[컴퓨터월드] 보안 분야에서도 데이터의 중요성이 나날이 높아지고 있다. 고도화되는 사이버 위협에 대응하기 위한 방안 중 하나로 데이터가 주목받고 있기 때문이다. 보안 기업들은 이러한 트렌드에 발맞춰 ‘사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)’를 차세대 사업 전략으로 설정하고, 관련 역량을 강화하고 있다. 특히 글로벌 기업 간의 협업도 활발하다.

국내에서도 ‘사이버 위협 인텔리전스’ 역량 강화를 위해 보안 기업들이 손을 잡고 있다. 과학기술정보통신부가 시큐아이, 윈스, 이글루시큐리티 등 국내 주요 보안 기업을 모아 ‘코사인(KOSIGN, Korea Open Security Intelligence Global Networks)’ 프로젝트를 추진한 것이 대표적이다. 차세대 보안 서비스로 손꼽히는 ‘사이버 위협 인텔리전스’ 시장을 살펴봤다.

차세대 보안 전략으로 각광

‘사이버 위협 인텔리전스는 보안 기업들의 차세대 보안 전략 핵심으로 손꼽히고 있다. 고도화되는 사이버 위협에 효과적으로 대응하기 위해 위협정보에 대한 큐레이션(Curation: 여러 정보를 수집, 선별하고 이에 새로운 가치를 부여해 전파하는 것) 및 분석, 실시간 정보 공유가 중요해지고 있기 때문이다.

사이버 위협 인텔리전스는 위협 정보를 수집해 상황을 분석하고, 위협에 효과적으로 대응하는 방법을 일컫는다. 글로벌 시장 조사기관인 가트너는 현존하거나 발생 가능한 위협에 대한 대응을 결정에 사용할 수 있도록 해당 위협에 대한 맥락(context), 메커니즘, 지표, 예상결과 및 실행 가능한 조언 등을 포함하는 증거기반의 지식으로 정의하고 있다.

사이버 위협 인텔리전스는 사이버 위협에 관련된 공격자, 공격 절차, 공격방법(수단) 정보를 포함하고, 보안솔루션 벤더의 연구로 산출된 위협 정보, 전 세계의 탐지센서로부터 수집된 정보(알려진 위협 정보, 탐지 정보), 그리고 이러한 모든 정보에 대한 상관관계 데이터로 구성된다. 여기에 알려지지 않은 공격, 변조된 공격에 실시간으로 적용 가능한 위협 정보를 포함하며, 최근에는 이러한 정보를 이용해 학습된 데이터로 신종 위협을 탐지할 수 있는 머신러닝 기반의 인텔리전스까지 제공하고 있다.

최근 보안 기업들은 사이버 위협 인텔리전스 수요에 대응하고자 위협 정보 수집 및 분석, 정보 선별 등 전문적인 서비스를 제공해 부가가치를 창출하고 있다. 또한 보안 기업 자체적으로도 위협 정보를 바탕으로 다양한 솔루션과 연계해 고도화되는 보안 위협에 신속하게 대응할 수 있는 역량을 강화하고 있다.

리버싱랩스코리아 관계자는 “현재 보안 시스템의 대표적인 한계로 크게 오탐에 대한 위험성과 지능형 공격에 대한 완벽한 해법이 불가능하다는 점을 들 수 있다. 한 단계 더 발전한 분석 솔루션이 출시되면, 뒤를 이어 보다 정교한 방법으로 이를 우회/회피하는 악성코드와 공격기법이 등장한다. 특정 위협에 대응하기 위해서는 해당 위협에 대한 충분한 사전적 정보 수집이 필수적으로 선행돼야 한다”면서, “그러나 실시간으로 발생하는 수백, 수천 가지의 위협에 대한 정보를 즉각적으로 수집하는 것은 사실상 불가능하다고 볼 수 있다. 사이버 위협 인텔리전스는 이러한 한계점을 극복하는 좋은 대안이 될 수 있다”고 설명했다.

이어 “사이버 위협의 상당부분이 기존 위협에서 변형된 것이라는 점에 착안, 이미 발생한 위협에 대한 충분한 데이터베이스를 바탕으로 일정한 패턴과 형식을 추출하면 신규 위협에 대한 추적을 진행할 수 있다. 특히 최근 빠르게 발전하고 있는 AI와 머신러닝 기술이 이러한 패턴 분석에 적합해, CTI 시장은 보다 활성화 될 것”이라고 덧붙였다.

