“군대나 정부기관이 인텔리전스를 운영해왔는데 이제 일반 기업도 필요한 시대가 됐습니다. 사이버 보안 영역에서 인텔리전스 역할은 더욱 커집니다.”
릭 하워드 팔로알토네트웍스 최고보안책임자(CSO)는 2년 전 회사에 합류해 인텔리전스팀을 구성했다. ‘유닛42’라 불리는 팀이다. 팔로알토네트웍스 기기에서 수집된 데이터를 기반으로 인텔리전스를 만들고 제품에 적용한다.
“공격자는 흔적을 남깁니다. 비슷한 시나리오에 따라 움직입니다. 일반적인 공격에서는 약 2000개에 달하는 흔적을 볼 수 있습니다.”
하워드 CSO는 세계 사이버 공격과 관련된 시나리오가 500여개 정도라고 분석했다. 해커가 공격 시 사용하는 방법이 500여종이라 의미다. 시나리오를 기반으로 목적에 따라 대상을 바꿔 공격을 시도한다. 똑같은 공격법이 반복되는 셈이다. 실제 세계에서 경찰이 범죄자의 이력을 뒤쫓는 것과 마찬가지다.
“산업 스파이 관련 시나리오는 500개, 사이버테러리즘은 20개 정도의 정해진 방법이 있습니다.”
그가 이끄는 유닛42는 이런 시나리오를 증명하는 작업을 수행한다. 하워드 CSO는 “일반사람들은 수십만에서 수백만 건에 이르는 공격 방법이 있다고 생각하지만 충분히 추적할 수 있는 양이라고 강조했다.
“최근 정부는 물론이고 민간기관이나 기업도 인텔리전스팀을 만들고 사이버 공격자의 시나리오를 분석합니다. 그럼 알아낸 정보를 움켜쥐고 있는 게 답일까요?”
그는 사이버 위협 정보는 공유돼야 가치가 커진다고 설명했다. “팔로알토네트웍스는 15분 안에 고객사에 위협 인텔리전스를 공유합니다. 고객사와만 공유하는 것은 충분하지 않습니다. 필요로 하는 모든 곳에 공유해야 효과가 더욱 커집니다.”
하워드 CSO는 “사이버위협 인텔리전스 정보는 쉽게 공유돼야 하며 각 제품에 적용이 쉬워야 한다”고 강조했다. 질 높은 인텔리전스도 제품이나 서비스 반영에 시간이 오래 걸리면 의미가 퇴색한다.
그는 사이버 보안 환경을 혁신하려면 보안사고 대응이 아니라 위협을 선제적으로 방어해야 한다고 말했다. 다양한 위협 요인 패턴을 분석해 선제 대응하는 ‘공격 라이프 사이클’ 방어 모델이 효과적이라고 설명했다. 전체 IT인프라를 보호하면 단편적인 포인트 솔루션이 아니라 통합 보안 플랫폼으로 바꿔야 한다고 덧붙였다.
마지막으로 업계 공동의 인텔리전스 정보 공유 환경 구축이 무엇보다 중요하다고 강조했다. 혼자가 아니라 협력해 사이버 위협을 막아야 하는 시대다.
김인순기자 insoon@etnews.com