사이버 보안에서 정보 공유란 무엇인가?

이름에서 알 수 있듯이, 정보 공유란 타인과 정보를 나누는 행위입니다. 소규모 기업을 운영 중인데 갑자기 사이버 위협에 노출되었다고 상상해 보세요. 어떻게 하시겠습니까? 자원과 컴퓨터 보안이 부족한 상황에서, 시스템 인프라가 서서히 사이버 범죄자들의 통제하에 들어갈 것입니다.

중소기업은 당면한 문제와 관련된 정보를 공유하는 플랫폼을 찾을 수밖에 없습니다. 다행히 사이버 위협 방어 방법에 대한 귀중한 정보를 공유하는 정보 공유 커뮤니티가 존재하여, 조직들이 신속하게 전략을 학습하고 실행할 수 있게 합니다.

이는 오늘날 우리가 처한 세상에서 매우 중요하며, 이 글에서는 정보 공유가 무엇인지, 모범 사례, 이점, 그리고 도전 과제를 살펴보겠습니다.

사이버 보안에서의 정보 공유 이해

정보 공유란 무엇인가?

정보 공유란 이해관계자들이 사이버 공격사이버 공격 및 취약점에 관한 중요한 정보를 공유하여 사이버 보안 대책을 계획, 처리 및 개발하는 것입니다. 이는 한 조직만으로는 모든 사이버 공격을 식별하고 완화할 수 없기 때문입니다. 그러나 모든 이해관계자와 사이버 보안 커뮤니티가 의존하는 주요 기반이므로, 정보 공유는 안전하고 신뢰할 수 있으며 확장 가능해야 한다는 점을 유의해야 합니다.

이러한 사이버 보안 커뮤니티와 이해관계자들은 다른 경험 많은 개인들이 수집한 지식을 활용하여 사이버 위협에 대한 이해를 높입니다. 그들의 목표는 간단합니다. 다양한 사이버 공격에 대한 중요한 정보를 공유하고 서로의 보안 인프라를 강화하는 것입니다.

사이버 보안 정보 공유 사례

정보 공유가 어떻게 작동하는지 이해하기 위해, 정보 공유 및 분석 센터(ISAC), 정부 및 그 구성원들 간의 정보 공유 사례를 살펴보겠습니다.

그러나 사이버 보안 정보 공유에 대해 더 자세히 알아보기 전에, 먼저 ISAC이 정확히 무엇인지 이해해 보겠습니다. ISAC은 1998년 미국에서 처음 도입되었으며, 핵심 인프라 취약점을 다루고 산업 내 중요한 정보 공유를 통해 조직을 사이버 위협으로부터 보호하는 역할을 했습니다.

같은 부처 아래, 버락 오바마 전 대통령이 정보 공유 및 분석 조직(ISAO)을 설립했습니다. 이제 ISAC과 ISAO가 무엇인지 알았으니, 예를 들어 보겠습니다.

정부가 ISAC 회원사의 사이버 시스템에서 의심스러운 활동 정보를 발견했다고 가정해 보겠습니다. 이에 따라 해당 회원은 ISAC 운영 센터로부터 필요한 조치를 취하도록 지시받으며, 이를 통해 정보를 다른 회원사들에게 전파하게 됩니다. 또 다른 사례로, ISAC 회원사가 자체 시스템에서 비정상적인 활동을 발견하면 즉시 운영 센터에 알립니다. 센터는 해당 회원사가 정부에 연락하여 지원을 받도록 권고합니다. 이 과정이 완료되면 정부는 해당 사건에 대한 정보를 다른 회원사들과 공유합니다. ISAC가 안전하고 공정하며 가치 있는 정보 공유 메커니즘을 제공하기 위해 노력하고 있음에도 불구하고, 정보 공유와 관련된 우려와 위험이 그 혜택보다 크다는 사실로 인해 참여율은 실망스러운 수준입니다.

앞서 언급한 바와 같이, ISAO는 조직들이 사이버 보안 공격, 위협, 위험 및 사건에 관한 민감한 데이터를 안전하게 분석하고 공유할 수 있도록 합니다. ISAC는 중요 인프라 산업 내 회원사와만 정보를 공유할 수 있는 반면, ISAO는 다른 산업 간에도 정보를 공유할 수 있습니다.

