진화하는 사이버 공격 대응을 위해서는 정부기관, 벤더, 고객들이 위협정보를 공유해 인텔리전스를 만들고 공동대응해야 한다는 사실은 이미 많은 사람들이 공감하고 있는 바이다.
그러나 고객들은 위협정보 공유에 여전히 소극적이다. 자신의 조직을 향한 공격 정보를 공유했다가 공격자에게 취약점이 노출돼 다시 공격을 당할 수 있다는 두려움이 가장 크다. 정부기관은 정보를 독점하려는 의지가 강하고, 보안벤더는 수집한 공격정보를 자사의 자산이며 경쟁력으로 여겨 정보공유에 소극적이다.
그러나 2015년 미국에서 사이버 보안 정보공유 행정명령을 내린 후 민간 기업과 정부기관의 정보공유 노력이 가시화됐으며, 국가간 정보공유 움직임도 활발해지고 있다. 동유럽 사이버 범죄조직이 일으킨 랜섬웨어를 막기 위해 유로폴과 보안 벤더들이 ‘노모어랜섬’ 캠페인을 벌이고 정보공유와 공동수사에 나섰으며, 인텔시큐리티, 팔로알토네트웍스, 시만텍, 포티넷 등 보안 기업들은 사이버위협연합(CTA)을 결성해 극성을 부린 랜섬웨어 공격을 추적하고 공격을 중단시키는데 혁혁한 공을 세웠다.
양승호 오픈베이스 연구소장은 “기관/기업이 자체적으로 보안을 한다면 한정된 비용과 운영인력 부족, 전문성 결여 등의 문제로 대응이 힘들다. 또한 A기관에 침입한 악성코드 정보를 다른 기관에서 알 수 없으며, 동일한 공격에 의한 피해가 발생할 가능성을 제거하지 못한다”고 지적한 후 “위협정보 공유 시스템을 구축하면, 전문조직에서 표준화한 공통 정책이 배포돼 새로운 위협을 차단할 수 있으며, 기관의 위협 정보를 실시간으로 수집·분석해 업데이트함으로써 보안정책을 자동으로 적용할 수 있게 된다”고 설명했다.
위협정보 공유 연계 시스템 인증 제공
양승호 소장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘사이버 보안 위협 정보 공유 기술과 필요성’이라는 주제의 강연을 통해 위협정보 공유의 필요성과 국내외 동향에 대해 자세히 설명했다.
기존의 위협정보 공유 모델은 악성코드 표현 체계, 탐지 엔진, 탐지 결과, 공유체계, 대응체계 등이 마련돼 있지 않았지만, 이제는 TAXII, STIX, Cybox 등 표준화된 기술이 마련돼 있어 정보공유가 수월해졌다. 정보 공유를 통해 얻게 되는 사이버 위협 인텔리전스(CTI)가 이러한 표준을 통해 정리되고 배포돼 위협 탐지와 대응이 한결 쉬워질 수 있다.
우리나라에서는 한국인터넷진흥원이 운영하는 C-TAS, 정부통합전산센터가 운영하는 사이버위협 정보공유센터, 금융·통신·행정 등 기반시설 관리기관이 운영하는 정보공유분석센서(ISAC), 금융보안원이 운영하는 금융권 통합보안관제센터가 있다.
올해는 사이버위협을 신속하게 분석·공유하는 사이버공격 대응 체계가 더욱 활성화 될 것으로 예상되며, 탐지 룰 생성과 배포, 위협 정보 수집과 분석, 기관별 현황 모니터링 등이 표준화되어 판별된다.
오픈베이스는 위협정보 공유 및 분석시스템인 ‘타고스(TARGOS)’를 개발해 공급하고 있다.타고스는 샌드박스와 연동되는 악성파일 표준 판별체계로, 위협정보 공유 연계 시스템에 대한 인증과 탐지 규칙 수신 및 업데이트, 탐지 규칙 송수신 조회, 샌드박스 탐지 결과 조회 등의 기능을 제공한다. TAXII, STIX, Cybox 등 해외 공유체계 표준과 국내 공유체계 표준을 지원하고, 표준화된 데이터 수집과 배포를 제공한다.
양 소장은 “위협 정보 공유가 중요해지면서 국내에서도 사이버 위협을 신속하게 분석·공유하는 사이버 공격 대응 체계가 확산되고 있다. 공유되는 탐지 규칙이 자신의 조직에 맞는지 확인할 수 있는 방법으로 타고스가 유일하게 제안된다”며 “샌드박스와 연동되는 위협정보 관리 시스템으로 지능형 공격을 차단할 수 있다”고 말했다.
