급증하는 사이버 위협에 효과적으로 대응하기 위해서는 방대한 위협지표를 바탕으로 과거 공격 지표 등을 비교 분석하고 새로 나타난 공격과 연관성을 찾는 ‘사이버 위협 인텔리전스’가 필요하다. 이는 대부분 보안 관제와 연계된 서비스이기에 보안 인프라가 갖춰져 있는 대기업 위주로 활용되고 있지만, 최근 사이버 공격 추세가 SMB를 대상으로 하는 만큼 이들을 위한 서비스가 더욱 절실하게 요구되고 있는 실정이다. <편집자>
‘사이버 위협 인텔리전스(Cyber Threat Intelligence)’라는 말은 IT나 보안 쪽 일을 하는 사람들은 자주 듣겠지만 보통 사람들에겐 생소할지도 모른다. 시장조사기관 가트너는 사이버 위협 인텔리전스를 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보로 정의하고 있다.
사건현장에 남겨진 흔적과 증거, 피해 상황을 바탕으로 현장을 재구성하며 범행 패턴을 분석해 범인의 심리상태, 특성, 경향 등을 특정 지어 범인의 프로필을 추론하고, 나아가 수사방향을 제시하는 수사 방법을 프로파일링이라고 한다. 이미 벌어진 사건의 범인을 잡는데도 쓰이지만 앞으로 벌어질 범죄를 예측하고 검거하는데도 요긴하게 활용되고 있다.
사이버 위협 인텔리전스는 사이버 범죄 프로파일링이라고도 말할 수 있다. 주요 보안 위협을 수집해 과거 공격 지표 등을 비교 분석하고 연관성을 찾는 분야다. 방대한 위협지표를 바탕으로 새로 나타난 공격과 연관성을 찾는다. 급증하는 사이버 위협에 효과적으로 대응하려면 공격자가 누구인지 파악하고 공격이 이뤄지는 단계별로 방어 전략을 세워야 한다.
사이버 방어 지식·기술 집약체
사이버 위협 인텔리전스와 프로파일링의 핵심은 많은 사례와 수집 데이터라고 할 수 있다. 데이터를 기반으로 한 분석능력과 방향 제시는 보안담당자들이나 수사를 맡고 있는 수사관들에겐 꼭 필요한 판단 근거일 수밖에 없다.
최근 지능형지속위협(APT: Advanced Persistent Threat), 랜섬웨어 등 알려지지 않은 형태로 고도화된 공격이 증가함에 따라 기존의 정보보안 제품으로는 선제적 대응이 어려운 것이 현실이다. 현재의 위협 요소에 대한 선제적 방어가 보안의 새로운 트렌드다. 알려진 공격에 대한 차단에서 알려지지 않은 공격까지 ‘얼마나 빨리 찾아내 대응 조치를 완료하느냐’가 관건이다.
지능형 공격을 받았다고 인지했을 때는 이미 내부에 공격이 진행된 상황이라 대응 자체가 무의미해진다. 결론적으로 공격자가 내부 침투 후 악성코드를 심고, 악성 행위를 실행하는 전 과정을 재구성할 수 있는 능력을 갖추는 것이 지능형 공격을 막을 수 있는 유일한 방법이며, 이것을 가능하게 해주는 것이 바로 위협 인텔리전스다.
다시 강조하면 위협 인텔리전스는 단순 위협 정보를 모아둔 데이터 집합체가 아닌 전술(Tactics), 기법(Techniques), 절차(Procedures) 등 공격 전반의 사항을 확실한 증거에 기반해 입체적으로 제공하는 사이버 방어 지식과 기술의 집약체다.