ISAC과 달리 ISAO의 커뮤니케이션은 맞춤형으로 설계되어 법률, 컨설팅, 회계 등 다양한 분야의 중소기업부터 여러 부서 고객을 지원하는 기업에 이르기까지 다양한 유형과 범주의 조직에 유연한 접근 방식을 제공합니다.

ISAC 및 ISAO가 공유하는 정보는 중요하고 실시간이며 상황에 기반합니다. 이러한 강력한 협력을 통해 데이터가 빈번하고 신속하게 공유되어 조직이 사이버 위협으로부터 스스로를 보호할 수 있습니다. ISAO 구조가 다른 산업과 구성원의 선호도를 더 수용하는 편이지만, ISAC와 ISAO 모두 보안이 중요하다는 점은 동일합니다.

ISAC 및 ISAO는 동일한 목표(시스템 인프라 보호)를 공유하는 사람들과 위협 정보를 교환하고 수신함으로써 조직의 보안 태세를 개선하기 위한 협력과 정보 공유의 필요성을 강조합니다. 또한 이는 개인과 커뮤니티가 사이버 위협 및 공격을 완화할 수 있는 전략을 쉽게 구현하는 데 도움이 될 수 있습니다.

정보 공유의 이점

정보 공유는 새로운 위협에 대한 효율적인 대응을 제공합니다. 정보 공유는 사이버 공격 위험을 줄이고, 사이버 보안 담당자가 최적의 방어 체계를 구축하도록 지원하며, 조직들이 개인 및 국가 차원의 보안을 유지하기 위해 조화롭게 협력할 수 있게 합니다.

또한 공개되는 정보의 유형에 따라 다양한 범주로 구분될 수 있습니다.

1. 피해 감소: 조직이 보안 침해를 더 빨리 발견하고 사이버 보안 취약점으로 인한 피해를 줄이는 데 도움이 됩니다.
2. 사이버 보안 사건 감소: 새로운 위협에 대한 공동 대응을 강화하여, 공격자가 조직으로부터 정보를 수집할 가능성을 낮추고, 그러한 정보를 악용하여 다른 기관을 공격하는 것을 줄임으로써 시스템, 산업 또는 분야에 대한 연쇄적 영향을 방지할 수 있습니다.
3. 사이버 위협에 대한 효과적인 대응: 모든 기관이 디지털 환경의 다양한 위협을 인지하고, 사이버 범죄자의 활동 방식, 수법, 절차에 대한 깊은 이해를 바탕으로 끊임없이 변화하는 위협에 대비할 수 있도록 합니다.
4. 절차 간소화: 행정 절차를 효율화하고 정보 처리를 가속화하여, 정보 공유 시스템의 이해관계자들이 사이버 공격에 직면했을 때 신속하게 대응할 수 있도록 지원합니다.
5. 비용 절감: 비용과 노력의 중복을 제거하거나, 심지어 필요한 모든 자원을 모으지 않고도 솔루션을 개발하여 사이버 공격에 대응할 수 있도록 조직에 권한을 부여할 수 있습니다. 정보 공유의 역량은 정보가 공유되는 네트워크의 규모가 충분히 클 때만 의미가 있다는 점을 유의해야 합니다.

결국, 악용되거나 공격받을 가능성이 낮은 조직보다 주요 조직이 정보 공유에서 더 큰 혜택을 볼 수 있습니다.

정보 공유의 과제

기업들은 규모나 공공·민간 여부와 관계없이, 위험을 초래하거나 핵심 사이버 정보를 노출시켜 전반적인 보안 태세를 위태롭게 하지 않으면서 정보를 공유하는 방법을 결정하는 데 어려움을 겪습니다. 또한 공공 및 민간 부문은 서로 관련성 있고 불필요한 정보를 걸러내는 방식으로 정보를 공유하기 위한 구체적인 지침 마련에 어려움을 겪고 있습니다.

