Global Perspectives on Threat Intelligence라는 보고서가 최근에 발표되었습니다. 이 보고서를 리뷰하면서 인텔리전스 대한 중요성도 한번 짚어보겠습니다. (*해당 게시물은 Mandiant의 실제 발표 세션을 요약한 내용입니다.)
발표자 : 맨디언트 오 진석 전무
이 보고서는 맨디언트에서 발표한 보고서지만 맨디언트 고객이 아닌 일반 고객도 포함된 C 레벨, 보안 결정권이 있는 리더 1,350명을 대상으로 약 30개 이상의 문항을 통해 설문조사를 실시한 후 그 결과를 리포트한 내용입니다. (*이 중 JAPAC은 600명/ 한국은 100명의 응답자가 포함되어 있습니다.) 글로벌 사이버 보안 위협 환경에서 기업들이 어떻게 대응하고 있는지 보여주는 이 보고서는 실제 기업의 사이버 보안 결정권자들이 어떻게 위협 정보를 인식하고 운영화하는지 보여주는 좋은 자료입니다.
질문 1. 조직은 아래 공격 그룹에 대한 준비가 되어있습니까?
라는 질문에 한국의 보안 조직 리더들은 아주 잘 준비되어 있다고 자신 있게 응답했습니다. 8~90%가 넘는 이 숫자들은 우리 조직은 어떤 공격 그룹도 대응할 준비가 되어있다는 자신감을 엿볼 수 있는 응답이라 할 수 있겠습니다. 그런데 그다음 질문에 대한 답을 보면 이러한 자신감과 실제 기업의 현실은 꾀나 다르다는 것을 생각해 볼 수 있습니다.
질문 2. 국가 공격이 발생할 경우 다음 중 귀사가 완전히 방어할 수 없는 국가는 어디라고 생각하십니까?
한국을 기준으로 봤을 때 중국과 이란이 가장 높았고, 러시아와 북한은 조금 낮게 보였으나 전반적으로 50% 이상의 확률을 보이고 있습니다. 그렇다면 우리는 '약 90%는 완벽히 대응할 준비가 되어있다'라는 답변에 물음표가 생깁니다.
질문 3. 조직의 전반적인 위협에 대한 이해도가 개선되어야 한다고 생각합니까?
다음 질문에 대한 답변을 한번 보겠습니다. 87% 한국 응답자들은 조직이 전반적인 위협에 대한 이해도를 개선해야 한다고 생각한다고 답했습니다. 다시 한번 첫 번째 응답과 대조해 보면 90% 정도는 잘 대응할 준비가 되어있다는 리더의 자신감에 반해 조직은 위협에 대한 이해도가 낮고, 중국과 이란의 공격은 완전히 방어할 수 없고 생각한다는 것인데. 이러한 수치와 내용들은 설문 전반에 걸쳐 맞지 않다는 것을 알 수 있습니다. 결과적으로 실제 많은 기업에서 위협 인텔리전스에 대한 고민은 하고 있지만 현실적으로는 어떻게 대응해야 하는지 잘 모르고 있다는 결과를 유추해 볼 수 있겠습니다. 보안 팀은 자신들이 처리해야 하는 데이터에 대응하기 어려워 진짜 위협을 놓치고 있고 충분히 숙련된 인력이 부족하거나 가지고 있는 정보를 적절하게 활용하지 못하는 경우도 있습니다.
어떻게 해결하나요?
이때 맨디언트의 역할은 무엇일까요? 테스트, 액션, 검증을 하는 사이클을 맨디언트와 함께 진행하게 되면 우리가 위협 인텔리전스 (Threat Intelligence)를 가지고 만들 수 있는 영역은 더 다양하다고 맨디언트는 말합니다. 위협 프로파일링을 해서 우리가 상대하는 적이 누군지 알아내고 그에 맞는 전략을 세워가는 방법, 사이버 프로파일링을 할 때 무엇을 어떻게 해야 하는지 고민하는 과정이 필요한데 이에 대해 맨디언트는 아주 많은 도움을 드릴 수 있을 것입니다.
