글로벌 보안업계에서 '협업'이라는 키워드가 중량감있는 변수로 부상했다. 협업에 대한 필요성을 인식한 것은 세계 곳곳에서 벌어지는 해킹사고에 대해 한 개 보안회사가 모두 대응하는 것은 불가능하다는 문제인식에서 시작됐다.
2014년 9월 팔로알토네트웍스를 포함해 시만텍, 포티넷, 인텔시큐리티 등 내로라하는 글로벌 보안회사들이 '사이버쓰렛얼라이언스(CTA)'라는 동맹을 결성한 것도 이러한 이유 때문이다.
보안회사들에게 영업비밀이나 다름없는 신종 악성코드나 공격자들이 좀비PC에 명령을 내리기 위해 구축한 C&C서버 정보 등을 공유하면 자사 비즈니스에 타격을 입지는 않을까? 뭔가 믿는 구석이 있는 것일까?
20일 비즈니스 협력 차 방한한 팔로알토네트웍스 아태지역 담당 션 두카 최고보안책임자(CSO)는 기자들과 만난 자리에서 "오히려 CTA에 참여하는 회사들이 도움을 받을 수 있는 부분들이 많다"고 설명했다.
국내서도 2014년 8월부터 한국인터넷진흥원(KISA)을 중심으로 보안회사들이 참여하는 'C-TAS'라는 사이버위협정보공유분석시스템을 마련해 운영되고 있다. 그러나 참여기업들이 공유하는 정보들이 이미 알려진 내용이거나 정말 필요한 정보가 아닌 경우가 상당수라는 얘기들이 들린다. 여러 보안회사 담당자들끼리 개인적인 커뮤니케이션을 통해 악성코드 샘플, C&C서버 주소 등을 주고 받으면서 해킹사고에 대응하는 경우는 있지만 이를 시스템화한 C-TAS는 아직까지 이렇다 할 효과를 거두지는 못하고 있다는 것이 업계의 일반적인 평가다.
CTA는 어떨까. 이곳에 참여하고 있는 보안회사들이 영업비밀에 해당할 수도 있는 고급정보들을 공유하겠냐는 질문에 두카 CSO는 "정보 공유가 제대로 안 되는 이유는 이를 소비하려는 곳은 많은데 기여하려는 곳은 없다는 것"이라며 "정보들을 공유하고 처리되는 과정을 어느 정도 메뉴얼화할 필요가 있다"고 강조했다.
그의 설명에 따르면 CTA는 회원사들끼리 고급정보를 공유하고, 마음대로 자사 서비스나 솔루션에 활용할 수 있도록 하기 위해 한 가지 대원칙을 세웠다. 회원사들이 이전에 본 적 없었던 새로운 악성코드 샘플정보를 매일 최소 1천개 이상 공유해야한다는 것이다.
실제로 CTA는 이러한 정보들이 이전에 공개된 적이 없었다는 점을 보증하기 위해 전 세계 백신회사들이 수집한 악성코드 정보를 조회해 볼 수 있는 바이러스토털을 기준으로 한다. 공유시점으로부터 48시간 이전에 바이러스토털에서 검색되지 않는 정보에 대해서만 1천개 중에 포함되는 것으로 인정된다.
CTA는 이와 함께 3가지 조건 중 최소 1가지를 만족시켜야 회원사로서 고급정보들을 활용할 수 있다고 설명하고 있다. 먼저 모바일 악성코드의 경우 매일 최소 50개 이상 새로운 샘플(APK, DEX파일 혹은 자주 쓰이는 모바일 악성코드 파일포맷)을 제공해야한다. 이 역시 공유시점으로부터 최소 48시간 이전에는 바이러스토털에서 검색되지 않는 것이어야 한다. 또 다른 조건은 일주일 동안 좀비PC로 이뤄진 봇넷을 조종하는 C&C서버, P2P노드 등에 대해 최소 100건 이상 정보를 공유해야한다는 것이다. 이 역시 제우스트랙커(ZeusTracker)와 같이 공개포럼에서는 본 적이 없는 정보여야만 인정된다. 두 가지 모두 해당 사항이 없다면 일주일 동안 최소 100개 이상 공격용 웹사이트에 대한 정보를 공유해야한다. 이 역시 이전에 회원사들이 제공하지 않았었던 것이어야 한다.