글로벌 시장, 2027년 202억 달러 규모로 성장

세계 사이버 위협 인텔리전스 시장은 고성장이 예상되고 있다. 시장 조사 기업 베리파이드 마켓 리서치(Verified Market Research)는 사이버 위협 인텔리전스 시장이 올해 약 55억 4천만 달러(약 6조 2,560억 원) 규모를 형성할 것으로 예측했으며, 2027년까지 연평균 19% 성장해 202억 달러(약 22조 8,090억 원) 규모에 달할 것으로 전망했다. 또한 가트너는 2022년까지 대기업의 20%가 보안 전략을 위해 상용 위협 인텔리전스 서비스를 사용할 것으로 예측하기도 했다.

안랩 관계자는 “가트너의 예측처럼 현재 가속화되는 디지털 트랜스포메이션으로 기존 보안 영역은 물론, 리스크 관리, 인적자원 관리, 마케팅 등 기업 경영 전반에서 사이버 위협 인텔리전스 활용도가 높아지고 있다”며, “국가 안보 차원에서도 위협 인텔리전스에 관심을 보이고 있어 관련 시장은 더욱 확대될 것으로 예상된다”고 말했다.

사이버 위협 인텔리전스 시장에 참여하고 있는 주요 글로벌 기업으로는 IBM, 아노말리(Anomali), 루킹글래스(Lookingglass Cyber Solutions), 로그리듬(LogRhythm), 파이어아이(Fireeye), RSA, 카스퍼스키(Kaspersky) 등을 꼽을 수 있다.

국내 시장은 이제 개화되기 시작해 아직 규모를 예측하기는 어렵다. 하지만 보안 기업들은 국내에서도 사이버 위협 인텔리전스의 중요성은 나날이 높아질 것으로 전망하고, 수요에 대응하기 위해 역량을 강화하고 있다. 국내 대표적인 기업은 SK인포섹, 시큐아이, 이글루시큐리티, 이스트시큐리티, 세인트시큐리티 등이다. 이 외에도 시큐리온, 티앤디소프트 등이 도전장을 내밀고 있으며, 안랩 또한 위협 인텔리전스 서비스를 준비하고 있는 것으로 알려지고 있다.

안랩 관계자는 “현재 국내 CTI 시장은 아직까진 본격적인 수요가 발생하는 단계는 아니다. 하지만 수요 측면에서 국내 대부분의 일반 기업에서 악성코드 분석/대응 전문 조직이나 인력을 보유하기 어려운 것이 현실이므로 이 부분을 보완하기 위해 CTI가 시장에서 주목 받을 것으로 보인다”면서 “공급 측면에서는 현재 다양한 보안 기업이 제공하고 있는 파일 평판 정보, 악성코드 정보 등 분석 정보가 CTI 형태로 점진적으로 확장돼 시장이 더욱 커질 것으로 전망된다”고 말했다.

리버싱랩스코리아 관계자는 “국내의 위협 인텔리전스 시장 현황은 글로벌과 크게 다르지 않다. 보안 기술 향상으로 타깃 맞춤형 멀웨어 탐지율이 높아지자, 비실행파일이나 윈도우 관리 도구를 이용하는 공격이 늘어나고 있다. 윈도우 파워셸, 스크립트 명령 파일 등을 사용한 공격이 증가함에 이어, 파일리스, 매크로 및 소규모 멀웨어를 이용하는 공격 역시 확산된 바 있다. 융합서비스를 노린 새로운 위협이 등장했으며, 이로 인해 교통 시스템 해킹, 공장 시스템 파괴, 환자 처방전 조작 등이 발생할 우려도 생기고 있다. 사물인터넷 기기(IoT Device)로 공격대상이 확대됨은 물론이다. 마지막으로 공격 수법이 진화해 탐지를 우회하는 악성코드가 늘어나고 APT는 SW 자체의 보안 기능과 정상 인터넷 서비스를 악용할 것으로도 보인다”면서, “새로운 사이버 위협에 능동적으로 대응하기 위해, 체계화 및 자동화된 CTI 시스템 구축에 대한 필요성은 점차 증가하는 추세”라고 설명했다.

