XTI(eXtended Threat Intelligence)를 간략히 정의한다면 전방위적 보안이 요구되는 현대 비즈니스 ICT환경에 기존 사이버위협정보분석(CTI, Cyber Threat Intelligence) 기반으로 사이버위협, 기업비밀 및 고객정보 유출, 평판 정보 등 비즈니스 운영(Business Operational)과 관련된 위협(Risk)에 대한 정보를 수집하고 모니터링 할 수 있도록 하는 새로운 개념의 플랫폼이다.
최근 재택 및 원격근무, 비대면 환경 전환으로 인한 클라우드 도입으로의 빠른 전환을 야기시킨 COVID19로 인해 DX(Digital Transformation)가 가속 되었다. 이 과정에서 클라우드로의 데이터 이전 과정에서의 기업 정보 자산 및 데이터의 노출과 비대면, 원격 근무로 인한 임직원으로의 공격 접점의 확장으로 다양한 형태의 사이버공격이 발생되고 있다.
사이버 공격 양상도 COVID19 팬데믹을 기점으로 확장된 공격 접점을 타겟으로 랜섬웨어, APT 및 피싱 공격이 증가하였으며 해커들의 조직적인 활동을 통한 비즈니스로서의 사이버 공격 행위가 증가하고 있다.
이와 같은 공격이 준비되고 수행되는 과정에서 공격자들의 다양한 활동을 감시하고 모니터링 해야할 필요가 있다.
1. 사이버위협인텔리전스(CTI, Cyber Threat Intelligence)
XTI를 설명하기 앞서 사이버위협인텔리전스(Cyber Threat Intelligence, 이하 CTI)를 이해할 필요가 있다.
CTI는 사이버 보안 위협에 대한 정보를 수집, 분석, 공유하는 플랫폼 또는 프로세스를 뜻한다.
사이버위협분석가들에 의한 위협정보수집(Threat Hunting)과 다양한 정보 수집(OSINT) 활동을 통해 수집된 사이버 위협을 분석하고
이를 바탕으로 기업이 보안 위협에 대한 조기 경보 시스템을 구축하고, 위협에 대한 대응 방안을 마련하는 일련의 플랫폼 또는 프로세스이다.
특히 사이버 공격자의 행동 패턴, 사용하는 도구, 공격의 목적 등을 분석하여 보안 위협을 예방하거나 미리 대비하는데 활용된다.
2. 확장 위협 인텔리전스(Extended Threat Intelligence, XTI)
확장위협인텔리전스(eXtended Cyber Threat Intelligence, 이하 XTI)는 면웹(Surface Web)과 다크웹(Dark Web)을 포함한 외부 공격 표면(Attack Surface)을 포함하여 기존 CTI 데이터를 수집하고,
수집된 데이터에서 컨텍스트를 생성하고 보안 수준을 높이는 방식을 취한다.
수집 및 분석 범위는 기업의 디지털 자산과 네트워크, 그리고 그 외의 연결된 시스템 전체를 대상으로 한다.
이를 통해 기업은 보안 위협에 대해 보다 전반적이고 통합된 관점에서 이해하고 대응할 수 있다.
XTI의 등장에는 다음과 같은 환경적 요인을 들 수 있다. COVID-19의 영향과 원격 근무 환경의 변화이다. COVID-19 팬데믹은 기업들에게 의도하지 않은 강제적 원격 근무 환경으로의 전환이 이루어졌고 이로 인해 기업의 네트워크 경계가 확장되었다. 이에 따라 공격 대상이 확대되어 보안 위협이 증가하게 되었다. 둘째로 디지털 트랜스포메이션(Digital Transformation, 이하 DX)의 가속화이다. 디지털 트랜스포메이션은 기업의 비즈니스 프로세스, 문화, 사용자 경험을 디지털 기술을 통해 변화시키는 것을 뜻한다. 클라우드를 기반으로 한 원격 비대면 근무 환경이 DX를 가속화 하며 DX 과정에서 발생되는 기업의 네트워크와 시스템 구조의 변화와 데이터 노출 등의 위협이 발생하게 되었다. 셋째, 보안 패러다임의 확장이다. 기존의 경계망 보안은 SoC 중심의 보안관제 체계로 내부 네트워크의 보안을 중심으로 하므로, 외부로부터의 공격에 대한 대응이 제한적이다.
