최근 들어 글로벌 보안회사들이 강조한 키워드 중 하나가 '인텔리전스'다. 전 세계 고객사들을 대상으로 구축한 보안 인프라에서 나온 정보들을 분석해 클라우드 기반 정보 공유 시스템에 모아 다른 곳에서 발생하는 비슷한 위협에 대해 실시간으로 빠르게 대응하겠다는 것이다.
왜 인텔리전스일까. 지난해 미국 샌프란시스코에서 개최된 RSA 컨퍼런스2014에서 발표를 맡은 시만텍 보안 인텔리전스 및 기술 담당 스테판 트릴링 부사장은 지능형 공격에 대한 징후는 수 초, 수 분, 수 시간이 아니라 수 주, 수 개월, 수 년에 걸쳐서 장기간으로 나타난다며 결국 특정 보안회사에 국한되지 않고, 전 세계를 한 눈에 볼 수 있는 보안시스템이 필요하다고 주장했다. 공격 자체가 한번에 파악되지 않을 만큼 장기간 치밀한 준비 끝에 이뤄지고 있다는 점에서 대응 역시 장기간에 걸쳐 여러 곳에서 나오는 정보를 한 눈에 보고 파악할 수 있어야 한다는 것이다.
이러한 개념을 수 년 전부터 도입한 시만텍과 함께 인텔 시큐리티(맥아피), 카스퍼스키랩, 트렌드마이크로는 물론 블루코트, 파이어아이 등도 저마다 인텔리전스를 확보하고 있다는 점을 자사 경쟁력으로 강조하는 추세다.
서버, 스토리지, 네트워킹 등을 종합적으로 제공하고 있는 IT인프라 회사인 IBM, HP 등도 각각 큐레이더, 아크사이트라는 보안이벤트정보관리(SIEM) 솔루션과 기존에 구축한 서버, 스토리지 등으로부터 취합한 정보를 기반으로 인텔리전스를 확보하고 있다는 점을 전면에 내세우고 있다.
보안에서 말하는 인텔리전스에 사용되는 재료들은 다양하다. 백신 등 사용자 PC 단에 설치되는 엔드포인트 보안솔루션을 통해 확보한 악성코드 정보, 방화벽, 침입방지시스템(IPS), 샌드박스 등 기능을 구현하는 네트워크 보안전용 서버를 통해 얻은 웹취약점이나 해커들이 감염된 PC에 접속해 악성명령을 내릴 수 있게 하는 C&C서버, 악성URL 정보, 스팸 정보, 보안업데이트가 이뤄지지 않은 제로데이 취약점, 이를 악용한 일련의 공격수법인 익스플로잇 등이 분석대상이 된다.
시만텍코리아의 윤광택 이사는 지능형 공격이 등장하기 시작한 이후로 보안 위협에 대한 인텔리전스가 부각되고 있다며 매일 위협 정보를 수집하다보니 빅데이터가 쌓이고, 이를 어떻게 잘 활용할 수 있을가를 고민하면서 나오게 된 것이 인텔리전스라고 밝혔다.
같은 인텔리전스라도 글로벌 보안회사들이 저마다 갖고 있는 역량에 따라 주특기는 달라진다. 사용자 PC에 백신 등 엔드포인트 보안제품 설치를 기반으로 하는 시만텍, 카스퍼스키랩, 인텔 시큐리티(맥아피), 트렌드마이크로 등은 그동안 수집해 온 방대한 악성코드 동향 정보가 재료가 된다.
파이어아이의 경우 자체 가상머신 엔진을 도입해 보안서버와 맞물린 가상환경에서 미리 실행파일, 이메일 첨부파일 등의 악성여부를 파악한다. 네트워크 보안회사인 블루코트는 웹취약점, C&C서버 정보, SSL로 암호화된 트래픽에 대한 악성여부 분석 정보 등을 기반으로 인텔리전스를 말한다. IBM, HP는 전 세계에 자사 솔루션으로 구축한 데이터센터로부터 나오는 보안로그들에 대한 분석이 기반이 된다.
