사이버 공격 대응에서 가장 핵심에 두어야 할 것은 ‘데이터’이다. 대부분의 공격이 데이터를 탈취하거나 훼손하기 위해 진행되며, 보안 역시 불법적인 데이터 탈취와 훼손을 막기 위해 진행된다.
션 두카 팔로알토네트웍스 아태지역 최고보안책임자(CSO)는 “대부분의 CIO는 기업의 핵심 데이터가 어디에 있는지 정확하게 알지 못한다”고 지적한다. 수많은 시스템과 클라우드, 애플리케이션에 데이터가 흩어져 있으며, 체계적이지 않은 보안 정책으로 인해 곳곳에서 보안홀이 생기고, 보호되지 않은 상태로 유통된다.
진화하는 공격에 대응하기 위한 다양한 기술이 소개되고 있지만, 가장 먼저 완료해야 할 것은 데이터가 어디에, 어떻게 저장되고 있으며, 누구에게 유통되고 이용되고 있는지, 또한 사용 완료된 데이터는 어디로 가는지 파악하고 있어야 한다.
파수닷컴은 “멀웨어, APT 등 대부분의 해킹의 목적은 결국 중요 정보를 탈취하는데 있다. 경계선을 설치하고 방어막을 아무리 높게 쳐도, 해커들은 어떻게든 뚫고 들어온다. 해킹 자체를 100% 막을 수 없다는 애기다. 경계선을 지키고 방어막을 높이는 전략도 중요하지만, 이제는 지켜야 할 핵심 가치인 중요 데이터를 안전하게 보호하는데 더욱 집중해야 한다”고 설명했다.
‘데이터’는 보호해야 할 자산이기도 하고, 보호 기술에 사용되는 소스이기도 하다. 보안위협 정보를 수집해 분석하면 현재 진행되고 있는 공격에 대한 가시성을 확보할 수 있다. 하나의 기업에서 수집하는 정보만을 이용하는 것이 아니라 많은 기업, 많은 국가에서 정보를 수집해 분석하면 더 많은, 더 정확한 공격 정보 DB를 구축할 수 있다. 이것이 ‘글로벌 위협 인텔리전스’이다.
시만텍, 팔로알토네트웍스, 포티넷, 인텔시큐리티가 주도하는 사이버위협연합(CTA)이 글로벌 인텔리전스의 가장 좋은 예이다. CTA는 1월 비영리법인으로 전환돼 전 세계 위협 정보를 수집하고 공동대응하는 기관으로 본격 출발했으며, 체크포인트, 시스코를 새로운 회원으로 맞아 더 높은 수준의 위협 인텔리전스를 구축할 수 있도록 했다.
CTA는 자동화된 위협 정보 공유 플랫폼을 개발하고, 침해지표(IOC)와 플레이북을 공유해왔다. 크립토월 v3을 발견해 피해 확산을 중단시켰으며, 크립토월 v4는 확산 초기에 발견, 분석해 성공률을 낮추면서 무력화했다.
위협 정보를 공유하기 위한 노력은 꽤 오래 전 부터 진행되어왔다. 국제적인 사이버 위협 정보 공유 협의체인 FIRST는 1990년 설립돼 전 세계 61개국 300여개 조직이 참여하고 있다. 우리나라에서는 국제적인 위협 인텔리전스 커뮤니티 ‘CAMP(Cyber-security Alliance for Mutual Progress)’가 활동하고 있으며, 국내 보안기업과의 연대 활동인 ‘C-TAS(Cyber Th reat Analysis & sharing System)’도 진행하고 있다.
민간기업은 자체적으로 수집한 인텔리전스를 활용해 위협에 대응한다. 특히 국내기업들은 우리나라에서 발생하는 위협을 가장 많이 분석하고 대응해왔다는 것을 강점으로 내세우며 위협 인텔리전스 경쟁력을 주장한다. 안랩 ACCESS와 ASEC, 시큐아이 STIC, 윈스 CAST 등이 대표적인 위협 인텔리전스 모델이다. 웹을 통한 위협을 서비스하는 전문기업도 몸값을 높이고 있다. 빛스캔의 ‘PCDS’, 엠디소프트의 망고스캔이 대표적으로 꼽힌다.
악성코드 DB 서비스 모델도 성장 가능성이 높은 비즈니스로 주목된다. 바이러스토탈의 아시아 지역 총판인 세인트시큐리티는 자체 개발한 ‘멀웨어스닷컴’도 운영하면서 국내외 악성코드를 조사하고 식별하는 서비스를 제공한다. 이스트시큐리티의 AI 기반 위협 인텔리전스 ‘아이마스’도 사업 확장 속도를 높이고 있다.
