정보공유 파이를 키우는 법 - 나눔의 법칙

위협정보, 나눌수록 커지는 가치

사이버 공격이 지능화, 고도화되고 있으며, 일상생활에 깊이 파고들고 있다. 공격을 막을 수 있는 유일한 기술이나 유일한 벤더는 없으며, 전통적인 보안 기술부터 새로운 보안기술까지 모든 기술이 함께 사용돼야 한다. 또한 전 세계에서 발생하는 위협정보를 공유해 새로운 위협에 즉시 대응할 수 있는 인프라를 만드는 것도 중요하다. 위협정보 공유를 통한 APT 방어 전략이 지속적으로 확산되고 있다.

APT 공격은 이제 일상화됐다고 해도 과언이 아니다. 사이버 범죄 조직이 기업화되면서 비지니스 수익성을 극대화할 수 있는 방법을 고안해내면서 기업과 기관의 주요 시스템은 상시적으로 공격을 받고 있는 것이다. 이전에는 타겟 시스템에 침투하기 위해 많은 시간과 비용을 투입한 정교한 악성코드를 개발했으며, 보안 시스템에 탐지되지 않도록 은밀하게 활동할 수 있도록 철저한 곡격 전략을 준비했다. 그러나 이제는 지하시장에서 악성코드를 자동으로 생성시키는 툴킷이 거래되고 있으며, 공격목표와 티겟 시스템듸 특징에 맞춘 공격도구도 저렴하게 구입할 수 있다. 사이버 공격도 서비스 방식을 사용하며 SLA를 통해 공격 성공률을 보장하고 있으며, 범죄조직은 경쟁조직보다 좋은 서비스를 저렴한 비용으로 공급해 시장 점유율을 높이기 위해 안간힘을 쓰고 있다. 그러면서 나타난 방법이 정교하게 제작된 지능형 공격을 사용하는 것 보다 다수 시스템에 일회성 악성코드를 배포해 공격 성공률을 높이게 됐다. 정교한 악성코드를 사용하는 공격은 샌드박스를 비롯한 APT 방어 솔루션으로 위협을 완화할 수 있었지만 대량으로 배포되는 악성코드는 막기가 더 힘들다. 방어해야 하는 지점이 넓게 퍼져있으며, 관리가 쉽지 않은 수많은 헨드포인트, 무선AP, 새도우 IT와 새도우 클라우드 등으로 공격이 진행되기 때문이다.

최근의 APT는 정교한 공격기술을 사용하기보다 관리되지 않는 보안홀을 찾아 적은 비용으로 높은 수익을 얻고자 한다. 사물인터넷, BYOD 환경으로 접어들면서 IT관리자의 관심이 닿지 않는 취약한 부분이 더욱 늘어나게 됐으며, 사이버 공격은 일상속에 깊이 파고들었다. 공격자들은 저렴한 공격툴을 이용해 이전보다 더 쉽게 돈을 벌 수 있게 됐으며, 그만큼 일반 사요앚들의 피해는 심각해지고 있다.

