한국 보안 기업들이 고도화된 사이버 위협에 공동 대응하기 위해 뭉쳤다. 고도화된 보안 위협이 기하급수적으로 늘고 있어 표준화된 위협 정보 공유 중요성이 높아졌기 때문이다. 관련업계는 의미 있는 위협 첩보를 적시에 활용하기 위해 일원화된 표준에 따라 위협 정보가 수집· 분석해야 한다고 입을 모은다.
이번 프로젝트는 사이버 위협 첩보 처리를 위한 국제 주류 표준인 STIX(Structured Threat Information Expression)에 기반한다. 수많은 보안 장비에서 생성되는 보안 이벤트를 자동 수집·분석하고 이를 토대로 위협에 대한 대응 방안을 공유하는 것이 주요 골자다.
핵심 역할을 맡은 이글루시큐리티, 윈스, 시큐아이 3사는 각 사가 보유한 보안 역량과 기술을 토대로 신속한 위협 정보 공유를 위한 3가지 플랫폼을 완성했다.
윈스는 연동된 보안 장비에서 수집된 위협 정보를 분류하고 이에 부합하는 위협 모델 정보를 배포·공유하는 ‘사이버 위협 인텔리전스(CTI)’ 플랫폼을 개발했다. 시큐아이를 비롯한 8개 보안 기업은 엔드포인트 보안 장비의 이벤트·상태 정보를 전달하는 ‘엔드포인트 위협 탐지·대응’ 플랫폼을 개발하는 역할을 수행했다.
이글루시큐리티는 양 플랫폼 중간에 위치한 ‘멀티-레이어 시큐리티 인텔리전스(MSI)’ 구축을 담당했다. 이기종 보안 장비와 에이전트에서 생성되는 실시간 보안 이벤트를 표준화된 표현(STIX)과 전달 프로토콜(TAXII)을 이용해 수집한다. CTI와 연동된 위협 정보를 STIX·TAXII에 맞춰 생성·변환한 뒤 이기종 보안 장비에 다시 공유하는 역할이다. 연동되는 보안 장비는 JAVA, C++, 파이썬 등 다양한 언어로 개발된 만큼, 각 제품의 운영환경에 부합하는 라이브러리를 개발해 제공했다.
이글루시큐리티는 특히 표준 API 기반 보안 이벤트와 제어정보 연동 기술을 자사 SIEM솔루션 주요 기능으로 포함해 제공한다. CTI와 연동된 위협 정보를 IPS와 같은 이기종 보안 솔루션에 즉각 공유한다. 긴급 상황 시에는 즉각 제어할 수 있는 형태다. 예를 들어 연동된 특정 보안 장비에 해당되는 공격이 의심될 시에는 ‘이 장비에 이러한 공격 가능성이 있으며 이렇게 차단하면 좋겠다’는 권고 사항을 전달해 자동으로 공격 시도를 차단할 수 있다.
코사인 프로젝트에 참여한 박성종 이글루시큐리티 팀장은 "사이버 위협이 정부나 보안 기업 혼자서 막을 수 있는 범위를 넘어선 만큼, 조직에 해당되는 ‘믿을 수 있는’ 위협 정보를 빠르게 파악하고 대응할 수 있도록 지원하는 표준화된 위협 정보 분석·공유 시스템의 중요성이 더욱 부각된다"며 "현재와 미래 위협에 보다 기민하게 대처할 수 있는 위협 첩보를 토대로 고도화된 공격에 대한 대응력을 한 단계 높였으면 한다"고 말했다.
유진상 기자 jinsang@chosunbiz.com