지난해부터 글로벌 보안회사들의 발표에 빠지지 않고 등장하는 키워드가 '인텔리전스(Intelligence)'다. 해당 회사가 전 세계에 구축한 보안장비(보안센서)를 통해 수집한 위협정보 및 악성행위 분석정보를 클라우드 환경에서 공유해 똑같은 공격이나 유사 공격에 당하지 않도록 막겠다는 전략이다.
지난해 이슈가 된 하트블리드, 셸쇼크 등 취약점 등 전 세계적으로 영향을 미치는 보안 위협이나 알려지지 않은 취약점을 악용한 지능형 공력에 대응하기위해 인텔리전스는 중량감이 큰 키워드라는 게 업계 설명이다.
이러한 전략에 대해 지난해 RSA컨퍼런스에서 기조연설을 맡은 스테판 트릴링 시만텍 보안 인텔리전스 및 기술 담당 부사장은 지능형 공격에 대한 징후는 수 초, 수 분, 수 시간이 아니라 수 주, 수 개월, 수 년에 걸쳐서 장기간으로 나타난다며 결국 특정 보안회사에 국한되지 않고, 전 세계를 한 눈에 볼 수 있는 보안시스템이 필요하다고 밝혔다.
시만텍과 함께, 인텔시큐리티(맥아피), 카스퍼스키랩, 트렌드마이크로, 블루코트, 파이어아이, 포티넷 등 주요 글로벌 보안회사들이 저마다 인텔리전스를 확보하고 있다는 점을 강점으로 내세우고 있다.
최근 방한한 데릭 맨키 포티넷 글로벌 보안전략가에 따르면 서로 경쟁관계에 있는 보안회사들 사이에도 인텔리전스 정보를 공유하기 시작했다. 지난해 5월 포티넷, 인텔시큐리티, 시만텍, 팔로알토네트웍스가 핵심멤버로 참여하는 사이버쓰렛얼라이언스(cyberthreatalliance.org, CTA)가 대표적이다.
미국의 경우 정부가 나서서 직접 인텔리전스 정보 공유 강화를 외치고 있다. 최근 미국 버락 오바마 대통령은 '사이버위협정보통합센터(CTIIC)'를 설치해 사이버 테러와 관련 정보를 공유한다는 방침을 발표하기도 했다.
국내 보안업계에서도 인텔리전스의 중요성을 인식해 글로벌 보안회사들과 협업하는 사례들이 늘고 있다.
한국인터넷진흥원(KISA)은 시만텍, 파이어아이, 블루코트, 포티넷 등과 인텔리전스 정보를 공유하고 있다. 파이어아이의 경우 국내 보안회사 인포섹은 물론, 경찰청 사이버안전국과도 사이버범죄 예방을 위해 협력한다는 방침을 밝힌 바 있다.
안랩 역시 인텔리전스의 중요성에 대해 인식하고 있다. 지난해 이 회사가 개최한 연례 보안 컨퍼런스인 '안랩 ISF 2014'에서 권치중 안랩 대표는 벼가 데이터라면 이를 수확해 얻는 쌀이라는 정보로 맛있는 밥을 짓는 것이 안랩이 생각하는 인텔리전스라고 강조했다.
이 회사는 5년 전부터 안랩스마트디펜스(ASD)라는 클라우드 기반 엔진을 통해 9억5천만개 이상 악성파일 분석 정보, 3억개 가량 악성 URL 정보, 1천만개 악성활동 정보 등 국내서 가장 많은 보안분석 DB를 구축해 활용하고 있다는 점을 강조한 바 있다. 다만 공격은 전 세계에 걸쳐서 발생하고 있기 때문에 글로벌 시장에서 발생하는 공격에 대해서는 정보가 부족한 실정이다.
IBM 보안사업 담당 박형근 부장은 각 회사들마다 백신 등 엔드포인트 보안솔루션, 차세대 방화벽, 샌드박스, 보안이벤트정보공유(SIEM)와 같이 주력하고 있는 분야를 중심으로 인텔리전스 정보를 수집하고 있다며 보안전문가 입장에서는 옆동네 정보 또한 중요하다고 말했다.
심지어 최근에는 페이스북까지 직접 나서 주요 인터넷 기업들과 정보를 공유할 수 있게하는 '쓰렛익스체인지(ThreatExchange)'라는 웹사이트를 구축하기도 했다.(관련기사 : 페북, 보안정보공유 생태계 구축 나선다)
관련기사
- 차세대 네트워크 보안, 숨가쁜 대권 레이스2015.03.04
- 새 IT패러다임 뜨니 신규 보안 시장 관심집중2015.03.04
- 기술-규제 대격변…보안 시장 새판 짜진다2015.03.04
- 글로벌 보안회사, 정보공유 협업 확대2015.03.04
글로벌 보안 회사들이 인텔리전스를 확보하는 일이 생각보다 쉬운 작업은 아니다. 한국HP ESP 총괄 박진성 이사는 고객들이 인텔리전스 정보를 확보하기 위해 자사 정보가 공개되는 것을 꺼리는 경우도 많다고 밝혔다. 이를 보완하기 위해 HP의 경우 보안위협정보를 동의한 고객사들로부터 표본 형태로 추출하는 라이트하우스, 취약점 신고 포상제도(버그바운티) 제로데이이니셔티브(ZDI) 등을 운영 중이다.(관련기사 : 글로벌 보안회사, 정보공유 협업 확대)
또한 박 이사는 인텔리전스 DB를 얼마나 많이 갖고 있는지 자체 보다도 얼마나 빠르게 해당 정보를 필요한 곳에 내려줄 수 있는지에 대한 갱신주기가 중요하다고 설명했다.