일상화, 고도화 되고 있는 사이버 공격

사이버공격이 보편화 됐다고 해서 스턱스넷과 같이 정교하게 제작된 APT 공격이 완전히 없어진 것도 아니다. 사이버 범죄 조직이 목돈을 벌기 위해서는 국가기간시설, 중요 기업의 핵심 시스템을 공격해야 한다. 이러한 기업은 망분리로 철저하게 보호되고 있으며, 고도의 보안 정책에 따라 보호되고 있다. 완벽한 철옹성을 똟고 돈이 되는 시스템으로 침투하기 위해서는 고도의 공격기술과 치밀하게 설계된 전략을 마련하고 장기적으로 파고들어야 한다. 즉, APT는 고도화된 공격이 진행되고 있는 가운데, 다수를 대상으로 한 취약점 공격이 함께 진행되고 있다. 따라서 기업/기관은 관리가 소홀한 취약점을 찾아 제거하며, 진화된 공격을 방어할 수 있는 시스템을 구축하며, 정보보안 체계를 철저하게 수립해야 한다. APT를 완벽하게 막을 수 있는 기술은 없다. 좋은 솔루션을 도입했다 해도 운영응ㄹ 제대로 하지 않으면 소용없다. 웹, 이메일을 통해 유입되는 공격을 방어하기 위해서는 모든 트래픽을 조사하고, 이메일 첨부파일도 검사해야 한다. 엔드포인트와 네트워크에서 탐지하지 못한 공격은 내부 모니터링 시스템을 통해 탐지해야 하는데, 개별 시스템에서 발생하는 로그만을 분석하는 것이 아니라 로그간의 상관관계를 분석해 은밀하게 진행되는 공격도 찾아내야 한다. 이 모든 시스템을 다 갖춰 운영하려면 막대한 예산이 들 뿐 아니라, 높은 수준의 전문성을 가진 보안 조직이 필요하다. 경제 불투명성이 높아지고 있어 기업들은 비용을 최대한 줄요야 하는 상황이지만, 리스크를 줄이고 경쟁력을 제고하기 위해서는 반드시 보안에 대한 투자를 더욱 늘려야 한다.

가장 합리적인 대안으로 지목되는 것이 클라우드 기반 보안 서비스다. 보안 전문기업이 운영하는 서비스를 이용해 지능화되는 사이버 공격으로부터 비지니스를 보호하고, 기업은 비지니스의 핵심 경쟁력에만 집중할 수 있다. 시만텍은 여러 보안 기능을 통합한 보안 솔루션을 지속적으로 소개하는 한편, 클라우드 기반 서비스 중심의 보안 전략으로 지능화되는 공격으로부터 고객을 보호한다고 제안한다. 시만텍 ATP 솔루션은 상관관계 분석 기술 스냅스와 클라우드 기반 샌드박스 시닉을 적용해 엔드포인트, 네트워크, 이메일 기반 공격을 탐지하고 위협의 우선순위를 알려줘 방어 전략을 효율적으로 수립할 수 있도록 한다. 특히 클라우드로 제공되는 이메일 시큐리티 닷 클라우드는 시만텍 클라우드 서버에서 고객의 이메일을 분석해 안전한 이메일만 수신할 수 있도록 한다. 더불어 글로벌 위협 인텔리전스를 로컬 데이터와 조합해 IT 인프라에서 어떤 위협이 가장 큰 리스크가 되는지 정확한 시각을 제공한다.

엔드포인트부터 네트워크까지

APT는 여러 경로와 방법으로 진행되지만, 주로 이용되는 방법은 엔드포인트로 침투해 백도어를 만든 후 내부네트워크로 잠입, C&C 통신을 통해 페이로드를 받아 목표 시스템으로 이동한다. 목표시스템에서 정보를 유출하고 다른 시스템으로 확산하며 공격이 오나료되거나 탐지됐을 때 공격흔적을 지우고 탈출한다. APT 공격 방어를 위해서는 모든 보안 기술이 총집결 돼야 한다. 엔드포인트에서 네트워크까지 알려진 공격과 새로운 공격을 탐지, 차단하고, 내부 네트워크에서 이상행위가 일어나는지 모니터링하며, 침해흔적을 찾아 침해 사실이 있었는지, 피해규모와 공격 루트는 무엇인지 조사해야 한다. 더불어 위협정보 공유 시스템을 연계해 전사적으로 일어나는 이벤트를 연계분석하며, 다른 기업, 다른 나라에서 발생하는 위협 정보도 대응해 최신 공격에 대응할 수 있어야 한다. 모안 기업들은 고객들로부터 수집하는 보안 이벤트와 자체적으로 수집하는 보안이벤트를 분석해 대응하는 위협 인텔리전스 인프라를 갖추고 있다. 이를 통해 새로운 공격정보를 입수하고 대응할 수 있는 방법을 찾아 고객에게 배포하고 자사 보안 기술에 적용시킨다.

