럽게 가다듬는다든지, 방화벽 규칙을 새롭게 설정한다든지, 네트워크 모니터링을 더 꼼꼼하게 하는 등의 기본적인 보안 실천 수칙들을 지키는 게 더 낫다고 생각한다.

위협 첩보가 쓰레기인 건 아니지만, 그렇게까지 대단한 것도 아니다. 혹시 자동화와 인공지능 기술이 크게 발전한다면 또 모를까.

글 : 크리스 맥대니얼스(Chris McDaniels), Mosaic
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)