2020-02-23 05:40 (일)
[K-CTI 2020] 두산, 위협 인텔리전스 체계 구축…위협 대응 속도 최대 48배↑
상태바
[K-CTI 2020] 두산, 위협 인텔리전스 체계 구축…위협 대응 속도 최대 48배↑
  • 길민권 기자
  • 승인 2020.02.07 17:10
이 기사를 공유합니다

김민교 대리 “패턴기반 보안장비로는 현재의 공격 방어 한계…TI 적용 효과 커”
K-CTI 2020에서 두산의 위협 인텔리전스 구축 사례를 소개하고 있는 김민교 대리.
K-CTI 2020에서 두산의 위협 인텔리전스 구축 사례를 소개하고 있는 김민교 대리.

국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2020이 공공·기업 정보보안 관계자들이 대거 참석한 가운데 지난 5일 성황리에 개최됐다.

이 자리에서 두산 디지털이노베이션BU 정보보안 챕터 김민교 대리는 ‘위협 인텔리전스 활용을 통한 위협 선제적 방어 사례’에 대해 강연을 진행했다. 특히 위협 인텔리전스를 현업에 접목시켜 보안 강화를 한 사례를 발표한 내용이라 참관객들의 관심이 높았다.

김민교 대리는 “현업 보안담당자로 근무하면서 고민이 많았다. 신·변종 악성코드는 하루 최대 50만개가 쏟아지는데 백신 패턴 업데이트는 하루 200개에 불과하다. 즉 패턴 기반 보안장비로는 한계를 느끼게 됐다”며 “선제적 방어를 위해서는 현업에 위협 인텔리전스가 필요하다는 것을 체감했다”고 서두에 밝혔다.

가트너에 따르면, 위협 인텔리전스(TI, Threat Intelligence)는 ‘증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 컨텍스트나 메커니즘, 지표 등으로 제시하는 정보’를 말한다.

KISA는 ‘악성코드 정보, 명령제어 서버 정보, 취약점 및 침해사고 분석 정보 등 사이버 위협 정보를 체계적으로 수집하고, 종합적으로 연관 분석해 관계기관 간 자동화한 정보공유를 목적으로 하는 예방 대응 시스템’이라고 정의하고 있다.

두산은 2018년 위협 인텔리전스 구축 계획을 세우고 글로벌 6개 TI를 대상으로 도입 검토 후 구체적인 구축 계획을 수립했다.

두산 디지털이노베이션, TI 구축 사례.
두산 디지털이노베이션, TI 구축 사례.

이어 2019년 9월까지 SOA(Security Orchestration and Automation) 관점에서의 단계별 개발을 수행했다. 외부 위협 인텔리전스와 내부 통합보안관제로부터 수집된 모든 위협 정보를 내부 위협 인테릴전스로 집중하고 수집된 위협 정보를 내부 보안장비에 API를 통해 자동화 입력해 갔다.

2019년 말, 다량의 위협 정보 차단과 연동 자동화에 따른 각종 오류 버그 픽스 및 고도화를 수행했다.

국내 정보기관 및 국내외 유명 위협 인텔리전스 기업들의 사이버 위협 정보들을 분석하고 공유하는 KISA C-TAS로 외부 위협 정보를 수집하고 두산 내부 통합보안관제 정보를 통합해 내부 위협 인텔리전스 체계를 구축하고 내부 방화벽, 웹필터, 안티바이러스, SIEM 등과 API를 통해 자동 연동 체계를 구축한 것이다.

이를 통해 알려지지 않은 위협 정보와 알려진 위협 정보로 내부 위협 인텔리전스 체계를 구축하고 침해공격에 대한 사전 방어와 빠른 인지가 가능하게 된 것이다.

K-CTI 2020. 김민교 대리 강연 중.
K-CTI 2020. 김민교 대리 강연 중.

김민교 대리는 “위협 인텔리전스 체계 적용과 보안장비와 자동 연동을 통해 알려지지 않은(Unknown) 위협 방어와 바이러스 유입건 감소, 위협 대응 속도 향상 성과가 나타났다”며 “알려지지 않은 위협에 대해 월평균 60만건 방어 효과와 바이러스 유입이 12% 감소하고 위협 초동 대응 속도가 최대 48배 향상됐다”고 소개했다.

그는 위협 인텔리전스와 보안장비간 자동화 연동으로 인해 위협 IP 차단은 기존 30분에서 1분으로 줄었고, 위협 도메인 및 URL 차단은 기존 10분에서 5분으로, 신종 악성파일 차단은 기존 48시간에서 최대 1시간으로 줄이는 효과를 볼 수 있었다고 밝혔다.

끝으로 그는 “그동안 패턴 기반으로 한계를 느꼈던 위협 대응 속도에서 할 수 있다는 확신이 생겼다. 특히 사이버 공격자들의 공격 패턴과 방법이 더욱 고도화 되고 있는 시점에 위협 인텔리전스 체계 구축은 조직의 정보보호를 위해 필수적이란 것을 체험하게 됐다”고 강조했다.

두산 디지털이노베이션BU 정보보안 챕터 김민교 대리의 K-CTI 2020 ‘위협 인텔리전스 활용을 통한 위협 선제적 방어 사례’ 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★