파이어아이는 네트워크, 엔드포인트, 웹, 이메일 등 모든 경로로 유입되는 악성코드를 샌드박스로 분석해 차단하며, 빅데이터 기반 분석기술인 DTI를 적용해 의심스러운 패턴 연관성을 파악해 더 지능적으로 보안위협을 탐지한다. 팔로알토네트웍스의 엔터프라이즈 시큐리티 플랫폼은 가시성, 상호연동, 자동화를 통해 기업의 망에 설치된 기존의 복잡한 보안 아키텍처를 단순화시킬 수 있다. 또한 기업에서 필요한 애플리케이션을 효율적으로 관리하고 이를 통해 침입하는 위협을 차단한다. APT 방어 솔루션 와일드파이어를 엔드포인트 보안솔루션 트랩스, 차세대 방화벽과 연계해 와일드파이어에서 발견된 위협 정보를 엔드포인트와 차세대 방화벽에서 차단한다. 차세대 보안 플랫폼을 통해 발견된 공격이 실제 비지니스에 어느정도 수준의 위협을 주는지 알려주는 위협 인텔리전스 오토포커스, 서비스로 사이버 위협에 대한 사전 대응 방법을 안내한다. 포티넷은 솔루션에 자체 개발한 안티바이러스 엔진을 탑재해 알려진 공격을 차단하며, 자사의 보안위협 연구소 포티가드랩과 샌드박스 솔루션 포티 샌드박스 에서 탐지한 악성코드를 고객 시스템에 배포해 글로벌 보안위협에 빠르게 대응할 수 있도록 한다. 데스크탑PC에 설치되는 포티클라이언트 를 통해 엔드포인트에서부터 공격을 차단한다. 인텔시큐리티는 맥아피 DLP와 안티바이러스, EDR, IPS, 보안웹게이트웨이, SIEM, 글로벌 위협 인텔리전스에 이르기까지 공격의 전 구간을 보호한다. SIEM 과 DLP 를 통해 정보유출 정황이 탐지되면 TIE를 이용해 로컬, 글로벌에서 탐지된 악성코드 정보와 비교한다. 약성코드라면 EDR 솔루션인 AR을 이용해 제거하고 취약점을 보완한다. 이 모든 과정은 ePO를 통해 단일 콘솔에서 관리할 수 있다.

심층 분석을 통한 웹/네트워크 공격 차단

지능형 공격은 보안이 취약한 웹과 분석이 어려운 암호화 트래픽을 이용해 진행되며, 알려진 공격 기법과 알려지지 않은 신종 공격기법을 함께 사용한다. 따라서 웹과 네트워크 상에서 공격 위협 요소가 있는지 심층적으로 분석하는 방식이 지능형 위협 방어 효과를 높일 수 있다. 블루코드의 지능형 위협 방어 전략은 글로벌 인텔리전스 네트워크를 이용해 글로벌 최신 보안위협 정보를 분석하고 공유하며, 보안 웹게이트웨이 프록시 SG 를 통해 웹필터링으로 공격 트래픽을 차단하고, 콘텐츠 분석 시스템으로 애플리케이션과 웹에 포함된 악성 콘텐츠를 제거한다. 멀웨어 분석 어플라이언스와 연계해 알려지지 않은 신규 악성코드를 분석해 차단하며, 암호화로 유입되는 트래픽은 SSL 가시성 어플라이언스 SSL VA로 복호화해 네트워크 포렌식 솔루션 SAP를 통해 분석한다. 이 과정에서 발견된 정보는 각 시스템으로 실시간 업데이트 돼 신규 위협이 추가되지 않도록 하고, 글로벌 인텔리전스 네트워크와 정보를 연동해 새로운 공격위협 정보가 공유될 수 있도록 한다.

