국내 기업은 위협 인텔리전스를 도입하지 않거나 전체 보안 운영 모델에서 단절된 상황이다. 각 기업 상황에 맞는 위협 인텔리전스를 도입해야 효과적인 사이버 공격 대응이 가능하다.
전자신문은 지난달 27일 서울 코엑스에서 '시큐리티 마켓플레이스:사이버 위협 인텔리전스' 행사를 열었다. 사이버 위협 인텔리전스를 통해 대응을 강화하는 방법을 소개했다.
사이버 위협 인텔리전스는 주요 보안 위협을 수집해 과거 공격 지표를 비교 분석하고 연관성을 찾는 분야다. 보안 기업은 수년간 수백개 사이버 위협 조직을 찾아 특성을 분석했다. 방대한 위협 지표를 바탕으로 새로 나타난 공격과 연관성을 찾는다.
기업은 보안 운영 요구에 따라 어떤 위협 인텔리전스 솔루션이 적합한지 고민한다. 기업 보안 준비 수준이 각각 다른 상황에서 위협 인텔리전스를 제대로 활용할 방법을 찾는다. 포레스터는 위협 인텔리전스 서비스를 △완성된 인텔리전스(Finished Intelligence) △전술 지표(Tactical Indicator) △가공하지 않은 인텔리전스(Raw Intelligence) 등 3가지로 나눴다.
완성된 인텔리전스는 최고책임자(C)레벨이 볼 수 있을 정도로 만든 콘텐츠다. 위협탐지와 식별을 선제적으로 대응하기 위해 최신 정보를 제공한다. 위협 정보와 위험 감소에 대한 보고서 등이다.
전술 지표는 침해사고지표(IOC), 위협 식별 정보 등이다. 가공하지 않은 인텔리전스는 침해당한 계정과 악성코드 분석 등이 포함된다.
위협 인텔리전스를 위한 데이터 소스는 인터넷, 다크웹, 소셜미디어, 센서 네트워크 등이다. 일반 검색 엔진으로 검색 가능한 콘텐츠 부터 별도 접속이 필요한 다크웹에서도 정보를 수집한다.
이창열 메타넷글로벌 전무는 “위협 인텔리전스 유형과 데이터 소스를 고려해 각 기업 보안 수준과 요구에 맞는 서비스를 선택해야 한다”고 말했다. 솔루션별로 제공되는 위협 인텔리전스 유형과 커버리지가 다르기 때문이다. 기업 고객은 자사 데이터 분석과 해석 역량을 고려해야 한다.
이 전무는 “일반적으로 완성된 인텔리전스로 부터 가공하지 않은 인텔리전스 순으로 활용 폭을 넓혀가는 것이 효과적”이라고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