정부기관 주도로 프로젝트 추진

사이버 위협 인텔리전스 시장의 특징은 글로벌, 국내를 가리지 않고 협업이 활발하다는 것이다. 대표적으로 마이크로소프트, 맥아피, 팔로알토네트웍스, 포티넷, 시만텍 등이 결성한 ‘사이버 쓰렛 얼라이언스(CTA)’를 꼽을 수 있다. 사이버 쓰렛 얼라이언스에는 SK인포섹, 세인트시큐리티 등 국내 기업도 참여하고 있다.

특히 미국은 국가정보국(DNI) 산하 기구로 사이버위협정보통합센터(CTIIC)를 운영하고 있다. 사이버위협정보통합센터는 미국의 국익에 영향을 미치는 외국의 사이버 위협과 사이버 사고와 관련된 통합된 모든 출처의 인텔리전스 분석을 제공하는 것을 목적으로 설립됐다. 사이버위협정보통합센터의 경우는 국가 안보차원에서 정부 기관 주도로 위협 인텔리전스 체계를 구축한 사례로 꼽히고 있다.

국내에서도 협업이 활발해지고 있다. 대표적인 사례로 과학기술정보통신부가 주도하고, 시큐아이, 윈스, 이글루시큐리티 등이 참여한 ‘코사인(KOSIGN, Korea Open Security Intelligence Global Networks) 프로젝트’를 꼽을 수 있다.

‘코사인 프로젝트’는 사이버 위협 첩보 국제 주류 표준인 STIX에 기반해 수많은 보안 장비에서 생성되는 보안 이벤트를 자동 수집·분석하고 이를 토대로 위협에 대한 대응 방안을 공유하는 것이 주요 골자다.

이 프로젝트에서 시큐아이, 윈스, 이글루시큐리티는 신속한 위협 정보 공유를 위한 플랫폼을 완성했다. 윈스는 연동된 보안 장비에서 수집된 위협 정보를 분류하고 이에 부합하는 위협 모델 정보를 배포·공유하는 ‘사이버 위협 인텔리전스’ 플랫폼을 구축했으며, 시큐아이는 엔드포인트 보안 장비의 이벤트 및 상태 정보를 전달하는 ‘엔드포인트 위협 탐지·대응’ 플랫폼을 개발했다.

이글루시큐리티는 이 플랫폼들 중간에 위치하는 ‘멀티레이어 시큐리티 인텔리전스(MSI)’를 구축했다. ‘MSI’는 이기종 보안 장비와 에이전트에서 생성되는 실시간 보안 이벤트를 STIX와 TAXII를 이용해 수집하고, CTI와 연동된 위협 정보를 STIX/TAXII에 맞춰 생성/변환한 뒤 이기종 보안 장비에 다시 공유하는 역할을 수행한다.

또한 지난 7월 진행된 한국정보보호산업협회 및 윈스, 이글루시큐리티가 ‘STIX/TAXII 기반 사이버위협정보 공유 API 기탁 MOU’를 체결해 위협 정보를 자유롭게 활용할 수 있는 체계를 마련했다.

<관련뉴스> KISIA-윈스-이글루시큐리티, 사이버위협 공유체계 활성화 앞장선다

한국정보보호산업협회(회장 이동범, 이하 KISIA)가 윈스 및 이글루시큐리티와 국내 정보보호위협 공유체계 활성화와 정보보호 솔루션 경쟁력 향상 지원을 위해 ‘STIX/TAXII 기반 사이버위협정보 공유 API’를 기탁받는 양해각서(MOU)를 지난 7월 체결했다.

‘STIX/TAXII 기반 사이버위협정보 공유 API’는 윈스 및 이글루시큐리티가 2017년 4월부터 진행한 ‘보안 분석(Security Analytics) 기반의 이기종 보안솔루션 위협 분석 및 대응 기술 개발’ 과제의 결과물로, 윈스와 이글루시큐리티, 시큐아이, 지란지교시큐리티, 소만사, 닉스테크(現 한류AI센터), 세인트시큐리티 등 국내 대표 보안기업 7개사와 한국전자통신연구소, 고려대학교, 국민대학교가 연합해 연구한 인공지능 자동 보안 대응체계다.