글로벌 위협 인텔리전스 공유해 신속한 대응

비지니스 수익성을 고려하는 APT 공격자들은 단 한 조직만을 공격하지 않고, 유사한 다른 조직까지 함께 공격하기 때문에 탐지된 악성코드 정보를 유사 산업군이나 그룹사와 공유하면 추가피해를 막을 수 있다. 예를 들어 2014년 한국수력원자력 해킹 당시, 국내 원전 관련 기관에 동일한 유형의 악성코드가 첨부된 이메일이 발송된 것으로 밝혀졌다. 국내 한 그룹사의 경우, 계열사들이 한글 취약점을 이용한 공격을 받았으며 공격자의 C&C 서버가 동일하고 악성코드 유형이 비슷해 해당 그룹을 타겟으로 한 공격인 것으로 추정된 바 있다. 이와 같은 경향은 전세계에서 동일하게 나타난다. 원전 관련 시설을 노리는 악성코드의 유형이 특정 기간 동안 일정한 패턴을 보이거나, 관련 업계 혹은 협력사에 비슷한 유형의 악성코드가 일시에 배포되는 형태를 나타낸다. 보안기업들은 자체적으로 위협 인텔리전스 서비스를 운영하면서 탐지된 악성코드 정보를 자사 제품에 업데이트해 추가 피해를 막도록 한다. 모든 보안 기업들은 각자 업계 최고의 DB와 가장 빠른 차단 정책 제공을 강점으로 내세운다.

시만텍 GIN, 블루코드 글로벌 인텔리전스 네트워크, 포티넷 포티가드랩, 인텔시큐리티 글로벌 위협 인텔리전스 카스퍼스키랩 KSN, 아버네트웍스 ATLALAS 등 글로벌 기업들은 전 세계에서 발생하는 위협 인텔리전스 서비스를 제공한다. 안랩, 하우리, 이스트소프트, NSHC, 빛스캔 등 국내 보안 기업들도 사이버 위협 정보 제공 서비스를 진행하고 있으며, 관제 서비스 기업들도 위협 정보를 실시간으로 고객에게 제공한다. 위협 인텔리전스는 자체 운영중인 사이버 보안 연구 조직이나 침해대응센터 등에서 수집한 정보를 분석해 실제 위협인지, 어떻게 작동하며 목표로 하는 정보는 무엇인지, 타겟 시스템과 조직의 특징은 무엇인지 등을 찾아낸다. 이 정보를 바탕으로 시그니처 등 대응법을 만들어 고객사에 설치된 자사 솔루션에 업데이트하는 방식이다. 위협 정보는 고객사에 구축된 자사 시스템을 통해 수집하므로, 가장 많은 제품이 공급된 기업일수록 유리하며, 엔드포인트 보안 제품을 판매하는 기업들이 가장 많은 위협 샘플을 수집할 수 있다. 그러나 위협 인텔리전스의 경쟁력을 보유한 위협 샘플 숫자만으로 판단하는 것은 곤란하다. 엔드포인트를 노리는 악성코드 샘플을 갖고 있다는 사실보다, 실제 위협을 얼마나 빠르게 탐지하고 스그니처를 만들어 배로해 실제 위협에 얼마나 빠르게 대처하느냐가 중요하다.

세인트시큐리티는 바이러스토탈의 프라이빗 API와 인텔리전스 API의 아시아 총판으로 전세계의 바이러스 정보를 공유하고 있다. 또한 독자적으로 개발한 멀웨어스닷컴 서비스도 본격적으로 서비스 중이다. 멀웨어스닷컴은 세인트시큐리티 고객으로부터 악성코드 정보를 수집해 분석하는 서비스를 제공하고 있으며, 고객 중에는 침해대응센터를 운영하는 보안기업도 있어 국내에서는 가장 큰 규모의 위협 인텔리전스 서비스로 꼽힌다. 멀웨어스닷컴은 빅데이터 기반으로 매일 매일 수집되는 파일과 여러 팩트 정보를 분석해 연관관계를 생성하고 이를 기반으로 새로운 보안 위협 정보를 찾아내 사용자에게 실시간으로 공유한다. 정적분석, 동적분석, 프로파일링 등의 과정을 거치면서 사용자의 분석 요청 정보를 빠르게 대응할 수 있도록 설계됐다. 동적 분석은 가상 머신을 이용한 분석과 리얼 PC를 이용한 분석을 병행해 탐지율을 높였다. 빅데이터 기반 설계를 통해서 각종 위협 정보들 간 연관관계를 프로파일링해 활용 가치가 높은 분석 정보를 제공한다.