이러한 과제에는 다음이 포함됩니다:

1. 타 당사자, 특히 경쟁사나 규제 기관 외 정부 당국과의 정보 공유에는 다양한 법적 책임과 규정 준수 문제가 존재합니다.
2. 다양한 산업과 분야, 그리고 각기 다른 세그먼트로 인해 공유되는 정보의 성격이 달라질 수 있습니다.
3. 정보 공유자들 간의 신뢰와 소통 부족이 큰 과제입니다. 사람들은 정보 공유와 수령 사이에서 적절한 균형을 갖춘 전문가, 검증 가능한 전문가, 이해관계자들만을 신뢰합니다.
4. 정보 공유에는 법적 및 개인정보 보호 문제가 수반됩니다.
5. 조직과 이해관계자들은 정보 공유처럼 새롭거나 낯설게 느껴지는 사안을 수용하지 못합니다. 또한 기술적 역량 부족이나 기술 지식 결여로 인해 정보 공유 노력이 어렵거나 비효율적이어서 실패할 수 있습니다.

정보 공유 모범 사례

조직은 복잡하고 지속적인 위협으로부터 효과적으로 방어하기 위해 자체 보안 조치를 넘어 통합된 접근 방식을 따라야 합니다. 정보 공유는 사이버 보안 커뮤니티의 지식과 이해를 활용하여 사이버 보안 방어 체계를 강화하는 가장 강력한 전략 중 하나입니다.

효율적인 정보 공유를 위한 모범 사례를 살펴보고, 조직이 사이버 위협을 방지하기 위한 강력하고 안전하며 신뢰할 수 있는 보안 시스템을 구축할 수 있도록 하겠습니다.

1. 정보 공유 프로세스 간소화: 정보 공유 프로세스를 최적화하고 간소화하기 위해 조직은 다른 조직과 안전하고 효율적으로 정보를 공유할 수 있는 첨단 도구와 기술을 활용해야 합니다. 자동화된 프로세스를 활용하면 다양한 출처에서 정보를 수집하여 데이터 보강 및 정규화 과정을 거친 후 신뢰할 수 있는 이해관계자에게 가장 관련성 높은 정보를 전달할 수 있습니다. 이는 사이버 범죄자의 공격 가능성을 줄여줍니다.
2. 안전한 협업: 조직은 민감한 정보가 승인된 개인이나 기업에게만 교환되도록 강력한 접근 통제를 구현하는 것이 필수적입니다. 이를 통해 데이터 오용을 방지하고 기밀성을 유지할 수 있습니다.
3. 정보 공유 규칙: 또한 조직뿐만 아니라 고객 및 파트너에게도 부적절하게 공유될 경우 부정적인 결과를 초래할 수 있는 정보의 유포를 방지하기 위한 규칙을 마련하는 것이 중요합니다. 규칙에는 수신자의 신뢰도, 공유되는 데이터의 민감도, 다양한 유형의 정보 공유 또는 보류 시 발생할 수 있는 잠재적 영향 등이 포함되어야 합니다.
4. 정보 공유 범위: 조직은 자원의 범위와 목표에 부합해야 합니다. 주요 목표는 다른 조직 및 이해관계자에게 가장 가치 있는 정보를 제공하는 것이어야 합니다. 범위 설정 활동에서는 이해관계자가 승인하는 정보 유형, 정보 공유가 허용되는 조건, 그리고 정보를 공유할 수 있고 공유해야 하는 대상을 식별해야 합니다.
5. 집단적 지식: 조직은 신뢰할 수 있는 동료, 업계 파트너 및 검증된 정보 공유 커뮤니티와 협력하여 위협 인텔리전스 역량을 강화하고 전략을 개발하여 사이버 범죄자의 다양한 속임수와 기법을 회피할 수 있도록 합니다.
6. 지표의 능동적 보강: 조직은 생성한 각 지표에 대한 메타데이터를 생성함으로써 위협 정보의 유용성과 효율성을 높일 수 있습니다. 메타데이터는 해당 지표가 사용되는 이유, 해석 방법, 다른 지표와의 연관성에 대한 맥락을 제공합니다. 지표 및 관련 메타데이터를 게시하고 업데이트하는 방법, 잘못된 정보나 의도치 않게 공유된 정보를 철회하는 방법에 대한 절차가 마련되어야 합니다.&
7. 정보 공유 네트워크: 정보 공유 네트워크는 조직이 통찰력을 공유하고 협력하며 사이버 위협에 공동으로 대응할 수 있는 안전한 공간을 제공합니다. 그러나 명확한 목표 설정, 상호 신뢰 구축, 적극적인 참여 및 협력을 통한 강력한 관계 형성 및 효과적인 정보 공유 네트워크 구축과 같은 특정 지침을 준수하는 것이 중요합니다.