이번 MOU를 통해 KISIA 회원사들은 사이버위협정보 공유 API를 자유롭게 활용할 수 있으며, 사이버위협정보 공유 API를 활용하는 정보보호 기업들은 악성행위 등의 위협정보를 실시간으로 공유할 수 있다.

김대연 윈스 대표는 “4차 산업혁명 시대 핵심기술로 인공지능(AI)와 빅데이터등이 부각되면서 국내 보안업계는 사이버위협정보 자동대응체계를 만들기 위한 방안을 꾸준히 모색해 왔다”면서, “이번 성과물을 전체 산업으로 확장시켜 원하는 기업들이 글로벌 사이버위협정보를 이용하는데 도움이 되길 바란다”고 말했다.

이득춘 이글루시큐리티 대표는 “사이버 위협이 정부나 보안기업 혼자서 막을 수 있는 범위를 넘어선 만큼, 표준화된 위협정보공유의 중요성이 더욱 부각될 것으로 보고 있다”면서, “현재와 미래의 위협에 보다 기민하게 대처할 수 있는 위협정보를 토대로 지능적인 사이버 공격에 대한 대응력을 한 단계 높였으면 한다”고 강조했다.

이동범 KISIA 회장은 “정보보호산업계를 위한 사이버위협 정보공유체계의 구축을 위해 고민해왔다”면서, “이번 MOU를 통해 국내 정보보호산업의 발전을 위해 API를 보다 많은 정보보호 기업이 사이버위협을 공유하고 활용할 수 있도록 적극 홍보하겠다”고 밝혔다.

활발한 협업 바탕에는 STIX와 TAXII가 있다. STIX(Structured Threat Information eXpression)는 사이버 위협 정보를 구조화하는 표현 규격으로, 조직별로 수집, 보유한 비표준 형태의 위협 정보를 누구나 분석, 해석해 활용할 수 있도록 체계화된 구조로 표준화하기 위해 마련됐다. 미국 국토안보부(DHS)는 사이버 위협에 효율적이고 안전하게 대응하기 위해 마이터(MITRE)와 STIX 표준을 개발했다. TAXII(Trusted Automated eXchange of Indicator Information)는 STIX를 활용하기 위한 프로토콜이다.

EDR, XDR, SIEM 등 다양한 솔루션과 연계해 국내 시장 공략

위협 인텔리전스 서비스를 제공하고 있는 기업들은 엔드포인트 탐지 및 대응(EDR), 통합 탐지 및 대응(XDR), 통합 보안 관제(SIEM) 등의 솔루션과 연계해 시장을 공략한다는 전략이다.

<관련뉴스> 파이어아이, ‘맨디언트 어드밴티지: 위협 인텔리전스’ 출시

파이어아이가 ‘맨디언트 어드밴티지: 위협 인텔리전스(Mandiant Advantage: Threat Intelligence)’를 최근 공개했다. ‘맨디언트 어드밴티지: 위협 인텔리전스’는 사이버 사고 대응 데이터와 위협 인텔리전스를 결합시켜 쉽게 관리할 수 있는 운영 플랫폼을 제공한다.

‘맨디언트 위협 인텔리전트 스위트’는 위협 인텔리전스를 선별해 원하는 수준에 따라 단계별로 제공하는 서비스다. ‘맨디언트 어드밴티지: 위협 인텔리전스’는 서비스형 소프트웨어(SaaS) 기반 ‘맨디언트 어드밴티지 플랫폼’을 통해 위협 인텔리전스를 제공한다. 향후 파이어아이는 ‘맨디언트 솔루션’에 ‘맨디언트 어드밴티지 SaaS’ 제품군을 추가해 컨트롤 에그노스틱, 침해 대응, 공격자 데이터, 운영 및 머신 인텔리전스 데이터 등 인텔리전스를 제공할 예정이다.