정보공유, 지능형 공격 대응 위한 전술

보안 기업들이 수집할 수 있는 위협 정보는 고객이 사용하고 있는 자사 시스템 중 고객이 정보공유에 동의한 내용에 한정돼 있다. 엔드포인트 보안 솔루션을 제공하는 기업이라면 엔드포인트에 존재하는 공격만을 분석하고, 네트워크 보안 솔루션을 제공하는 기업이라면 네트워크에서 탐지되는 공격만을 분석하게 된다. APT는 공격이 진행되는 모든 과정에서 위협요소를 수집해 연계분석해야 오, 미탐 없이 정확한 탐지가 가능하다. 위협 인텐리전스 역시 다양한 환경에서 수집되는 정보를 분석하는 것이 정확하다. 고객으로부터 정보수집 동의를 받는 것도 난제 중 하나다. 고객들은 글로벌 위협 정보를 정확하고 신속하게 받아보기를 원하지만, 자사에서 발생하는 위협정보 제공에는 소극적이다. 위협정보가 외부로 유출됐을 때 자사의 보안 취약점이 공격자에게 노출될 것이라는 우려 때문이다. 특히 국내 기업들이 이러한 정서가 강해 종보공유가 어려운 상횡이다. 가장 이상적인 방어 전술은 전 세계에서 발생한 모든 보안위협을 모두가 분석해 대응하는 것으로, 모든 보안 기업과 정부의 정보기관, 학계 저눔ㄴ가 등이 함께 노력해서 사이버 범죄를 줄이기 위해 노력하는 것이다. 사이버 공격이 극성을 부리면서 보안기업들은 사이버 위협 정보 공유 협력 이상에 동의하면서 파트너십을 체결해왔지만, 실제로는 협력이 잘 이뤄지지 않았다. 위협 정보는 보안기업이 가진 핵심 자산 중 하나로, 누가 더 빨리 , 정확하게 위협을 탐지하느냐를 두고 치열한 경쟁을 벌이고 있어서 투명한 정보공유는 어려운 일이다.

공유하는 정보의 수준과 질, 양 등에 있어서 합리적인 기준을 찾기도 어렵다. 엔드포인트 보안 솔루션은 설치된 기기가 많기 때문에 많은 양의 ㅣ데이터를 수집할 수 있지만, 네트워크 보안 솔루션은 상대적으로 적을 수 밖에 없다. 그러나 엔드포인트와 네트워크에서 수집하는 정보의 성격이 다르기 때문에 단순히 샘플의 숫자만으로 정보공유 수준을 판단할 수 없다. 시만텍, 팔로알토네트웍스, 포티넷, 인텔 4사가 협력해 출범시킨 CTA는 2년여의 토론과 협의 끝에 정보공유의 원칙과 방향, 공개되는 정보의 범위 등을 규정했다. 2015년 CTA참여 기업들의 공통 분석을 위한 인프라를 구축하면서 본격적인 활동을 펼치고 있으며, 그 첫번째 성과로 크립토월 랜섬웨어의 진화와 세계적인 영향력을 연구한 결과 보고서를 발표했다. CTA는 4개사의 정보공유를 통해 크립토월 3.0이 3700억원의 수익으 ㄹ올렸으며, 40만여번의 크립토월 감염이 시도댔고, 4000여개의 멀웨어 샘플이 탐지됐다는 사실응ㄹ 발혀냈다. 공격자들은 명령을 전송하고 데이터를 받기 위해 무려 839개의C&C URL을 사용했으며, 전 세계 수십만명의 피해자가 발생했다. CTA는 정보공유의 이상에 동의하는 4개사가 주축이 됐으며, 고객사도 발기인으로 참여해 정보공유 협력에 적극 나서고 있다. CTA는 전 세계 보안 기업을 대상으로 더 많은 회원사가 참여하기를 독려하고 있다.

