[DT광장] 4차 산업혁명과 `사이버 위협인텔리전스`

입력: 2018-05-02 18:00

폰트

차형건 지란지교소프트 개인정보보호센터 글로벌 사업부장

차형건 지란지교소프트 개인정보보호센터 글로벌 사업부장

한 때 미국 드라마 'CSI 과학수사대'를 즐겨 봤다. 사건현장에 남겨진 족적, 혈흔, 탄흔, 지문 등 각종 흔적과 증거, 피해 상황을 바탕으로 범인의 실체에 다다르는 과정을 그린 범죄 수사 드라마다. 과학적 증거를 기반으로 현장을 재구성하며 범행 패턴을 분석해 범인의 심리상태, 특성, 경향 등을 특정 지어 범인의 프로필을 추론하고 나아가 수사방향을 제시하고 범인까지 잡아내는데 과학 수사와 프로파일링이라는 수사 기법을 활용 한다는 것도 드라마를 보면서 알게 됐다. 프로파일링은 이미 벌어진 사건의 범인을 잡는데도 쓰이지만 앞으로 벌어질 범죄를 예측하고 검거하는데도 요긴하게 활용된다.

IT나 보안쪽 일을 하는 사람들은 자주 듣겠지만 그렇지 않은 사람들에겐 사이버 위협 인텔리전스(Cyber Threat Intelligence)가 생소할지도 모른다. 사이버 위협 인텔리전스를 미국 시장 조사 전문기관 '가트너'에서는 증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보로 정의했다.

어찌 보면 사이버 위협 인텔리전스는 사이버 범죄 프로파일링이라고도 말할 수 있다. 주요 보안 위협을 수집해 과거 공격 지표 등을 비교 분석하고 연관성을 찾는 분야다. 방대한 위협지표를 바탕으로 새로 나타난 공격과 연관성을 찾는다. 급증하는 사이버 위협에 효과적으로 대응하려면 공격자가 누구인지 파악하고 공격이 이뤄지는 단계별로 방어 전략을 세워야 한다.

사이버 위협 인텔리전스와 프로파일링의 핵심은 많은 사례와 수집 데이터라고 할 수 있다. 데이터를 기반으로 한 분석능력과 방향제시는 보안담당자들이나 수사를 맡고 있는 수사관들에겐 꼭 필요한 판단 근거일 수 밖에 없다.

최근 지능형지속위협(APT: Advanced Persistent Threat), 랜섬웨어 등 알려지지 않은 형태로 고도화된 공격이 증가함에 따라 기존의 정보보안 제품으로는 선제적 대응이 어려운게 현실이다. 현재의 위협 요소에 대한 선제적 방어가 보안의 새로운 트렌드다. 알려진 공격에 대한 차단에서 알려지지 않은 공격까지 '얼마나 빨리 찾아내 대응 조치를 완료하느냐'가 관건이다. 지능형 공격을 받았다고 인지했을 때는 이미 내부에 공격이 진행된 상황이라 대응 자체가 무의미해진다. 결론적으로 공격자가 내부 침투 후, 악성코드를 심고, 악성 행위를 실행하는 전 과정을 재구성할 수 있는 능력을 갖추는 것이 지능형 공격을 막을 수 있는 유일한 방법인데 이것을 가능토록 해주는 것이 바로 위협 인텔리전스다.

다시 강조하면 위협 인텔리전스는 단순 위협 정보를 모아둔 데이터 집합체가 아닌 전술(Tactics), 기법(Techniques), 절차(Procedures) 등 공격 전반의 사항을 확실한 증거에 기반해 입체적으로 제공하는 사이버 방어 지식과 기술의 집약체다.

