침해사고/위협동향

보안업계 “사이버위협 정보공유도 시장원리 따라야”

이민형
이동근 KISA 침해사고분석팀장, 김기홍 세인트시큐리티 기술이사, 문일준 빛스캔 대표, 최상명 하우리 CERT 실장, 한창규 안랩 ASEC 실장(좌측부터)
이동근 KISA 침해사고분석팀장, 김기홍 세인트시큐리티 기술이사, 문일준 빛스캔 대표, 최상명 하우리 CERT 실장, 한창규 안랩 ASEC 실장(좌측부터)

[디지털데일리 이민형기자] 지난해 8월 가동을 시작한 사이버위협 정보공유시스템 ‘C-TAS(Cyber Threats Analysis System, 씨타스)’ 운영정책을 놓고 보안업계가 ‘시장원리’를 적용해야 한다고 지적했다. 다만 국가 사이버안보, 국민 안전 등 공익을 위한 정보공유는 조건없이 이뤄져야 한다는 의견에는 모두가 동의했다.

24일 역삼동 한국과학기술회관에서 열린 ‘제21회 정보통신망 정보보호 컨퍼런스(NETSEC-KR) 2015 - 악성코드 공유 기술 및 정책 패널토의’에 참석한 보안업계 관계자들은 “고도화되는 위협에 대응하기 위해 힘을 합쳐야한다는 것에는 동의하나 정보공유에 대한 세밀한 정책은 조정이 필요하다”고 입을 모았다.

최상명 하우리 컴퓨터침해사고대응팀(CERT) 실장은 “사이버위협 대응을 위해 정보를 공유해야 한다는 부분에는 동의를 하지만 악성코드 샘플까지 공유한다는 것은 고민이 필요하다”며 “샘플은 기업의 자산으로 이를 공유한다는 것은 자산을 나눠주는 것과 같다. 특히 정보를 공유받은 기업들이 이를 영업적으로 활용할 경우 최초로 정보를 공유한 기업에게 악영향을 끼치게 된다”고 지적했다.

이어 “정보를 무료로 받을 수 있다면 단시간엔 좋겠지만 시장원리가 무너질 수 있다. 정보공유를 통해 서로에게 이득이 있다면 자연스럽게 하게 될 것”이라고 덧붙이며 정보공유도 시장원리를 따라야한다고 강조했다.

최 실장이 지적하고 있는 부분은 씨타스의 공유체계다. 씨타스는 사이버위협 정보(악성코드, 웹쉘, C&C 서버, 침해사고 사례)를 체계적으로 수집해 관계기관 간 자동화한 정보공유를 목적으로 하는 예방·대응 시스템이다. 현재 약 70여개 기업이 가입돼 있다.

사이버위협 대응을 위한 시스템인 씨타스가 정상적으로 동작하기 위해서는 보안업계의 도움이 필수적이다. KISA 혼자서 모든 위협정보를 수집하는 것은 불가능하기 때문이다.

하지만 씨타스에 참여하는 보안업체들은 서로의 이해관계도 다르고 기업 운영을 위한 철학도 다르다. 따라서 씨타스에 공여할 수 있는 부분도 다를 수 밖에 없다.

정보를 많이 가진 기업이 있을 수 있고, 거의 갖고 있지 않는 기업이 있을 수 있다. 또 악성코드 샘플을 원하는 기업이 있을 것이며, 악성 URL이 필요한 기업도 존재할 수 있다.

한창규 안랩 시큐리티대응센터장은 “정보공유가 필요하다는 부분에는 동의하나, 공유되는 정보의 질(質)에 대해서는 고민이 필요하다. 얼마나 중요한 정보인지에 대한 기준이 논의돼야 한다”며 “또 위협정보는 살아움직여야 한다. 한달전에 나온 악성코드 샘플은 의미가 없다. 실시간으로 공유할 수 있는 체계도 마련해야 한다”고 말했다.

이어 “최 실장의 지적처럼 선의의 목적으로 공유된 정보를 지나친 영업, 마케팅에 활용하는 사례가 종종 발견된다. 이는 정보공유를 가로막는 제약사항임을 명심해야 할 것”이라고 덧붙였다.

업체간 보유한 정보가 다르고, 원하는 정보가 상이하다는 것도 공유체계에 녹여야한다는 지적도 나왔다. 또 보안업체간의 정보공유와 보안업체와 일반업체간의 정보공유의 체계의 변화도 필요하다는 주장도 제기됐다.

김기홍 세인트시큐리티 기술이사는 “우리는 악성코드 유포지, 경유지와 같은 정보를 수집하고 있기 때문에 씨타스에 이러한 정보를 공유하고 있다”며 “이와 관련된 다른 바이너리나 샘플 등 (URL과는) 다른 종류의 정보를 받을 수 있다면 더 고도화된 정보를 생산할 수 있을 것”이라고 말했다.

문일준 빛스캔 대표는 “사이버위협정보를 공유하는 것은 보안업체, 동종업계간의 이야기다. 다른 업종에는 이를 적용할 수 없다. 이러한 간극을 조정할 수 있는 플랫폼이 필요하다고 본다”고 전했다.

이날 패널리스트들은 ‘씨타스’의 고도화와 정부기관간의 정보공유도 필요하다고 강조했다.

씨타스 고도화와 관련 최 실장은 “씨타스가 흩어진 퍼즐들을 맞출 수 있는 능력을 갖췄으면 좋겠다. 현재 씨타스에 공유되는 정보들은 파편적이기 때문”이라며 “정부와 인터넷서비스제공업체(ISP)만 볼 수 있는 정보와 보안업체들이 가진 정보를 결합해 적(敵)의 전체적인 모습을 볼 수 있도록 해야한다”고 설명했다.

이어 “정부에서 운영하는 정보공유분석센터(ISAC)간 정보공유도 제대로 되고 있지 않은 것으로 알고 있다. 정부는 씨타스 운영보다 ISAC간 정보공유를 보다 적극적으로 하고 이를 민간과 공유해달라”고 요구했다.

또 한 실장은 “최 실장 제언에 덧붙여 정부와 ISP들이 가진 IP정보(정상IP, 비정상IP 등)를 보안업체들에게 공유해준다면 보다 능동적인 대응이 가능할 것”이라고 지적했다.

이러한 지적에 대해 이동근 KISA 침해사고분석팀장은 “씨타스 고도화에 대한 부분은 현재도 진행 중에 있다”며 “파편화된 정보들을 분류하고 이를 하이퍼링크의 형태로 만들어 보안업체들이 활용하기 쉽게 할 것”이라고 말했다.

이어 “이날 패널토의에서 제안된 내용에 대해서는 내부적으로 검토해 적극 반영하겠다”고 덧붙였다.

<이민형 기자>kiku

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널