[아이티데일리] 보안 분야에서도 데이터의 중요성이 나날이 높아지고 있다. 고도화되는 사이버 위협에 대응하기 위한 방안 중 하나로 데이터가 주목받고 있기 때문이다. 보안 기업들은 이러한 트렌드에 발맞춰 ‘사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)’를 차세대 사업 전략으로 설정하고, 관련 역량을 강화하고 있다. 특히 글로벌 기업 간의 협업도 활발하다.

국내에서도 ‘사이버 위협 인텔리전스’ 역량 강화를 위해 보안 기업들이 손을 잡고 있다. 과학기술정보통신부가 시큐아이, 윈스, 이글루시큐리티 등 국내 주요 보안 기업을 모아 ‘코사인(KOSIGN, Korea Open Security Intelligence Global Networks)’ 프로젝트를 추진한 것이 대표적이다. 차세대 보안 서비스로 손꼽히는 ‘사이버 위협 인텔리전스’ 시장을 살펴봤다.

차세대 보안 전략으로 각광

‘사이버 위협 인텔리전스는 보안 기업들의 차세대 보안 전략 핵심으로 손꼽히고 있다. 고도화되는 사이버 위협에 효과적으로 대응하기 위해 위협정보에 대한 큐레이션(Curation: 여러 정보를 수집, 선별하고 이에 새로운 가치를 부여해 전파하는 것) 및 분석, 실시간 정보 공유가 중요해지고 있기 때문이다.

사이버 위협 인텔리전스는 위협 정보를 수집해 상황을 분석하고, 위협에 효과적으로 대응하는 방법을 일컫는다. 글로벌 시장 조사기관인 가트너는 현존하거나 발생 가능한 위협에 대한 대응을 결정에 사용할 수 있도록 해당 위협에 대한 맥락(context), 메커니즘, 지표, 예상결과 및 실행 가능한 조언 등을 포함하는 증거기반의 지식으로 정의하고 있다.

사이버 위협 인텔리전스는 사이버 위협에 관련된 공격자, 공격 절차, 공격방법(수단) 정보를 포함하고, 보안솔루션 벤더의 연구로 산출된 위협 정보, 전 세계의 탐지센서로부터 수집된 정보(알려진 위협 정보, 탐지 정보), 그리고 이러한 모든 정보에 대한 상관관계 데이터로 구성된다. 여기에 알려지지 않은 공격, 변조된 공격에 실시간으로 적용 가능한 위협 정보를 포함하며, 최근에는 이러한 정보를 이용해 학습된 데이터로 신종 위협을 탐지할 수 있는 머신러닝 기반의 인텔리전스까지 제공하고 있다.

최근 보안 기업들은 사이버 위협 인텔리전스 수요에 대응하고자 위협 정보 수집 및 분석, 정보 선별 등 전문적인 서비스를 제공해 부가가치를 창출하고 있다. 또한 보안 기업 자체적으로도 위협 정보를 바탕으로 다양한 솔루션과 연계해 고도화되는 보안 위협에 신속하게 대응할 수 있는 역량을 강화하고 있다.

리버싱랩스코리아 관계자는 “현재 보안 시스템의 대표적인 한계로 크게 오탐에 대한 위험성과 지능형 공격에 대한 완벽한 해법이 불가능하다는 점을 들 수 있다. 한 단계 더 발전한 분석 솔루션이 출시되면, 뒤를 이어 보다 정교한 방법으로 이를 우회/회피하는 악성코드와 공격기법이 등장한다. 특정 위협에 대응하기 위해서는 해당 위협에 대한 충분한 사전적 정보 수집이 필수적으로 선행돼야 한다”면서, “그러나 실시간으로 발생하는 수백, 수천 가지의 위협에 대한 정보를 즉각적으로 수집하는 것은 사실상 불가능하다고 볼 수 있다. 사이버 위협 인텔리전스는 이러한 한계점을 극복하는 좋은 대안이 될 수 있다”고 설명했다.

이어 “사이버 위협의 상당부분이 기존 위협에서 변형된 것이라는 점에 착안, 이미 발생한 위협에 대한 충분한 데이터베이스를 바탕으로 일정한 패턴과 형식을 추출하면 신규 위협에 대한 추적을 진행할 수 있다. 특히 최근 빠르게 발전하고 있는 AI와 머신러닝 기술이 이러한 패턴 분석에 적합해, CTI 시장은 보다 활성화 될 것”이라고 덧붙였다.