현재 사이버 위협 인텔리전스 서비스는 IBM, 델(Dell), 시맨텍(Symantec), 파이어아이(Fireeye), 맥아피(McAfee) 등 글로벌 기업을 중심으로 서비스되고 있다. 시장조사기관인 마켓앤마켓(MARKETSandMARKETS) 발표에 따르면 위협 인텔리전스 시장 규모는 2017년 33억3000만 달러에서 2022년 80억 4000만 달러로 연간 성장률이 18.4%로 증가할 것으로 전망했다.
국내의 경우 2017년 하반기부터 SK인포섹, 이글루시큐리티, 넥스지, 이스트시큐리티, 안랩, 세인트시큐리티 등 보안 기업 또는 보안관제 기업을 중심으로 서비스 또는 준비 중이다. 2018년 하반기엔 지란지교소프트가 글로벌 사이버 위협정보 제공기업 사이렌(CYREN)의 엔진을 기반으로 한 쓰렛필터(THREATFILTER)라는 제품을 선보인다. 국내 서비스 기업의 경우 해외 글로벌 기업 대비 시장의 후발 주자이기 때문에 해외 기업 간 CTI(Cyber Threat Intelligence) 동맹을 통해 공유 받은 위협 정보로 서비스 하거나 자체 위협 정보 공유 포탈을 이용하여 수집된 정보를 활용해 분석하고 있다. 글로벌 기업과 국내 보안기업에서 제공하는 사이버 위협 인텔리전스는 대부분 보안 관제와 연계된 서비스이기 때문에 수혜 대상이 주로 정보보호 인프라가 갖춰져 있는 대기업 또는 정부 공공기관으로 한정적일 수 밖에 없다.

최근 사이버 공격의 추세는 보안 인프라가 상대적으로 열악하며 클라우드 서비스의 이용 빈도가 높은 SMB(중소중견기업)가 대상이기 때문에, 예산 및 전문 인력이 부족한 SMB(중소중견기업)을 대상으로 한 사이버 위협 인텔리전스 서비스가 더욱 필요한 상황이다.

실제로 한국클라우드산업협회(KACI)의 '2017년도 클라우드 산업 실태조사 결과 요약 보고서'에 따르면 2017년 클라우드 총 매출액 1조 5134억 원 중 중소기업에서 5943억 원의 매출이 발생했다. 중소기업의 매출 규모는 전체의 약 39% 수준이기 때문에 비즈니스 가치도 상당히 높은 수준이다. 특히, 중소기업의 경우 2016년도 3763억 원 대비 약 58% 상승해, 중견·대기업의 성장률인 13.1% 대비 약 4배 가까운 성장폭을 보였다.

위협 인텔리전스 서비스가 국내 보안 시장에 확고히 자리 잡혀 있지 않은 초기 시장으로 보고 있으며, 상대적으로 보안 체계가 미흡한 SMB기업에는 구축형(On-Premise)보다 도입 비용이 합리적이고, 관리 및 이용의 편의성 측면에서 우수한 클라우드형 위협 인텔리전스가 필요하다고 판단된다. 특히 국내 시장은 관제서비스 이용에 따른 비용 부담과 보안인력 부족으로 인해 사이버 위협 인텔리전스 도입이 어려운 중소형 규모급 공공/기업, 그리고 호스팅 업체가 입주해 있는 데이터센터에 합리적인 가격으로 제안, 공급한다면 승산이 있을 것으로 내다본다.

위협 인텔리전스 서비스는 PC, 서버 등 IT 인프라뿐 아니라 모바일(Mobile), IoT(Internet of Things), 커넥티드 카(Connected Car) 등 다양한 환경으로까지 확장 가능하고 4차 산업혁명에서 요구하는 초연결(Hyperconnectivity) 네트워크 환경에도 대응 적용할 수 있다. 위협 인텔리전스가 프론트 포인트의 선제적 방어에 있어 효율적이고 효과적인 서비스로 자리 잡길 기대한다.

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[DT광장] 4차 산업혁명과 `사이버 위협인텔리전스`

이 시간 핫클릭

핫 이슈!