특히 데이터를 노리는 사이버공격은 점점 더 정교해지고 있고 이에 따른 데이터 유출사고는 더욱 빈번하게 이뤄지고 있다. 기업들이 사이버보안에 더 많은 투자를 할 수밖에 없는 이유다.

이처럼 사이버 위협이 지속하는 상황에서 일정 규모 이상의 기업들은 사이버 위협 인텔리전스(Cyber Threat intelligence, CTI)에 주목하고 있다. CTI는 사이버상에서 발생하는 위협 정보를 수집·분석하는 시스템이다. 수집한 정보를 보안 솔루션에서 처리할 수 있도록 분석·가공하고, 사용자가 이를 쉽게 열람할 수 있도록 가시성을 높이는 등의 역할을 수행한다.

일반적으로 백신 프로그램 등에서도 위협 정보를 수집하기에 CTI의 기능이 남다른 기술이라고 보기는 어렵다. 이에 CTI 전문기업들은 얼마나 광범위한 데이터를, 얼마나 보기·활용하기 좋게 만드냐로 차이점을 만든다. 다크웹 등 폐쇄적인 해킹 커뮤니티의 정보까지 수집해 신규 악성코드 및 공격기법, 해킹그룹의 전술이나 목표 등을 탐지할 수 있도록 돕는다.

코로나19를 예로 들자면, 방화벽, 백신 프로그램 등의 보안 솔루션은 백신과 치료제다. 직접적으로 병을 예방하거나 치료한다. CTI는 코로나19 바이러스에 대한 연구 데이터 및 백신 임상실험 데이터에 가깝다. 바이러스에 대한 연구를 통해 백신과 치료제가 개발되는 것처럼, CTI가 수집·분석한 데이터를 바탕으로 사이버공격 예방률을 높일 수 있다.

이처럼 CTI는 사이버보안 강화를 위한 보조 역할을 수행한다. CTI를 도입함으로써 보다 다양한 사이버공격에 대비하는 등 사이버보안 역량을 한층 강화할 수 있다. 여기에 더해 위협 헌팅(Threat Hunting)을 더할 경우 만일의 사태에도 대응할 수 있는 보안체계가 확립된다.

CTI가 백신의 임상실험 데이터라면 위협 헌팅은 역학조사와 유사하다. 역학조사가 확진자를 바탕으로 한 미증상자 등을 추적하는 것이라면 위협 헌팅은 행위분석을 통해 CTI를 비롯해 각종 보안 솔루션에서 수집된 정보, 이벤트 등을 바탕으로 잠복해 있는 위협을 찾아낸다.

가령 데이터 유출 사고가 발생했지만 어떤 경로를 통해 유출이 이뤄졌는지, 유출이 발생되게 한 악성코드는 어디에 있는지, 이 악성코드는 어떻게 들어오게 됐는지 등을 위협 헌팅으로 찾아낼 수 있다. 행위 기반 분석이기 때문에 알려지지 않은 위협도 효과적으로 추적할 수 있다는 것이 특징이다.

CTI와 위협 헌팅은 국내에 막 도입되기 시작한 단계다. 기존 보안 솔루션이 보다 잘 활용될 수 있도록 돕는 역할을 하기 때문에 백신 프로그램 하나, 방화벽 하나만을 운용하는 소규모 기업에게는 다소 먼 이야기다. 하지만 기술이 보편화되고 보안 솔루션끼리의 교집합이 커짐에 따라 위협 인텔리전스·헌팅의 사용이나 해당 기능을 탑재한 제품의 보급도 빨라지며 대중화에 한발 다가서고 있다.

<이종현 기자>bell@ddaily.co.kr