글로벌 시장, 2027년 202억 달러 규모로 성장

세계 사이버 위협 인텔리전스 시장은 고성장이 예상되고 있다. 시장 조사 기업 베리파이드 마켓 리서치(Verified Market Research)는 사이버 위협 인텔리전스 시장이 올해 약 55억 4천만 달러(약 6조 2,560억 원) 규모를 형성할 것으로 예측했으며, 2027년까지 연평균 19% 성장해 202억 달러(약 22조 8,090억 원) 규모에 달할 것으로 전망했다. 또한 가트너는 2022년까지 대기업의 20%가 보안 전략을 위해 상용 위협 인텔리전스 서비스를 사용할 것으로 예측하기도 했다.

안랩 관계자는 “가트너의 예측처럼 현재 가속화되는 디지털 트랜스포메이션으로 기존 보안 영역은 물론, 리스크 관리, 인적자원 관리, 마케팅 등 기업 경영 전반에서 사이버 위협 인텔리전스 활용도가 높아지고 있다”며, “국가 안보 차원에서도 위협 인텔리전스에 관심을 보이고 있어 관련 시장은 더욱 확대될 것으로 예상된다”고 말했다.

사이버 위협 인텔리전스 시장에 참여하고 있는 주요 글로벌 기업으로는 IBM, 아노말리(Anomali), 루킹글래스(Lookingglass Cyber Solutions), 로그리듬(LogRhythm), 파이어아이(Fireeye), RSA, 카스퍼스키(Kaspersky) 등을 꼽을 수 있다.

국내 시장은 이제 개화되기 시작해 아직 규모를 예측하기는 어렵다. 하지만 보안 기업들은 국내에서도 사이버 위협 인텔리전스의 중요성은 나날이 높아질 것으로 전망하고, 수요에 대응하기 위해 역량을 강화하고 있다. 국내 대표적인 기업은 SK인포섹, 시큐아이, 이글루시큐리티, 이스트시큐리티, 세인트시큐리티 등이다. 이 외에도 시큐리온, 티앤디소프트 등이 도전장을 내밀고 있으며, 안랩 또한 위협 인텔리전스 서비스를 준비하고 있는 것으로 알려지고 있다.

안랩 관계자는 “현재 국내 CTI 시장은 아직까진 본격적인 수요가 발생하는 단계는 아니다. 하지만 수요 측면에서 국내 대부분의 일반 기업에서 악성코드 분석/대응 전문 조직이나 인력을 보유하기 어려운 것이 현실이므로 이 부분을 보완하기 위해 CTI가 시장에서 주목 받을 것으로 보인다”면서 “공급 측면에서는 현재 다양한 보안 기업이 제공하고 있는 파일 평판 정보, 악성코드 정보 등 분석 정보가 CTI 형태로 점진적으로 확장돼 시장이 더욱 커질 것으로 전망된다”고 말했다.

리버싱랩스코리아 관계자는 “국내의 위협 인텔리전스 시장 현황은 글로벌과 크게 다르지 않다. 보안 기술 향상으로 타깃 맞춤형 멀웨어 탐지율이 높아지자, 비실행파일이나 윈도우 관리 도구를 이용하는 공격이 늘어나고 있다. 윈도우 파워셸, 스크립트 명령 파일 등을 사용한 공격이 증가함에 이어, 파일리스, 매크로 및 소규모 멀웨어를 이용하는 공격 역시 확산된 바 있다. 융합서비스를 노린 새로운 위협이 등장했으며, 이로 인해 교통 시스템 해킹, 공장 시스템 파괴, 환자 처방전 조작 등이 발생할 우려도 생기고 있다. 사물인터넷 기기(IoT Device)로 공격대상이 확대됨은 물론이다. 마지막으로 공격 수법이 진화해 탐지를 우회하는 악성코드가 늘어나고 APT는 SW 자체의 보안 기능과 정상 인터넷 서비스를 악용할 것으로도 보인다”면서, “새로운 사이버 위협에 능동적으로 대응하기 위해, 체계화 및 자동화된 CTI 시스템 구축에 대한 필요성은 점차 증가하는 추세”라고 설명했다.