정부기관의 정보공유

정부 기관의 정보공유 노력도 꾸준히 이어지고 있다. 한국인터넷진흥원의 C-TAS는 회원사로부터 정보를 수집해 KISA 인터넷침해대응센터에서 분석하며, 협력을 맺고 있는 외부기관의 침해사고 정보도 함께 제공한다. 금융보안원은 전자금융사기에 전 금융권이 공동대응할 수 있도록 이상금융거래정보 공유시스템을 구축했으며, 위협정보를 신속하게 공유해 사고를 예방할 수 있도록 지원한다. 금융고객의 특성사 ㅇ다수의 금융회사와 거래하고, 편의상 비밀번호를 유사하게 사용하는 경우가 많아 사고 예방과 피해확산 효과가 클 것으로 기대된다. 정보공유는 전 세계적인 추세로, 미국에서는 오바마법 이라고 불리는 사이버보안정보고유법이 2015년 상원을 통과하면서 정보공유 논의가 뜨겁게 지속되고있다. 이 법은 기업들이 사이버보안, 테러, 범죄 등의 위협에 대해 정부기관과 정보를 공유하도록 하는 내용을 담고 있다. 대플, 드롭박스, 트위터 등 주요 IT 기업의 거센 반발에도 불구하고 극성을 부리는 사이버테러를 막아야 한다는 여론에 힘입어 법제화 됐다.정부기관은 사이버테러를 방지하고, 각종 사이버 위협으로부터 국가를 보호하기 위해 정보를 수집하고자 하지만, 자칫 잘못하면 과도한 정보수집으로 민간인 사찰 등의 부작용을 낳을 수 있다. 보안기업은 수집한 정보가 자산이며 경쟁력이 되기 때문에 공개를 꺼리고 일반기업은 고객의 사생활 침해 문제로 번질 수 있어 참여에 부정적이다.

그러나 앞으로 사이버 위협정보 공유는 필수적인 활동으로 정차할 것으로 보인다.  사이버 위협은 단일 솔루션, 단일벤더에서 막을 수 없으며, 다양한 기업, 기관의 협업을 통해 위협을 낮춰나가야 한다. 공격자가 네트워크에 침입할 때 흔적을 보안 기업들이 공유하면 비슷한 공격에 빠르게 대응할 수 있다. 위협 정보를 공유하면, 보안 벤더들은 동일한 보안 인텔리전스를 이용해 더 나은 제품을 만들기 위해 경쟁하게 될 것이며, 고객들은 이전보다 더 안전하게 정보자산을 보호할 수 있게 된다. 또한 사이버 수사당국에서도 더 정밀한 위협정보를 바탕으로 사이버 범죄조직을 검거할 수 있는 기회를 잡을 수 있게 된다. 사이버 공격은 국경을 초월해서 이뤄지며, 사이버상에서 범죄자의 근거지도 수시로 바뀌기 때문에 단일 국가에서만 수사해서는 안되며 국가간 공조가 반드시 필요하다.

지금까지 보안 솔루션 기업은 자사가 수집한 위험요소 정보는 바로 돈으로 생각을 했다. 수집한 정보를 위한 보안패치 또는 백신을 앞다퉈 배포해 수익을 창출했으나 이제는 독자생존 보다는 공유를 통한 공동생존으로 변화해야 할 것이다.