[보도자료] 악성코드와 보안취약점 정보공유의 허와 실

NETSEC-KR 2015 ‘악성코드 공유 기술 및 정책’ 패널토론 이모저모 

정보의 가치·수요·공급자 고려한 효율적 정보공유가 중요

 

[보안뉴스 김경애] 사이버위협으로 인한 침해사고 예방과 공동 대응을 위한 정보공유 목적으로 구축된 사이버위협 정보 분석·공유 시스템 ‘C-TAS’와 관련해서 다양한 의견이 제기되고 있다. 이와 관련 지난 24일 개최된 ‘NETSEC-KR 2015’에서는 C-TAS를 비롯해 공공기관, 공공-민간, 민간기업 간 점차 활발해지는 보안취약점 및 악성코드의 정보공유 관련 정책과 방법 등을 두고 패널토의가 진행돼 관심이 모아졌다. 다음은 패널토의 참석자들의 토론내용이다. 

▲24일 한국과학기술회관에서 개최된 NETSEC-KR 2015 ‘악성코드 공유 기술 및 정책 패널토론’ 

참석자들 좌측부터 한국인터넷진흥원 이동근 팀장, 세인트시큐리티 김기홍 CTO,

 빛스캔 문일준 대표, 하우리 최상명 CERT 실장, 안랩 한창규 실장 

무료? NO! 정보의 가치 판단이 선행돼야 

김기홍 세인트시큐리티 CTO- 악성코드는 계속 증가하고, 보안위협은 갈수록 높아지고 있다. 공동 대응의 필요성은 다들 공감하지만 정보를 주고받는 과정에서 차이가 발생한다. 어떤 기업은 10개를 줬는데 왜 어떤 기업은 5개밖에 안 줬느냐는 것. 바이러스토탈과 같은 해외사이트에서는 30분 후면 공유되는 정보가 국내에서는 제대로 공유되지 못하고 있는 상황이다.  

이러한 문제를 해소하기 위해서는 정보의 수량보다 정보의 가치에 대한 객관적 기준이 제시되어야 한다고 본다. 또한, 신종 악성코드는 얼마나 빨리 대응하고, 잘 치료하느냐가 중요하기 때문에 금전적인 보상체계도 필요하다. 일례로 악성코드를 최초로 발견하고, 공유하는 사람에게 보상을 해주는 것도 방법이 될 수 있다. 보안책임자나 보안관리자부터 정보공유를 위한 명확한 기준을 마련하면 보안업체도 달라질 것이고, 관련 정부기관도 변화하면서 선순환 구조가 이어질 것으로 본다.

문일준 빛스캔 대표- 정보를 제공했으면 피드백이 있어야 하는데 국내 환경은 아직 그렇지 않은 것 같다. 정보제공자는 정확한 정보를 신속하게 제공해야 하고, 제공되는 정보는 정확한 가치가 매겨져야 정보공유가 좀더 활성화될 수 있다. 

최상명 하우리 CERT 실장- 정보공유가 아무런 금전적 보상이나 조건 없이  무조건적으로 이루어지는 것은 시장경제 원리상 맞지 않다고 본다. 시장경제 원리가 제대로 작동하기 위해서는 정보의 가치를 평가할 수 있는 시스템이 마련되어야 하고, 이를 위해선 해외를 벤치마킹할 필요가 있다. 관련 시장조사와 연구는 정부가 좀더 적극적으로 나서주면 좋을 것 같다.

한창규 안랩 실장- 각 보안업체에서 보유하고 있는 악성코드 및 보안취약점 정보들은 자체적으로 수집하기도 하지만 상당수는 고객으로부터 나온다. 고객사 홈페이지에 악성코드가 심어져 있기도 한 상황에서 URL 공유는 고객과의 관계에 있어 이슈가 발생할 수 있다. 이 때문에 공유된 정보가 다른 기업의 마케팅 목적에 활용되거나 제3의 목적으로 이용되선 안 된다. 따라서 어떤 정보가 가치가 있고, 어떤 정보를 공유해야 할지 기준 정립이 필요하다. 무엇보다 정보의 질이 간과되는 점에서는 아쉬움이 크다.  

이동근 한국인터넷진흥원 팀장- 정보의 가치에 의미를 두는 측면에서 공감한다. 그러나 정보공유가 필요한 70여개 기관이 모두 방향성이나 관점이 다르고, 공유된 정보의 활용목적도 다르다. 그러다 보니 많은 정보들이 쏟아지고 있음에도 이를 활용하는 측면에서 어려움이 많아 활용가이드에 대한 니즈가 많다는 점을 느낀다. 국내 보안업체들도 정보공유 체계에 적극 참여해서 단순한 정보공유만이 아닌 새로운 가치를 창출해내는 서비스로 확장됐으면 하는 바램이다.

수요자·공급자 고려한 효율적 정보공유가 중요

김기홍 CTO- C-TAS에 URL을 제공하는데 가져가는 정보는 URL밖에 없다. 다양한 정보를 서로 공유해 기업 입장에서도 또 다른 가치의 정보를 생산해낼 수 있었으면 좋겠다. C-TAS 정보를 어떻게 활용·가공할 수 있을지에 대한 세미나 또는 컨퍼런스를 개최할 필요성도 느낀다.