보안 인프라 부족한 SMB에 절실
현재 사이버 위협 인텔리전스 서비스는 IBM, 델(Dell), 시만텍(Symantec), 파이어아이(Fireeye), 맥아피(McAfee) 등 글로벌 기업을 중심으로 서비스되고 있다. 시장조사기관인 마켓앤마켓(MARKETSandMARKETS)의 발표에 따르면 위협 인텔리전스 시장 규모는 2017년 33억3000만 달러에서 2022년 80억4000만 달러로 연간 18.4%의 성장률로 증가할 것으로 전망된다.
국내의 경우 2017년 하반기부터 SK인포섹, 이글루시큐리티, 넥스지, 이스트시큐리티, 세인트시큐리티 등 보안 기업 또는 보안관제 기업을 중심으로 사이버 위협 인텔리전스를 준비 중이거나 서비스를 개시했다. 국내 기업의 경우 시장에서는 글로벌 기업 대비 후발 주자이기 때문에 해외 기업 간 CTI(Cyber Threat Intelligence) 동맹을 통해 공유 받은 위협 정보로 서비스 하거나 자체 위협 정보 공유 포털로 수집된 정보를 활용해 분석하고 있는 실정이다.
글로벌 기업과 국내 보안 기업에서 제공하는 사이버 위협 인텔리전스는 대부분 보안 관제와 연계된 서비스이기 때문에 수혜 대상이 주로 정보보호 인프라가 갖춰져 있는 대기업 또는 정부 공공기관으로 한정될 수밖에 없다.
최근 사이버 공격의 추세는 보안 인프라가 상대적으로 열악하며 클라우드 서비스의 이용 빈도가 높은 중소중견기업(SMB)이 대상이기 때문에, 예산 및 전문 인력이 부족한 SMB를 대상으로 한 사이버 위협 인텔리전스 서비스가 더욱 필요한 상황이다.
합리적인 비용으로 관리·이용 편의성↑
한국클라우드산업협회(KACI)의 ‘2017년도 클라우드 산업 실태조사 결과 요약 보고서’에 따르면 2017년 클라우드 총 매출액 1조5134억 원 중 중소기업에서 5943억 원의 매출이 발생했다. 중소기업의 매출 규모는 전체의 약 39% 수준이기 때문에 비즈니스 가치도 상당히 높은 수준이다. 특히 중소기업의 경우 2016년도 3763억 원 대비 약 58% 상승해 중견·대기업의 성장률인 13.1% 대비 약 4배 가까운 성장폭을 보였다.
지란지교소프트는 위협 인텔리전스 서비스가 국내 보안 시장에 확고히 자리 잡혀 있지 않은 초기 시장으로 보고 있으며, 상대적으로 보안 체계가 미흡한 SMB에는 구축형(On-Premise)보다 도입 비용이 합리적이고, 관리 및 이용의 편의성 측면에서 우수한 클라우드형 위협 인텔리전스가 필요하다고 판단, 시장 진출을 준비 중이다.
지란지교소프트는 10년 전부터 글로벌 사이버 위협 정보 제공 전문 기업 ‘사이렌(Cyren)’의 아시아퍼시픽 기술 및 영업 파트너로서 위협정보 DB를 상호 구축, 공유하고 있다. 사이렌과 지란지교소프트 외 전 세계 파트너를 통해 취합된 위협 DB를 구축하고, 핵심 엔진 및 API 시스템 개발에 매진하고 있다.
지란지교소프트는 PC, 서버 등 IT 인프라 뿐 아니라 모바일, 사물인터넷(IoT: Internet of Things), 커넥티드 카 등 다양한 환경으로까지 확장 가능하고 4차 산업혁명에서 요구하는 초연결(Hyperconnectivity) 네트워크 환경에도 대응할 수 있는 위협 인텔리전스 서비스 제공을 목표로 삼고 있다. 국내 SMB 대상의 엔드포인트 정보유출 솔루션을 성공적으로 서비스하고 있다고 평가 받는 만큼 이 서비스 또한 SMB 시장 내에서 프론트포인트의 선제적 방어에 있어 효율적이고 효과적인 서비스로 자리 잡길 기대한다.
