전 세계를 상대로 한 사이버 보안 위협에 대응하기 위한 수단으로 '협업'이 주목받고 있다. 이런 가운데, 1988년 출범한 국제침해사고대응팀협의회(FIRST)가 처음으로 한국에서 협업을 주제로 연례 컨퍼런스를 개최했다.
컨퍼런스에서 논의된 핵심 메시지는 '느슨한 협업'이었다. 협업이면 협업이지, 느슨한 협업은 무슨 의미일까?
최근 서울 여의도 콘래드 호텔에서 열린 제28회 FIRST 연례 컨퍼런스 참석차 방한한 FIRST 임원진들과 기자간담회에서 마가렛 라움 FIRST 의장은 "사이버 보안은 범국가적인 문제이며, 서로 다른 보안팀들마다 보안성숙도 수준도 다르기 때문에 이들을 하나로 합쳐서 협력하는 것이 중요하다고 생각한다"고 밝혔다.
함께 참석한 FIRST 임원진인 마틴 반 호렌비크는 "FIRST의 목표는 (사이버보안 관련) 기술 커뮤니티를 하나로 모으는데 있다"며 "이를 통해 사이버보안 위협에 대응할 수 있는 적절한 도구와 능력을 가진 사람들을 찾아내 대응하는 것을 목표로 한다"고 말했다.
FIRST에는 현재 76개국 350여개 기업, 기관 침해사고대응팀들이 가입돼 있다.
KISA 인터넷침해대응본부(KrCERT/CC)에서 침해대응기획팀장을 맡고 있는 최광희 팀장은 "FIRST는 회원으로 가입한다고 어떤 혜택을 받는 것은 아니다"라며 "이곳에서 다른 전문가들과 만나 교류하는 과정에서 서로 필요한 취약점 분석 정보를 공유하는 등 활동이 이뤄진다"고 설명했다.
FIRST는 하나의 커뮤니티를 구성해 주기만 할 뿐 이곳에서 얼마나 적극적으로 활동하는가에 따라 받을 수 있는 정보의 질과 양이 달라진다는 뜻이다.
그렇다고 시만텍, 포티넷, 팔로알토네트웍스 등 글로벌 보안회사들이 참여해 사이버 보안위협에 대한 인텔리전스를 공유하는 '사이버쓰렛얼라이언스(CTA)'처럼 까다로운 의무조건을 내건 것도 아니다. CTA 내에서는 새로 수집한 악성코드 샘플, 새로운 C&C서버 정보 중 기존에 공개되지 않았던 정보들을 매일 1천개 이상 공유해야한다.
FIRST는 크게 전반적인 업무 정책, 절차 등을 담당하는 이사회를 중심으로 운영된다. 현재 노르웨이 국가 사이버센터 침해사고대응팀(CERT) 소속 마가렛 라움이 FIRST 의장을 맡고 있으며, 전 세계 보안회사 일반기업, 정부기관들과 함께 국내에서는 삼성전자, ETRI, 안랩, 네이버 비즈니스 플랫폼, 이글루시큐리티 등이 참여하는 중이다.
관련기사
- 글로벌 침해사고대응 전문가들, 한국 온다2016.06.14
- 달라진 보안 패러다임..."공격 막겠다는 생각 버려라"2016.06.14
- 이글루시큐리티, 글로벌 침해사고대응협의회 'FIRST' 가입2016.06.14
- 보안회사들이 왜 영업비밀을 공유할까?2016.06.14
글로벌 기업, 기관에서 근무하고 있는 보안전문가들은 FIRST를 통한 느슨한 협력을 통해 취약점이나 각종 보안 위협에 대한 정보를 공유하고, 필요하면 공동 대응에 나선다.
FIRST 회원들에게는 각종 침해대응사고 대응 사례를 공유하는 것과 함께 공통관심사를 두고 모이는 분과회(SIGs) 활동이 지원된다. 2014년부터는 개발도상국들이 기본적인 보안프레임워크를 세울 수 있도록 지원하는 'FIRST 교육프로그램'도 운영 중이다.