이러한 환경의 변화는 보안 패러다임의 변화를 가져왔다. 공격 접점은 확대되고 위협은 증가한 반면 경계망 및 SoC 중심의 관제 보안 운영 시스템은 위와 같은 환경의 변화를 수용할 수 없게 되었다. 무엇보다 시스템과 인력의 한계로 사이버 보안 공백이 발생하게 되었다. 디지털 환경의 변화로 인해 기업의 보안 감시 영역이 확대되면서, 방대한 사이버위협 정보에 대한 모니터링과 분석 대응이 필요해졌다.
XTI는 보안 패러다임의 변화를 대응하고 기업과 조직의 보안 체계를 업그레이드하며 효과적인 외부 사이버위협대응 체계를 구축하는데 도움을 줄 수 있다.
3. CTI vs XTI
4. Threat Intelligence as a Service(TIaaS)
XTI는 플랫폼(소프트웨어)라기 보다는 서비스에 가깝다. 보안 패러다임의 변경과 전문 분석 인력이 부족한 기존 기업 보안 환경에서는 XTI를 도입한다고 해도 효과적인 운영이 쉽지 않은 것이 현실이다.
XTI를 효과적으로 운영하기 위해서는 XTI를 위한 전문적인 수집, 분석 조직이 구성 운영되어야 하며 기존 보안 팀과의 협업을 통해 위협 대응에 필요한 정보를 제공하고 대응하는 역할을 해야 한다.
충분한 정보보안 인력과 예산이 있다면 XTI 분석 조직을 구성해서 운영하면 되지만 많은 현실적인 어려움이 있다.
이와 같은 문제를 해결하기 위해 제안되는 방안이 외부의 사이버위협인텔리전스 전문 분석 서비스를 활용하는 TIaaS(또는 MDR, Managed Detection and Response)이다.
기본개념은 기존의 보안관제(SoC)의 외주 운영과 같다. 아니 정확하게는 기존 보안관제의 확장 모듈이라고 해야하는 게 정확할지도 모르겠다. XTI 분석 데이터를 기존 SoC의 운영 데이터에 결합하여 보안서비스가 제공되는 것인데 여기 제공되는 데이터를 단순 지표(Indicator)로써가 아닌 실제적 위협여부를 포함하는 컨텍스트(근거)를 전문가에 의한 상시적이고 능동적인 보안 분석 활동을 통해 제공받아 활용하는 것이다.
기존의 정보보안체계는 경계망보안이라 불리는 수성개념의 방어적 대응이라면 사이버위협인텔리전스는 자산 외부에 대한 지속적인 수색과 정찰(search and reconnaissance)을 통한 울타리 점검과 잠재적 위협에 대한 정보수집을 통한 선제적 대응이라고 할 수 있다. 철저하게 ICT기술 기반인 현대 비즈니스 환경에 클라우드 도입으로 인한 정보자산의 분산화로 공격접점이 확대 되면서 기업의 보안조직에서도 고민은 늘어가고 있다. 첨단 AI가 접목된 사이버위협인텔리전스 체계만 도입만 한다고 해결되는 것이 아니기 때문이다. AI는 거들뿐 위협을 식별, 분석하고 대응방안을 제시하는 것은 철저하게 분석가의 몫이다. 클라우드 서비스를 포함해 소프트웨어 시장이 서비스형태(SaaS)로 비중이 옮겨가고 있다. XTI 서비스 또한 그 일부이다.
사이버위협인텔리전스는 현대 비즈니스의 중요한 의사결정지원 체계이다. 사이버위협에 대한 상시적인 모니터링을 통한 위협의 조기 발견으로 비즈니스에 대한 영향을 평가하고 대비할 수 있도록 해주는 중요한 역할을 한다. 기업과 조직의 규모나 성격에 관계없이 조직의 사이버위협은 모니터링 되어야 한다.