산드라 조이스(Sandra Joyce) 파이어아이 맨디언트 인텔리전스 부사장은 “맨디언트 위협 인텔리전스는 위협 환경에 대한 최고 수준의 정보와 리포트를 제공하며 업계를 선도해왔다. 기업 및 기관에서는 맨디언트가 제공하는 보유한 사이버 보안에 대한 인사이트를 바탕으로 대응해야 할 위협의 우선순위를 결정하고, 사이버 보안 리스크를 관리할 수 있다”며, “파이어아이는 공격자가 어떤 기술을 사용하든, 공격을 발견하는 대로 확인 및 접근할 수 있는 인텔리전스를 제공한다”고 말했다.

리버싱랩스는 100억 개 이상의 굿웨어 및 멀웨어에 대한 인텔리전스를 제공하는 방대한 데이터베이스를 경쟁력으로 시장을 공략한다. 리버싱랩스의 인텔리전스 서비스 ‘티타늄클라우드’는 기존 클라우드식 수집 방식에 의존하지 않고 다수의 안티바이러스 공급기업과 다양한 멀웨어 인텔리전스 소스로부터 파일을 수집 후 체계화하는 방식을 채택하고 있다. 모든 파일은 리버싱랩스만의 고유한 파일 디콤포지션 기술을 거쳐 처리 및 가공되며, 바이러스토털(VirusTotal) 대비 약 4배 이상의 파일 분석, 2.5배 이상의 최신 파일 분석 데이터를 제공하는 것이 특징이다.

리버싱랩스는 ‘티타늄클라우드’와 멀웨어 분석 플랫폼 ‘A1000’, 엔터프라이즈 스케일 파일 분석 플랫폼 ‘티타늄스케일(TitaniumScale)’과 연계해 시장을 공략한다는 전략이다. 리버싱랩스코리아 관계자는 “그 동안 다양한 멀웨어 탐지 솔루션이 공급돼 왔지만, 공격 형태가 더욱 지능화됨에 따라 보안 위협은 지속되고 있다. 리버싱랩스코리아는 이러한 보안 위협 대상의 확장과 고도화에 대비해 ‘알려지지 않은 멀웨어 탐지 기술을 활용한 실시간 인텔리전스 솔루션 공급 및 컨설팅 제공을 통한 종합 보안 관리체계’에 대한 청사진을 제시하고자 노력할 계획”이라고 말했다.

트렌드마이크로는 30년 넘게 운영하고 있는 인텔리전스 서비스 ‘SPN(Smart Protection Network)’으로 시장을 공략한다. 트렌드마이크로의 ‘SPN’은 평균 초당 4,000개 이상의 위협 탐지를 수행하는데 적용되고 있으며, 드마이크로가 모든 보안솔루션에 제공하고 있는 머신러닝 기반의 실시간 위협 탐지의 학습데이터로도 운영되고 있다.

트렌드마이크로는 지난 9월 SPN 서비스를 적용한 통합 탐지 및 대응 솔루션 ‘XDR’을 출시했다. XDR 솔루션은 고객 환경에서 탐지, 수집된 위협 정보와 메타데이터를 트렌드마이크로 SPN 서비스의 위협 인텔리전스를 이용해 상관분석하고, 고객환경에서 잠재하고 있는 위협을 신속하게 탐지할 수 있도록 실시간 서비스를 제공한다. 또한 다양하고 대량의 로그 & 이벤트로부터 정확하고 필요한 정보만을 정제 및 제공해 과도한 로그 & 이벤트로부터 고객의 위협 탐지에 대한 시간을 단축할 수 있도록 도와준다.

트렌드마이크로 관계자는 “SPN 서비스가 적용된 XDR은 위협 분석에 대한 시간 단축은 위협 대응에 대해서도 빠른 대응을 제공할 수 있기 때문에 알려지지 않은 신종, 변종 공격에 대해서 신속한 대응할 수 있도록 대응 방법과 위협의 킬체인 분석 정보를 제공한다”고 설명했다.

이글루시큐리티는 2018년부터 최신 보안 위협과 공격 기법에 대한 핵심 정보를 제시하는 ‘이글루 CTI’ 서비스를 제공하고 있다. 이글루시큐리티 관계자는 “이글루시큐리티는 최신 위협 정보를 수집하는 것에서 더 나아가 수집한 위협 정보 데이터를 어떻게 잘 활용할 수 있을지에 중점을 두고 ‘이글루 CTI’ 서비스를 제공하고 있다. 20여 년 동안 보안관제 서비스를 제공해오면서, 위협 정보를 수집, 저장, 분석하는 것도 중요하지만 이를 탐지에 잘 활용할 수 있을 때 비로소 실행 가능한 위협 정보가 될 수 있음을 확인했기 때문”이라고 말했다.