이렇게 수집되는 정보들은 각 보안회사들이 미처 파악하지 못했던 고급정보들일 가능성이 크다. 회원사로 참여해 이러한 정보들을 마음대로 활용할 수 있도록 한 대신 정보의 질적 수준을 보장하기 위해 까다로운 조건을 단 것이다.
국내 기업들이 C-TAS에 보다 적극적으로 참여할 수 있도록 독려하기 위해 참고할만한 사항이다.
두카 CSO는 "새해에도 CTA를 포함한 위협 인텔리전스 정보를 공유하는데 동참하는 조직들이 늘어날 것"이라며 "미국의 경우 주요 은행들이 금융서비스정보공유분석센터(FS-ISAC)를 운영하면서 금융 분야를 노린 공격자들의 해킹을 어렵게 하고 있다"고 밝혔다.
이와 함께 두카 CSO는 자사 보고서를 인용, 올해 보안업계가 주목해야 할 전망을 6가지로 요약했다. 먼저 랜섬웨어의 증가다. CTA 보고서에 따르면 랜섬웨어는 짧은 시간 내에 막대한 금전적 이득을 취할 수 있기 때문에 최근 들어 사이버 범죄조직들이 선호하는 수단인 것으로 나타났다. 이 보고서는 악명 높은 랜섬웨어인 '크립토월3.0'이 3억2천500만달러 수익을 범죄자들에게 가져다 준 것으로 분석했다. 이밖에 모바일 기기를 노린 랜섬웨어의 출현도 확대될 것으로 전망된다.
두번째로는 앞서 밝힌 CTA와 같은 위협 인텔리전스 공유체계가 어느 때 보다도 활발해질 것으로 예상된다. 수많은 변종 악성코드를 만들어 내 보안솔루션을 우회하는 수법들이 정보공유를 통해 큰 효과를 거두지 못하도록 하려는 움직임이 커지고 있기 때문이다. 정보공유를 통해 개별 보안회사들이 대응하는 것에 비해 방어비용을 줄일 수 있고, 공격자들은/ 전혀 다른 새로운 악성코드나 취약점 공격을 개발하는데 더 많은 비용을 들이도록 해 공격을 예방하는 효과를 거둘 수 있을 것으로 예상된다.
관련기사
- 국내 보안 전문가들 "한국 겨냥 맞춤형 위협 증가 경고"2016.01.20
- "보안 인텔리전스, 실행이 답이다"2016.01.20
- '혼자선 못막는다'...글로벌 보안 협업 주목2016.01.20
- 거대 보안 업계, 인텔리전스 놓고 격돌2016.01.20
세번째로는 한번 보안정책을 통과해 내부에 들어 온 사용자, 기기, 트래픽 등에 대해서는 안전하다고 판단하는 이전 방식에서 벗어나 내부에서도 끊임없이 사용자들이 권한이 없는 애플리케이션에 접속한다던가 하는 등 이상행위를 검증한다는 개념으로 '제로 트러스트(Zero Trust)' 기반 보안모델이 주목받을 것으로 전망된다.
이밖에도 2020년 200억대 이상 기기가 인터넷을 통해 서로 연결될 것으로 예상되는 만큼 사물인터넷(IoT)에 대한 보안 위협이 늘어나고, 웹사이트 내 광고플랫폼 등을 악용해 2차 피해를 유발하는 사이버 공격이 중가하고, 사이버 범죄 관련 전 세계 각국이 이를 막고 소비자들을 보호하기 위한 법률을 강화할 것으로 예상된다.