문일준 대표- 정보제공은 하는데 정작 제공받는 정보는 필요한 정보가 없는 경우가 많다. 이러한 문제를 해결하기 위해선 C-TAS가 모든 정보를 독과점으로 수집해 정보를 배분하는 방식보단 수요자가 원하고 필요한 정보를 자유롭게 선택할 수 있도록 장터 역할을 해주는 것이 보다 바람직하다고 본다.

최상명 실장- C-TAS가 퍼즐을 맞추는 역할을 해줬으면 좋겠다. KISA의 경우 악성코드 유포시 악성코드와 통신하는 C&C 서버를 조사할  권한이 있기 때문에 악성코드가 어떻게 구성돼 있고, 어떤 역할을 하는지 보다 세부적인 정보를 알 수 있다. 이에 C-TAS에서 각 조직별로 악성코드 정보를 비교할 수 있도록 보다 종합적이고 연계된 정보를 제공함으로써 정보공유의 의미를 최대한 살렸으면 좋겠다.  

한창규 실장- 현재는 연관관계가 없는 상태에서 해시값, URL 등이 단편적으로 공유되고 있는데, 이러한 방식보다는 어떤 취약점으로 인해 어떤 웹사이트에 악성코드, C&C, IP, 악성 URL이 연결돼 있는지 연관 정보를 공유해 주는 것이 바람직할 것 같다. 악성코드나 보안위협에 대한 정보공유도 중요하지만 정상파일 정보도 보안업체에 공유되면 큰 도움이 되리라고 본다. 이러한 연관정보 공유를 위한 플랫폼이 마련될 필요가 있다.  

이동근 팀장- C-TAS의 경우 악성코드 샘플, IP 정보 등의 단편적인 정보 제공과 함께 연결될 수 있는 정보는 링크 형태로 공유하고 있다. 그러나 기술적으로 어려운 부분도 있어 현재 기초단계부터 준비 중에 있다. C-TAS에는 현재 70여개 기관이 참여하고 있는데, 각 기관마다 니즈와 속성이 다르기 때문에 정보 공유 범위를 결정하는 데 있어서도 어려움이 따르는 게 사실이다.    

정부 관여 NO vs. 정부 관여 OK

문일준 대표- 정보를 공유하기 위해 C-TAS가 만들어졌다. 정보 공유의 전체적인 방향성은 맞지만 공유 방법에 있어서는 보다 세부적인 논의가 필요하다고 본다. 과거에는 기업들이 기술개발은 도외시한 채 국가가 제공하는 정보로 돈을 버는 사례가 많았다. 이러한 부작용이 C-TAS에서 발생하지 않도록 할 필요가 있다.  

최상명 실장- 각 부처나 기관끼리도 정보 공유가 잘 안 되는 상황이므로 먼저 각각의 공공기관이 운영하는 종합상황실에서 수집한 정보를 기업들에게 공유하면 기업들이 정보 활용 측면에서 더 유용할 것이고, 정보공유 체계에도 자연스럽게 참여할 수 있다고 본다. 해외에서는 바이러스토탈과 같은 인텔리전스 서비스 시장이 매우 활발한 상황이다. 보안기업은 이러한 인텔리전스 서비스를 통해 기관이나 기업 등에 판매하면 된다. 정보가 필요하면 쓸 수밖에 없고, 시장원리에 따라 자연스럽게 공유될 수 있다고 본다. 

한창규 실장- 과거의 정보공유는 비정기적이고, 친분관계를 중심으로 한 정보공유가 대다수였다. 이 때문에 C-TAS와 같은 공식 채널을 통해 정보가 공유되는 방향성 자체는 괜찮다고 본다. 문제는 공유되는 정보의 가치가 그리 높지 않다는 점이다. 대부분의 업체가 갖고 있지 않고, 찾을 수 없는 정보를 공유해야 하는데 그렇지 않다는 것이다. 또 한 가지는 보안취약점, URL, 악성코드 샘플 등의 정보는 며칠만 지나면 대부분이 갖고 있어 실시간 정보공유 방식이 필요하다.  

이동근 팀장- C-TAS는 정부예산으로 구축됐지만 민간 부문의 대응을 위한 서비스라는 점이다. 위협정보를 받고 싶지만 잘 모르는 기업에게 정보를 제공해줄 수 있는 채널이라 의미가 있다고 본다. 정부가 인텔리전스 서비스 사업을 주도하는 것보다는 시장자율에 맡기는 게 맞지만, 정보공유가 활성화될 때까지 정부가 지원하는 것이라고 보면 될 것 같다. 무엇보다 정보공유는 기여를 기반으로 해야 한다는 점이다. 정보만 가져간다면 공유체제가 성립될 수 없기 때문이다. 이를 기본으로 해서 서로 발전할 수 있는 정보공유 모델이 만들어지는 게 중요하다.

[김경애 기자(boan3@boannews.com)]

기사원본: http://www.boannews.com/media/view.asp?idx=46063&kind=2