사이버 보안에서 정보 공유의 역할

사이버 보안에서 정보 공유는 조직이 사이버 위협, 특히 해당 조직을 겨냥한 위협에 직면했을 때 필수적입니다. 정보 공유와 같은 공동 대응을 통해 이러한 위협을 완화할 수 있습니다. 공유된 정보는 결과적으로 다른 조직에 경보를 발령하여, 사이버 범죄자들의 새로운 방법과 끊임없이 진화하는 공격으로부터 스스로를 준비하고 방어할 기회를 제공합니다.

협력적 환경에서의 정보 공유

정보 공유에서 신뢰는 중요한 역할을 합니다. 특히 재난 상황에서는 서로 다른 분야와 경쟁사들이 공동의 목표를 공유하며 계획되지 않은 협력이 시작되기 때문입니다.

임시적인 협력은 시간이 지남에 따라 신뢰를 구축하며, 조직들은 당사자들이 예상대로 행동할 것이라는 확신을 갖게 됩니다. 즉, 피해를 최소화하고 보안을 극대화할 것이라는 의미입니다. 비록 어렵지만, 조직은 이러한 임시적 협력을 지속하기 위해 노력해야 합니다. 그래야만 신뢰를 구축할 뿐만 아니라 적극적으로 협력하고 사이버 위협의 위험을 줄일 수 있는 프레임워크를 개발할 수 있습니다. 이때 정보 공유의 '무엇', '언제', '왜', '어떻게'를 고려해야 합니다.

또한 조직은 위협 정보를 신속하게 공유할 수 있는 절차를 마련해야 합니다. 동시에 민감한 정보를 보호해야 할 책임도 동시에 충족시켜야 합니다. 또한 조직 내부 및 관련 당사자들 간의 정보 공유 노력에 대한 혼란을 줄이고 지지를 높일 수 있습니다.

조직의 절차는 다음과 같은 다양한 구성 요소를 고려하고 포함해야 합니다:

1. 신뢰할 수 있는 참여자와 쉽게 공유할 수 있는 위협 정보를 식별합니다.
2. 기밀 데이터가 포함될 수 있는 위협 정보를 보호합니다.
3. 민감한 정보 유출에 대응하기 위한 계획을 수립합니다.
4. 가능한 경우 위협 정보 처리 및 공유를 자동화하십시오.
5. 정보 취급 등급이 어떻게 사용, 모니터링 및 적용되는지 설명하십시오.
6. 필요한 경우 출처 미기재 정보 공유를 허용하십시오.
7. 내부 및 외부 위협 정보 출처를 모두 추적하십시오.

이는 협업을 개선하여 조직이 사이버 보안 위험을 더 잘 관리하는 데 도움이 될 수 있습니다. 이러한 절차는 주요 이해 관계자와의 효과적인 정보 공유를 가능하게 할 뿐만 아니라 승인된 외부 커뮤니티와의 협업도 가능하게 합니다.

정보 공유 및 악성코드 탐지

정보 공유는 모든 사람을 위한 사이버 보안 영역을 확장하는 데 중요합니다. 사이버 공격을 차단하고 예방하려면 다른 조직과의 강력한 팀워크가 필요합니다. 위협, 공격, 취약점에 대한 중요한 정보를 신속하게 공유함으로써 사이버 사고의 범위와 규모를 크게 줄일 수 있습니다. 적절한 절차, 전략 및 네트워크를 통해 정보 공유는 사고 대응 절차를 간소화하고 새롭게 등장하는 사이버 위협의 영향을 방지하거나 완화할 수 있습니다.

