포티넷, 인텔시큐리티(맥아피), 시만텍, 팔로알토네트웍스 등 글로벌 보안회사들이 보안위협정보를 공유하기 위한 협업에 나섰다. 정부가 아닌 민간업체들이 주도적으로 참여하는 연합을 결성한 것은 이례적인 일이다.
25일 서울 삼성동 포티넷코리아 사옥에서 개최된 기자간담회에서 데릭 맨키 포티넷 글로벌 보안전략가는 보안 위협에 대한 인텔리전스를 공유하기 위해 지난해 5월부터 새로운 이니셔티브를 결성했다고 밝혔다.
4개 보안회사들이 창립멤버로 참여한 사이버쓰렛얼라이언스(cyberthreatalliance.org, CTA)는 최근 버락 오바마 미국 대통령이 스탠포드대에서 개최한 '사이버안보정상회의'에서도 중요한 이니셔티브라고 언급 했을 정도로 관심을 받고 있다. 지난달에는 스페인 최대 이동통신회사인 텔레포니카와 보안회사 바라쿠다 등 4개 업체가 새로운 멤버로 합류했다.
이니셔티브를 만드는데 주도적으로 참여한 인물 중 한 명이 데릭 맨키다. 그는 현재는 악성코드 샘플, 악성 웹사이트, 관련 서버 정보 등을 공유하고 있지만 앞으로는 보안침해지표(IoC) 등까지 포괄적으로 공유해 나갈 계획이라고 밝혔다.
왜 글로벌 보안회사들이 자사 영업비밀에 해당할 수도 있는 보안위협정보들을 공유하기 시작했을까. 전 세계에 걸쳐 발생하고 있는 수많은 공격에 대응하기 위해서는 위협정보를 서로 공유해야한다는 인식이 확산되고 있기 때문이다. 포티넷 외에 시만텍, 파이어아이 등 보안회사들이 저마다 글로벌 보안위협에 대한 인텔리전스를 확보하고 있다고 강조하고 있으나 이와 별개로 자사가 미처 파악하지 못했던 정보들을 주고 받으면서 실시간으로 위협에 대응할 수 있도록 하겠다는 것이다.
그러나 데릭 맨키는 정보는 공유하되 각 사가 갖고 있는 보안 기술노하우까지 공유하자는 것은 아니다라고 설명했다. 예를들어 포티넷이 CTA를 통해 맥아피로부터 보안위협 정보를 공유받았다고 하더라도 여기에 대해서 대응할 방법을 찾는 것은 각각 회사들 몫이라는 것이다.
공유하는 정보의 질을 높이기 위해 참여회사는 바이러스토털에 48시간 안에 보고되지 않은 최소 1천개 이상 악성코드 샘플을 공유해야 한다.
CTA는 미국 국토안보부가 지원하는 정보보안연구기관인 MITRE가 자국 내 사이버위협 정보공유를 위한 표준규격으로 적용하고 있는 '사이버위협정보표현규격(STIX)', '사이버위협정보전송규격(TAXII)' 등을 도입해 일괄적으로 정보를 공유할 수 있도록 했다.
보안 위협 정보를 공유할 때 가장 문제가 되는 것 중 하나는 자사 고객사에서 나온 정보를 다른 회사에 공유할 수 있냐는 것이다. 프라이버시 침해 혹은 고객사 내부 정보가 외부로 공개될 수 있다는 우려가 나오는 것이다.
관련기사
- 글로벌 보안 업계, 경쟁우위로 인텔리전스 전진배치2015.02.25
- "지능형 보안 위협 막는 키워드는 인텔리전스"2015.02.25
- IBM "올해 실시간 통합 보안서비스 주력"2015.02.25
- LG전자, 4개 사업본부 대수술...고객 지향 솔루션 체제로2024.11.21
이와 관련 데릭 맨키는 PII(Personally Identifiable Information)을 통해 피해를 입은 고객사 담당자가 누구 인지 등을 특정하지 않고, 보안위협과 관련된 정보 자체에 대해서만 공유할 수 있도록 하고 있다고 밝혔다. 다시 말해 누가 공격을 받았는지는 확인할 수 없도록 하는 대신 공격이 어떤 형태로 들어왔는지, 여기 활용된 악성코드나 C&C서버 정보 등은 공유할 수 있도록 한다는 것이다.
그는 우리나라의 경우 한국인터넷진흥원(KISA)에 속한 인터넷침해대응센터(KrCERT)가 충분한 참가자격을 갖추고 있다며 국내 보안회사들에게도 참여를 독려할 계획이라고 덧붙였다.