한국IBM 보안사업 담당 박형근 부장은 보안 인텔리전스는 기본적으로 동의한 고객들로부터 보안정보를 수집해 분석한 뒤 인사이트를 확보해 다른 고객들에게 도움이 될 수 있도록 하겠다는 개념이라며 각 기업, 기관, 보안회사들이 보유하고 있는 침해사고대응팀(CERT)이 알기 어려운 최신 위협 정보에 대해 공유하는 역할을 한다고 밝혔다.
최근에는 국내에서 발생한 한국수력원자력 해킹 사건과 같이 그동안 안전하다고 여겨졌던 내부망까지 해킹 위협에 노출되기 시작했다. 백신, 방화벽, IPS, 샌드박스 등을 통해 경계를 지키는 것만으로 공격을 막아내기가 점점 더 어려워지고 있는 것이다.
이에 따라 보안 인텔리전스도 양 보다 질이 중요한 시점이 됐다. 블루코트 코리아 고재훈 부장은 앞으로 보안 인텔리전스는 얼마나 잘 막을 수 있는가 뿐만 아니라 막지 못한 공격을 얼마나 빨리 발견해서 어떻게 뚫렸는지에 대한 원인을 빠르고 정확하게 파악할 수 있는 로드맵이 있는가가 중요해질 것이라고 말했다.
윤 이사는 매시간 쏟아지는 보안 관련 데이터량이 어마어마하다며 핵심은 이를 통해 정말 위험한 정보가 뭔지를 찾아내는 작업이 될 것이라고 밝혔다.
여러 글로벌 보안회사들이 저마다 강점을 내세워 차별화된 인텔리전스를 제공한다고 말하고 있지만 위협에 제대로 대응하기 위해서는 이들 간에도 정보공유와 협업이 필요해질 것으로 전망된다. 물론 자사 고유 정보들을 서로 내놓아야한다는 점에서 쉬운 작업은 아니다. 그럼에도 불구하고, 실제로 일부 회사들 간에는 교류가 이뤄지고 있다. 지난해 9월 시만텍, 인텔 시큐리티(맥아피), 팔로알토 네트웍스, 포티넷은 '사이버 쓰렛 얼라이언스'라는 정보공유시스템을 만들어 공동대응하겠다는 방침을 발표하기도 했다.
또 하나 보완해야할 점은 보안 인텔리전스를 확보하려고 해도 주요 고객사에서 정보를 얼마나 공유하려고 할 것이냐에 대한 것이다.
관련기사
- "지능형 보안 위협 막는 키워드는 인텔리전스"2015.01.20
- 빅데이터 활용한 보안 기술 확대일로2015.01.20
- IBM "올해 실시간 통합 보안서비스 주력"2015.01.20
- 비트코인 9만9천 달러 돌파...SEC 위원장 사임 소식에 급등2024.11.22
한국HP ESP 총괄 박진성 이사는 수많은 설치 기반 보안툴들에서 인텔리전스를 확보하기 위한 정보를 수집한다고 하지만 고객사에서 자사 정보가 공개되는 것을 원치않는 경우가 상당수라고 지적했다.
이를 보완하기 위해 HP의 경우 라이트하우스, 제로데이이니셔티브(ZDI)를 운영 중이다. 라이트하우스는 우리나라 말로 등대를 말한다. 전 세계 핵심 지역에 위협정보를 제공에 동의하는 일종의 표본 고객사로부터 정보를 수집하는 방법이다. ZDI는 HP가 운영 중인 취약점 신고 포상제도(버그바운티)를 운영 중인 조직이다. 이곳에 들어온 신고 내역과 함께 위협정보를 전문적으로 수집하는 서드파티 회사들과 협력을 통해 필요한 정보를 얻는다는 설명이다.