파이어아이 스토리

오픈 소스 위협 인텔리전스! 공개된 정보가 갖는 각종 위험에서 벗어나는 쉽고 빠른 길 ~ Mandiant Advantage

위협 인텔리전스가 중요하다는 인식이 확산되면서 많은 조직이 이를 보안 운영에 반영하고 있습니다. 이처럼 위협 인텔리전스의 위상이 높아진 것은 분명 반길 일입니다. 하지만 한편으로는 우려도 있습니다. 많은 조직이 오픈 소스 위협 인텔리전스 플랫폼이나 피드(feed) 서비스를 무분별하게 사용하고 있는데, 이 경우 자칫 위협 인텔리전스가 조직의 보안을 강화하기보다 방해할 수도 있기 때문입니다.

오픈 소스 위협 인텔리전스를 제대로 쓰기 어려운 이유

오픈 소스 위협 인텔리전스를 사용할 때 조직이 직면할 수 있는 문제는 크게 3가지로 구분할 수 있습니다.

맥락의 부재와 과다 중복 문제: 마구 수집한 위협 인텔리전스를 분석가에게 던지듯 전달하고 있진 않나요? 이러면 분석가는 무엇을 봐야 할지 알 수 없는 혼돈에서 헤어 나오지 못합니다. 분석가에게 전달하는 정보는 맥락이 분명해야 하고, 중복된 것이 없어야 합니다. 여기서 말하는 맥락이란 공격의 배후에 누가 있는지, 어떤 악성 코드를 이용하는지 등에 대한 정보입니다. 맥락 보충과 중복 제거 없이 마구잡이 식으로 정보를 수집하면 보안 운영 센터(SOC)는 과중한 정보 처리 업무 속에서 정착 중요한 탐지와 대응 활동을 할 시간을 허비하게 됩니다.

적절한 교육의 부재: 공개된 정보들 속에서 통찰력을 확보하려면 우리 조직과 관련성 높은 것을 우선 추려 볼 수 있어야 합니다. 그리고 이를 전제로 우리 조직을 위한 위협 인텔리전스 플랫폼을 구축해야 합니다. 문제는 이런 체계를 갖추려면 시간과 비용이 들고, 무엇보다 적절한 교육과 훈련이 따라야 합니다. 하지만 이렇게 체계적으로 접근하는 곳은 많지 않습니다. Cybersecurity Insider의 2020년 CTI 설문 조사에 따려면 위협 분석가의 80% 이상이 오픈 소스나 다크 웹에서 위협 정보를 수집하는 것에 대한 교육, 도구, 관리 감독이 부족하다 답했습니다.

신뢰성의 문제: 위협 인텔리전스가 중요하다고 모두가 인정하는 시대가 되었다는 것은? 역으로 공격자가 거짓 정보나 분석가의 시야를 흐리기 위해 정보를 조작해 유포할 수도 있는 시대란 것을 뜻하기도 합니다. 만약 공격자가 의도적으로 위협 인텔리전스 정보를 공개하였다면? 보안 팀은 역정보에 속아 귀중한 시간을 허비할 수 있습니다.

Mandiant Advantage ~ 오픈 소스 정보의 가치를 높이는 쉽고 빠른 길

그렇다면 오픈 소스 위협 인텔리전스는 활용 가치가 없는 것일까요? 아닙니다. 매우 귀중한 정보임에는 틀림이 없습니다. 다만 이를 어떻게 잘 활용할지 전략적으로 접근을 해야 합니다. 가장 확실한 방법은 침해 현장에서 오랜 경험을 쌓은 분석가들로 구성된 전문가 조직의 손을 거친 오픈 소스 위협 인텔리전스를 참조하는 것입니다. 이런 서비스의 대표 예가 바로 Mandiant Advantage입니다. Mandiant Advantage 구독만 해도 제대로 된 오픈 소스 위협 인텔리전스를 참조할 수 있습니다.

맨디언트 전문가들은 사전에 선별한 70개 이상의 오픈 소스 위협 인텔리전스 피드가 보내는 정보를 수집하여, 중요 지표를 캡처해 맥락을 구성하고, 중복 요소를 제거하고, M-Score 결과와 연계하는 등 공개된 정보를 잘 정제된 지식으로 만들어 제공합니다. M-Score는 보안 전문가의 정보 탐색 피로를 크게 줄입니다. 무엇을 먼저 봐야 할지 매우 직관적으로 제시하므로 탐지와 대응 우선순위를 정하기가 수월합니다

정리하자면 오픈 소스 위협 인텔리전스는 분명 매우 값진 정보입니다. 이를 제대로 이용하려면 전문가의 손길이 필요합니다. Mandiant Advantage를 통해 오픈 소스 정보를 더 안전하고 신뢰할 수 있는 방식으로 이용할 수 있습니다.