> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[차세대 보안 비전] 공유되는 위협정보, 탐지 기준 마련해야
오픈베이스, 샌드박스 연동한 위협정보 관리 솔루션으로 업데이트된 탐지 규칙 분석·적용
     관련기사
  [차세대 보안 비전 2017] 보안 키워드 ‘통합·자동화·인텔리전스’
  [차세대 보안 비전] “알려지지 않은 위협은 보이지 않는 위협”
  [차세대 보안 비전] “공격면 줄이면서 지능형 방어 구현해야”
  [차세대 보안 비전] 협업·공유 이상 실현해 정교한 위협 방어
  [차세대 보안 비전] 분석·위협 인텔리전스로 위협 해결
  [차세대 보안 비전] “정보 공유로 보안 역량 강화하라”
  [차세대 보안 비전] 기반시설 보안, 망분리로 해결
  [차세대 보안 비전] “예방이 치료보다 낫다”
  [차세대 보안 비전] 네트워크 포렌식으로 탐지·대응 이상 실현
  [차세대 보안 비전] IoT 시대, 강력한 네트워크 접근제어로 대응
  [차세대 보안 비전] “보안 제품 너무 많아 위협 높아진다”
  [차세대 보안 비전] “IoT, IPv6·적응형 단말 보안 기능 필수”
  [차세대 보안 비전] 현실적인 보안 전략으로 비즈니스 보호
  [차세대 보안 비전] AI 이용해 정형화 되지 않은 공격 차단
  [차세대 보안 비전] 보안홀 ‘웹’, 머신러닝으로 보안 체질 강화
2017년 03월 09일 17:38:38 김선애 기자 iyamm@datanet.co.kr
   
▲ 양승호 오픈베이스 연구소장은 “위협정보 공유 시스템을 구축하면, 전문조직에서 표준화한 공통 정책이 배포돼 새로운 위협을 차단할 수 있으며, 기관의 위협 정보를 실시간으로 수집·분석해 업데이트함으로써 보안정책을 자동으로 적용할 수 있게 된다”고 설명했다.

진화하는 사이버 공격 대응을 위해서는 정부기관, 벤더, 고객들이 위협정보를 공유해 인텔리전스를 만들고 공동대응해야 한다는 사실은 이미 많은 사람들이 공감하고 있는 바이다.

그러나 고객들은 위협정보 공유에 여전히 소극적이다. 자신의 조직을 향한 공격 정보를 공유했다가 공격자에게 취약점이 노출돼 다시 공격을 당할 수 있다는 두려움이 가장 크다. 정부기관은 정보를 독점하려는 의지가 강하고, 보안벤더는 수집한 공격정보를 자사의 자산이며 경쟁력으로 여겨 정보공유에 소극적이다.

그러나 2015년 미국에서 사이버 보안 정보공유 행정명령을 내린 후 민간 기업과 정부기관의 정보공유 노력이 가시화됐으며, 국가간 정보공유 움직임도 활발해지고 있다. 동유럽 사이버 범죄조직이 일으킨 랜섬웨어를 막기 위해 유로폴과 보안 벤더들이 ‘노모어랜섬’ 캠페인을 벌이고 정보공유와 공동수사에 나섰으며, 인텔시큐리티, 팔로알토네트웍스, 시만텍, 포티넷 등 보안 기업들은 사이버위협연합(CTA)을 결성해 극성을 부린 랜섬웨어 공격을 추적하고 공격을 중단시키는데 혁혁한 공을 세웠다.

양승호 오픈베이스 연구소장은 “기관/기업이 자체적으로 보안을 한다면 한정된 비용과 운영인력 부족, 전문성 결여 등의 문제로 대응이 힘들다. 또한 A기관에 침입한 악성코드 정보를 다른 기관에서 알 수 없으며, 동일한 공격에 의한 피해가 발생할 가능성을 제거하지 못한다”고 지적한 후 “위협정보 공유 시스템을 구축하면, 전문조직에서 표준화한 공통 정책이 배포돼 새로운 위협을 차단할 수 있으며, 기관의 위협 정보를 실시간으로 수집·분석해 업데이트함으로써 보안정책을 자동으로 적용할 수 있게 된다”고 설명했다.

위협정보 공유 연계 시스템 인증 제공

양승호 소장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘사이버 보안 위협 정보 공유 기술과 필요성’이라는 주제의 강연을 통해 위협정보 공유의 필요성과 국내외 동향에 대해 자세히 설명했다.

기존의 위협정보 공유 모델은 악성코드 표현 체계, 탐지 엔진, 탐지 결과, 공유체계, 대응체계 등이 마련돼 있지 않았지만, 이제는 TAXII, STIX, Cybox 등 표준화된 기술이 마련돼 있어 정보공유가 수월해졌다. 정보 공유를 통해 얻게 되는 사이버 위협 인텔리전스(CTI)가 이러한 표준을 통해 정리되고 배포돼 위협 탐지와 대응이 한결 쉬워질 수 있다.

우리나라에서는 한국인터넷진흥원이 운영하는 C-TAS, 정부통합전산센터가 운영하는 사이버위협 정보공유센터, 금융·통신·행정 등 기반시설 관리기관이 운영하는 정보공유분석센서(ISAC), 금융보안원이 운영하는 금융권 통합보안관제센터가 있다.

올해는 사이버위협을 신속하게 분석·공유하는 사이버공격 대응 체계가 더욱 활성화 될 것으로 예상되며, 탐지 룰 생성과 배포, 위협 정보 수집과 분석, 기관별 현황 모니터링 등이 표준화되어 판별된다.

오픈베이스는 위협정보 공유 및 분석시스템인 ‘타고스(TARGOS)’를 개발해 공급하고 있다.타고스는 샌드박스와 연동되는 악성파일 표준 판별체계로, 위협정보 공유 연계 시스템에 대한 인증과 탐지 규칙 수신 및 업데이트, 탐지 규칙 송수신 조회, 샌드박스 탐지 결과 조회 등의 기능을 제공한다. TAXII, STIX, Cybox 등 해외 공유체계 표준과 국내 공유체계 표준을 지원하고, 표준화된 데이터 수집과 배포를 제공한다.

양 소장은 “위협 정보 공유가 중요해지면서 국내에서도 사이버 위협을 신속하게 분석·공유하는 사이버 공격 대응 체계가 확산되고 있다. 공유되는 탐지 규칙이 자신의 조직에 맞는지 확인할 수 있는 방법으로 타고스가 유일하게 제안된다”며 “샌드박스와 연동되는 위협정보 관리 시스템으로 지능형 공격을 차단할 수 있다”고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  차세대 보안 비전 2017, 네트워크타임즈, 데이터넷, 보안 세미나, 사이버 공격, APT, 오픈베이스
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr