1999년 개봉한 영화 ‘매트릭스’에는 자신이나 타인을 복제하여 수를 늘리고 그 실체를 위장하는 ‘스미스 요원’이 등장한다. 30년이 지난 지금, 오늘날의 보안 담당자들은 마치 스미스 요원을 상대하는 것과 같은 어려움을 겪고 있다. 하루에 수만 건이 넘게 발생하는 보안 경보를 정탐과 오탐으로 분류하고, 공격 피해에 대한 추가 분석을 수행해야 하기 때문이다. 영화의 주인공인 ‘네오’처럼 뛰어난 역량을 가진 보안관제 요원일지라도 매일 만 건 이상의 보안 경보를 분석한다는 것은 현실적으로 쉬운 일이 아니다.

지재원 이글루시큐리티 과장
지재원 이글루시큐리티 과장

 

다양한 경로에서 수집된 최신 위협 정보를 미리 입수한다면 어떨까? 수많은 잠재적 공격자에 맞서 일일이 보안 경보를 분석해야 했던 어려움을 해소하고, 고도화된 보안 위협에 보다 신속하게 대응할 수 있지 않을까? 이와 같은 배경에서 외부 보안 위협에 대한 정보를 파악·분석하는 ‘위협 인텔리전스(Threat intelligence)’와 필요시 범국가적인 공동 대응에 나서 피해 확산을 막는 위협 정보 수집·공유 플랫폼 구축의 중요성이 부각되게 되었다. 

이에, 이글루시큐리티를 비롯한 국내외 주요 보안 기업과 기관들은 위협정보 공유체계를 통해 수많은 위협 정보를 공유하고 있다. C&C 서버로 사용되는 도메인 주소 및 URL 등의 흔적부터 ▶공격자의 정체를 파악할 수 있는 전술/도구, 공격 기법 및 공격 절차(TTPs), ▶향후 발생 가능성이 높은 공격을 사전에 차단·탐지하거나 현재 발생 중인 공격에 대응하기 위한 룰이나 방법, ▶공격 맥락을 살펴볼 수 있는 상세 정보(위협 주체/멀웨어/기법 등)들을 포함한 분석 보고서 등 다양한 정보가 공유되고 있다.

위협 인텔리전스는 특히 보안관제센터에서 보안 경보를 분석할 때 판단에 참고하는 근거 자료로 유용하게 활용될 수 있다. 예를 들어, 특정 기관에 대규모 분산서비스 거부공격(DDoS) 공격이 발생했다면 공격에 사용된 IP가 내부 네트워크로 유입되지 못하게 방화벽 차단 정책을 설정할 수 있다. 또, C&C IP 정보를 확인했다면, 해당 IP와 내부 시스템이 통신한 기록이 있는지를 검색하는 방식으로 악성코드 감염 여부와 추가 피해를 빠르게 확인하고 대응할 수 있을 것이다.

보안관제센터의 위협 인텔리전스 적용 및 처리 프로세스 예시
보안관제센터의 위협 인텔리전스 적용 및 처리 프로세스 예시

일반적으로 보안관제센터에서는 위협 인텔리전스를 아래와 같은 과정을 통해 활용하고 있다. 먼저, 보안관제 대상과 연관성이 있는 정보를 선별한다. 예를 들어, 소프트웨어나 하드웨어의 버그 및 보안 취약점 등을 이용해 공격자의 의도된 동작을 수행하는 취약점 공격의 경우, 취약점이 패치된 제품을 사용하고 있거나 위협 정보에서 제시하는 취약점이 없는 소프트웨어나 하드웨어를 사용하고 있을 시에는 관제 대상에 위협 정보를 적용할 필요는 없을 것이다. 

정보의 신뢰성을 다시 한번 검토하는 과정 역시 중요하다. 공개된 출처에서 얻은 오픈소스 인텔리전스(OSINT)의 경우 일반적으로 높은 신뢰성이 보장되나, 최초 분석가의 잘못된 판단이나 정보 처리자의 단순한 실수에 의해 잘못된 정보가 전해질 가능성이 남아 있다. 공격 목적, 방법, 공격자 간의 협업 관계 등을 잘 이해하고 있고 고급 인텔리전스 정보를 잘 활용할 수 있는 보안 전문가들을 통해 불필요하거나 부정확한 정보를 걸러낼 필요가 있다.

다음은 정보의 연관성과 신뢰성을 따져보는 과정을 거쳐 선별한 위협 정보를 보안관제에 적용할 차례다. 방화벽, IDS/IPS, 안티 바이러스, APT 솔루션 등 단일 보안 장비에서 일일이 정보를 식별하는 데는 한계가 있는 만큼, 일반적으로 이기종의 보안 장비에서 생성되는 보안 이벤트를 한곳에 모아 분석하는 SIEM 솔루션을 활용해 개개의 단일 장비에 적절한 탐지 및 차단 정책을 적용하고 또 이에 대한 보안 경고 발생 여부를 실시간으로 확인하고 있다.

SIEM을 통한 위협 인텔리전스 활용 개념도
SIEM을 통한 위협 인텔리전스 활용 개념도
SIEM을 활용한 위협정보 설정 및 활용방법
SIEM을 활용한 위협정보 설정 및 활용방법

지금까지 보안관제의 효율성을 높이기 위한 위협 인텔리전스 활용 방안에 대해 알아보았다. 위협 인텔리전스는 적과 나에 대한 정보를 모두 담고 있는 소중한 정보다. 누가 나를 왜 공격하는지, 어떠한 전략·전술을 구사하는지, 나의 어떤 약점을 노릴 가능성이 높은지에 대해 알 수 있다면, 수많은 보안 경보에 섞여 있는 악의적인 행위를 보다 정확하게 식별할 수 있어 방어가 한결 쉬워질 수 있을 것이다. 즉, 위협 인텔리전스는 현재와 미래의 위협에 보다 기민하게 대처할 수 있는 단서를 제시한다.

하지만, 가장 중요한 것은 위협 인텔리전스를 어떻게 분석하고 활용하냐에 달려 있다. ‘구슬이 서 말이라도 꿰어야 보배’라는 속담처럼, 아무리 많은 정보라도 이를 잘 분석하고 활용하지 못한다면 가치 있는 정보라 말할 수 없을 것이다. 위협 정보를 쌓아놓고 안심하는 것에서 더 나아가, ‘기업’에 해당되는 ‘믿을 수 있는’ 위협 정보를 분석하고 피드백을 주고받아 적시에 활용함으로써, 위협 인텔리전스의 가치와 보안관제의 효율성을 높였으면 한다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사