이어 “이글루시큐리티는 위협 정보 활용과 연계에 초점을 두고 ‘이글루 CTI’ 플랫폼을 구성했다. 연동을 위한 별도 서버와 프로그램 설치나 관리가 불필요한 RESTful API 방식으로 통합보안관제시스템(SIEM)인 ‘스파이더 TM(SPiDER TM) V5.0’과 AI 보안관제 솔루션인 ‘스파이더 TM AI 에디션(SPiDER TM AI Edition)’을 연계했다. 또한 자동화된 룰 등록과 타 CTI 와의 연계, 방화벽 IDS/IPS 등 이기종 보안장비와의 연동을 통한 자동 차단 지원도 지원하고 있다”고 설명했다.

이글루시큐리티는 위협 정보의 생명 주기를 고려한 스코어링 기법에 머신러닝 역량을 적용해 더욱 고도화할 계획이다. 또한 고급 위협 정보에 좀 더 편하게 접근하고 원활히 정보를 공유할 수 있도록, CTI 시스템을 클라우드 서비스로 전환할 방침이다.

이글루시큐리티 관계자는 “이글루시큐리티 인공지능(AI) 위협 탐지 모델에 특화된 보안 탐지 정책(SIEM, Snort 등)과 ‘이글루 CTI’를 결합함으로써, 위협 탐지에서 대응에 이르는 과정을 단축시키는 데 중점을 두고 있다. 고객사들이 위협 정보를 확인하는 것에서 나아가, 이를 활용해 고위험군 위협에 기민하게 대응할 수 있도록 지원함으로써 경쟁력을 강화할 계획”이라고 설명했다.

안랩은 올 연말까지 위협 인텔리전스 서비스를 선보인다는 계획이다. 안랩이 그간 축적한 보안 노하우에 더해 자사 보안 솔루션, 위협 정보 공유 네트워크 등 다양한 경로에서 수집한 위협 정보를 분석해 서비스를 제공할 예정이다.

안랩 관계자는 “안랩은 엔드포인트, 네트워크, 스마트폰 등 다양한 영역에서 수집한 위협 데이터를 안랩의 시큐리티대응센터(ASEC), 침해 대응(CERT) 전문 인력이 분석해 ‘보안 인사이트’로 전환해 고객에게 제공할 계획”이라면서, “또한 보안위협 발생시 안랩의 보안 전문가에게 조언 받아 보안위협을 유기적으로 대응할 수 있도록 지원할 계획이며, 이후 재발 방지를 위한 예방 방안 수립과 사후 조치도 돕겠다”고 설명했다.

안랩은 CTI 서비스 출시를 준비하면서 ▲글로벌 위협 정보 공유 체계 강화 ▲국내 최고의 전문가진이 제공하는 고객 맞춤형 위협 인텔리전스 서비스 ▲신기술을 활용한 고도화된 위협 정보 분석 등의 전략을 수립했다.

구체적으로 국내외 다양한 기업/기관과 연계한 위협 정보 수집을 지속 확대해 나가며 글로벌 협력 기반 위협 정보 공유 체계를 더욱 강화할 계획이다. 또한 안랩시큐리티대응센터(ASEC), 침해 대응(CERT) 전문 인력을 통해 ‘고객 맞춤형 위협 인텔리전스 서비스’를 제공하며, 산업군 별 보안 위협 동향/특징, 보안 조치 개선/요구사항 등 고객 환경을 바탕으로 고객의 보안 수준을 극대화 할 수 있는 위협 인텔리전스 서비스로 강화한다는 방침이다. 이외에도 다년간 축적한 침해사고 대응 이력을 바탕으로 개발한 안랩의 머신러닝 기반 위협 분석 엔진으로 공격 기법 및 절차, 공격자 전략 및 기술 추론을 분석하는 등 보안 관련 신기술(머신러닝, 빅데이터 등)을 활용해 위협 정보 분석을 고도화한다는 전략이다.