포스팅 내용

전문가 기고

위협 인텔리전스와 위협 정보 공유 체계(STIX / TAXII)가 필요한 이유



최근 4차 산업 혁명부터 5G 네트워크까지 정보화 기술이 빠르게 발전하며, 데이터·네트워크·단말기들은 점점 더 방대하고 복잡해지고 있다. 언제 어디서나 인터넷에 접속하여 연결된 정보를 활용한다는 것은 편리함을 줌과 동시에, 그만큼 보안 위협에 더 노출된다는 것을 의미할 수도 있다. 데이터가 돈이 되는 세상에서 현재의 사이버 공간은 해커들이 신나게 먹잇감을 찾아 활개치는 무대이다. 해커들은 더욱 체계적이고 치밀한 공격을 통해 위협을 만들어내고 있으며, 그 위협은 앞으로도 계속 증가할 것이다. 


이에 대응하기 위해 보안업체 또한 새로운 방어체계를 갖춘 EDR, SOAR, MDR 등의 솔루션을 개발하고 있는데, 이러한 솔루션과 함께 시너지를 낼 수 있는 ‘위협 인텔리전스 (Threat Intelligence)’가 필수요소로 손꼽히고 있다.


위협 인텔리전스는 새롭게 등장한 개념은 아니다. 인터넷이 본격적으로 보급되기 시작했을 때 스팸메일을 효율적으로 차단할 수 있던 ‘스팸하우스(SPAMHAUS)’가 대표적인 사례인데, 스팸 위협을 차단하기 위해 SBL(Spamhaus Block List)을 활용하던 것처럼 해커의 공격을 방어하기 위해 필요한 데이터와 정보, 그리고 해석되고 도출된 인텔리전스가 위협 인텔리전스에 해당한다.


위협 정보 공유, 왜 필요한가


데이터와 정보는 분석하고 활용할 때 가치를 지니지만, 각자 보유하고 있는 데이터와 정보 자체가 보안회사의 경쟁력이기 때문에 이를 개방하거나 공유하는 사례가 적기에 다른 업체에서 만든 플랫폼에 참여하기 어려운 것이 사실이다. 하지만 계속되는 사이버위협에 대응하기 위해 위협 정보 공유의 필요성은 계속해서 대두되었고 2013년 2월에 미국 오바마 대통령이 사이버보안 강화를 위한 행정명령을 지시하면서 속도를 내게 되었다.


미국 백악관, 공공-민간 사이버보안 협력 중요성 강조



미국의 국토보안부(DHS)는 사이버 위협에 대응하기 위한 표준화된 체계를 만들기 위해 2012년부터 규격 개발을 진행하였는데, MITRE¹를 통해 2013년 4월에는 사이버 위협 정보 전송 규격인 TAXII² 공식 버전을 발표했으며, 2013년 10월에는 사이버 위협 표현 규격인 STIX³ 공식 버전을 발표하면서 공유 체계의 기반을 마련했다. 


이러한 국가적인 정책에 따라 2014년에는 Fortinet, McAfee, Palo Alto Networks, Symantec 간의 위협 정보 공유를 위해 CTA⁴를 설립하였고 현재는 총 23개의 보안 기업이 참여하여 위협 정보를 공유하고 있다.


(1) MITRE : 미연방정부의 지원 하에 R&D사업을 증진하는 비영리단체

(2) TAXII : 사이버위협 정보 전송 규격 (Trusted Automated eXchange of Indicator Information)

(3) STIX : 사이버위협 정보 표현 규격 (The Structured Threat Information eXpression)

(4) CTA : 사이버 위협 연합체 (Cyber Threat Alliance)


 

FS-ISAC : True Cyber Threat Intelligence



위협 정보 공유에 대한 국내 동향과 전망은?


그렇다면 국내에서는 어떨까? 정부는 2013년 7월 4일, ‘3.20 사이버테러’, ‘6.25 사이버공격’ 등 국가안보를 위협하는 각종 사이버 위협에 범국가 차원의 역량을 집결하여 체계적으로 대응하기 위해 관계부처 합동으로 「국가 사이버안보 종합대책」을 마련하여 시행한다고 밝혔다.


이 종합대책에서는 아래 4개의 전략을 통해 사이버세상의 안정적 발전과 진화는 정보보호산업을 동반하지 않고는 불가능하다고 밝히고 있다.


 - 사이버위협 대응체계 즉응성 강화

 - 유관기관 스마트 협력체계를 구축

 - 사이버공간 보호대책 견고성 보강

 - 사이버안보 창조적 기반 조성


뒤를 이어, 2014년 8월에는 한국인터넷진흥원(KISA)에서 주관하는 사이버위협정보 분석, 공유시스템(C-TAS : Cyber Threat Analysis & Sharing)을 구축하여 다수의 기관, 기업이 위협 정보 공유에 참여하고 있다.



사이버 위협에 대응하기 위해 위협 공유 체계가 필요하다는 것에는 국내외 정부, 기관, 기업에서 모두 동일하게 이해하고 있다. 이로 인해 STIX / TAXII 처럼 표현과 전송 규격을 정의하고 공유 체계의 장이 마련되고 있으며 기관과 기업에서도 위협 인텔리전스(Threat Intelligence)에 대한 중요성을 인식하고 이를 수집하고 활용할 수 있는 시스템을 구축하면서 무료로 오픈된 위협 정보 뿐만 아니라 보안업체에서 서비스하는 유료 위협 인텔리전스를 구매하여 탐지, 분석, 대응에 활용하고 있다. 


또한, 최근 한국데이터산업진흥원에서 주관하는 ‘데이터바우처 지원 사업’에 정보보호 분야가 추가되면서 정보보호 관련 데이터를 쉽게 판매, 구매, 활용할 수 있는 환경과 분위기가 형성되고 있다. 이러한 정책과 보안기업의 데이터 상품화를 통해 가치 있는 위협 정보가 적극적으로 공유되어야만 진화하는 해커들의 공격에 지능적으로 대응할 수 있다.



엔드포인트 보안 강화 필수품, 

이스트시큐리티의 위협 인텔리전스 솔루션 Threat Inside


이스트시큐리티는 국내 1,600만 실사용자를 보유한 백신 1위 ‘알약’ 제품 군에서 수집되는 실시간 위협 데이터를 포함하여 각종 채널에서 수집되는 데이터를 STIX 규격으로 저장하고 있으며, 신종과 변종 악성코드를 탐지하기 위해 분석하고 추적하는 데 활용하고 있다.

 

'Threat Inside' 서비스의 STIX 데이터 도식화 예시



이를 기반으로 한 이스트시큐리티의 위협 인텔리전스 서비스인 ‘Threat Inside’ 에서는, STIX 규격에 따른 실시간 위협 정보뿐만 아니라 이와 관련된 APT 그룹을 추적하고 분석한 ‘위협 인텔리전스 리포트’를 제공받을 수 있다. Threat Inside에서 제공하는 분석 데이터와 리포트 정보를 활용하면 네트워크 보안 장비나 SIEM, EDR 등에 최신 위협 피드를 반영하여 탐지력을 강화하거나 보안관제에서 발생하는 위협을 추적하고 분석하는 등, 보안 강화를 위해 필요한 시스템 보완과 위협 대응, 관리 업무에 시너지를 낼 수 있다.



ESRC - Threat Intelligence Report





티스토리 방명록 작성
name password homepage