이는 서로 다른 네트워크 전반에 걸쳐 악성 샘플을 식별하고 검증하는 데 더 깊은 맥락과 증거를 제공함으로써 악성코드 탐지의 속도와 정확성을 향상시킬 수 있습니다. 또한 악성코드 분석에 대한 지식과 모범 사례를 공유할 수 있게 함으로써 다양한 보안 주체 간의 협력과 조정을 개선할 수 있습니다.

악성코드 탐지 능력을 향상시키기 위해 위협 정보를 공유하는 가장 유용한 방법은 ISAC(정보 공유 및 분석 센터)에 가입하고, 데이터 공유를 허용하는 정부 운영 프로그램에 참여하며, 신뢰할 수 있는 당사자와 공식 협약을 체결하여 위협 정보를 안전하게 공유하는 것입니다.

정보 공유 플랫폼: 사이버 보안 강화

정보 공유 플랫폼은 일반 대중은 물론 정부 기관, 교육자, 의료 종사자, 법 집행 기관 등 다양한 산업 및 분야에 널리 제공됩니다. 방대한 위협 정보를 수동으로 검토하고 비교 분석하여 인텔리전스를 생성하는 것은 어렵습니다. 그러나 현대적인 정보 공유 플랫폼은 위협 인텔리전스의 수집, 표준화, 상관관계 분석, 보강, 분석, 배포와 같은 여러 프로세스를 자동화함으로써 보안 팀이 이러한 과제를 효율적으로 해결할 수 있도록 지원합니다.

새로운 플랫폼은 조직, ISAC 및 ISAO 회원사, 이해관계자, 자회사, 규제 기관으로부터 위협 정보를 원활하게 공유하거나 수신할 수 있게 합니다. 고품질 정보 공유 플랫폼은 위협 행위자, 그들의 방법론, 사건 등에 대한 기술, 방법 및 프로세스의 분석과 배포를 모두 가능하게 합니다.위협 행위자, 그들의 방법론, 사건 등을 분석하고 배포할 수 있습니다.

이 모든 정보는 신뢰할 수 있는 자동화된 지표 정보 교환(TAXII) 및 구조화된 위협 정보 표현(STIX)을 통해 기계가 읽을 수 있는 형식으로 실시간 교환됩니다. (STIX)를 통해 기계가 읽을 수 있는 형식으로 실시간 교환됩니다. TAXII와 STIX는 소프트웨어나 플랫폼이 아닙니다(전자는 애플리케이션 계층 프로토콜이고 후자는 프로그래밍 언어임). 그러나 이들은 정보를 소화 가능하고 공유 가능하게 만드는 구성 요소이자 표준입니다.

정보 공유 플랫폼은 일반적으로 다음과 같은 범주로 구성됩니다:

1. 정보 공유 및 분석 센터(ISACs)
2. 위협 인텔리전스 플랫폼(TIPs)
3. 스택 익스체인지(Stack Exchange) 및 레딧(Reddit)과 같은 온라인 커뮤니티 및 포럼
4. 정부 경보 시스템
5. 민간 사이버 보안 기업의 피드
6. 산업 협력 네트워크

또한, 사이버 보안 지표 및 위협 정보 공유를 가능하게 하는 무료 오픈 소스 소프트웨어인 악성코드 정보 공유 플랫폼(MISP)과, 사이버 보안 사건을 안전하게 처리하기 위해 설계된 안전한 부문 간 정보 공유를 위한 Threatvine Hub와 같은 플랫폼이 있어 효율적이고 유용합니다.

결론

정보 공유란 발신자와 수신자 간의 일대일 정보 교환을 의미합니다. 많은 조직들이 큰 그림을 보지 못하고 사이버 위협과 공격으로부터 안전하고 확실한 보안 태세를 구축할 자원이 부족합니다.

그러나 정보 공유를 통해 개별 기관이나 조직은 다양한 사이버 위협에 관한 중요하고 다양한 정보를 공유하고, 지역적·지역적 위협과 행위자들을 차단하기 위한 전략을 함께 개발할 수 있습니다. 궁극적으로 생태계 전반에 걸쳐 모든 이가 자신의 플랫폼을 안전하게 보호할 수 있도록 돕는 것이 핵심입니다.

FAQs