보안 '인텔리전스', 공격 전-중-후 대응 필수

보안위협이 어느 한 나라나 지역에만 한정되는 것이 아닌 만큼 전 세계에서 발생하는 보안위협들에 대한 정보를 수집하고 분석해 실시간으로 대응하는 작업이 중요해졌다. 이를 위해 수 년 전부터 보안업계에 던져진 화두가 '인텔리전스(Intelligence)' 역량을 확보하는 일이다.

이전까지 인텔리전스는 곳곳에서 수집한 악성코드 샘플을 분석해 일종의 시그니처를 만들고, 공격기법을 분석하는 정도에 머물렀다. 그러나 3.20 사이버테러, 소니픽처스 해킹, 2월 초 발생한 방글라데시 은행 1천억원 유출 사건 등 자금력을 확보하고, 조직적으로 오랫동안 공격을 시도해 원하는 목적을 달성하려는 공격그룹들로 인한 위협에 노출되면서 인텔리전스 역량 또한 더욱 정교해져야만하는 하는 상황이 됐다.

5일 지디넷코리아가 서울 삼성동 코엑스 그랜드볼룸에서 개최한 시큐리티 넥스트 컨퍼런스(SNC)에서 기조연설을 맡은 파이어아이 코리아 김현준 상무는 "공격의 실체는 악성코드가 아니라 사람이라는 점에 중심을 두고 인텔리전스 역량을 강화해야한다"고 강조한다.

김 상무에 따르면 인텔리전스는 일반적인 정보(information)와 비교해 분류되고 정제된 정보를 말한다. 보안 영역에서는 전문가들에 의해 평가가 완료된 정보들로 믿을 수 있는 정보소스로부터 데이터를 모아 상호연관관계까지 분석을 거친 정보다.

그렇다면 보안 분야에서 인텔리전스를 구성하는 요소는 뭐가 있을까. 가장 손쉽게 수집할 수 있는 정보가 악성코드에 대한 해시값이다. 문제는 이미 전 세계에서 하루에만 수십만건의 악성코드 해시값이 등장하고 있다는 점이다. 더구나 악성실행파일들은 공격자들 입장에서 너무나 쉽게 변종을 만들어 낼 수 있는 탓에 대응하기 어려워지고 있는 실정이다. 그렇다고 공격에 악용된 IP주소, 도메인네임 등을 수집한다고 해도 이러한 정보가 다음 공격을 막기 위한 핵심데이터로 쓰이기에는 부족하다. 네트워크, 호스트에서 수집하는 정보들의 경우 너무 많은 정보들이 송수신되는 탓에 기존 포렌식 솔루션만으로 분석하기 어렵다.

김 상무는 현재 가장 높은 수준의 인텔리전스 역량을 확보하고 있는지를 가늠할 수 있는 요소 중 하나로 일명 'TTP(Tatic, Technic, Procedure)'라고 불리는 것이다. 기존에 테러리즘을 분석하기 위해 사용됐던 방법을 사이버보안 영역에 적용한 것으로 공격그룹들의 공격전략, 사용된 기술, 공격절차 등을 종합적으로 분석하는 방법이다. 만약 특정 사이버 공격그룹에 대해 분석했던 것과 유사한 TTP를 사용하고 있다는 점을 알고 있다면 이들 중 하나의 연결고리만 끊어도 공격으로 인한 피해를 최소화할 수 있게 된다.

또 다른 높은 수준의 인텔리전스 역량을 확보하기 위한 필수항목으로 그는 정상적으로 시스템에서 사용되는 툴을 꼽았다. 공격그룹이 일단 악성코드에 감염시켜 시스템을 장악한 뒤에는 내부에서 관리자들이 사용하는 정상적인 툴을 활용해 내부 시스템을 들여다보면서 추가적인 공격방법을 찾게 된다. 때문에 공격그룹이 내부에서 어떤 정상적인 툴을 악용하고 있는지까지 들여다 볼 수 있는 분석역량을 확보하는 것이 관건이라는 것이다.

최근 해킹으로 인해 1천억원대 자금 인출 사건을 겪었던 방글라데시 은행의 경우 실제 자금이 인출되기 몇 주 전부터 공격자가 원격접속툴(RAT)을 통해 전반적인 내부 시스템을 들여다보고 취약한 공격포인트를 찾아냈다. 악성코드에 감염된 이후에는 공격자들이 마치 시스템 관리자인 것처럼 정상적인 툴을 악용하는만큼 이에 대해서까지 분석할 수 있어야 한다는 설명이다.