MS가 미국 사이버 보안 회사 크라우드스트라이크(CrowdStrike)와 협력해 사이버 위협 행위자 분류 체계를 발표했어요. 같은 해킹조직이 여러 이름으로 불리면서 생기는 혼선을 해결하기 위해 이들을 매핑 할 수 있는 레퍼런스 가이드 첫 버전을 공개했죠. 체계적인 분류를 통해 앞으로 위협 행위자를 신속하게 파악하고 대응할 수 있을 것으로 기대됩니다.
그동안 MS와 구글 클라우드 소속의 사이버 보안 회사 맨디언트(Mandiant)는 카스퍼스키 등 주요 사이버보안 기업들은 전 세계 해킹조직을 추적·분석하면서도 같은 조직에 각기 다른 이름을 붙여 분류해왔습니다. 예를 들어 MS가 '미드나잇 블리자드'라고 부르는 해킹조직을 다른 기업들은 '코지베어', 'APT29', 'UNC2452' 등으로 부르고 있는 식이죠.
MS 보안 부문 부사장 바수 자칼은 회사 블로그에서 "오늘날 사이버 위협 환경에서는 단 몇 초의 지연만으로도 사이버공격 차단과 랜섬웨어 피해 사이의 운명이 갈릴 수 있다"라며 신속한 위협 행위자 파악의 중요성을 강조했습니다. 그는 "위협 행위자 파악에서 부정확하거나 불완전한 데이터, 플랫폼마다 다른 명칭이 대응을 지연시키는 주요 원인"이라고 지적하며 "사이버 위협을 설명하고 분류하는 방식을 통일하면 전반적인 이해와 협력, 보안 태세를 크게 개선할 수 있다"라고 이번 가이드 개발 배경을 설명했습니다.
먼저 MS는 자사 연구진과 보안 전문가들이 매일 처리하는 84조 개의 위협 시그널을 바탕으로 한 자체 위협 행위자 명명 체계를 공개했습니다. 이를 통해 위협 인텔리전스를 더 효율적으로 식별하고 공유할 수 있으며, 신속한 대응도 가능해집니다.
MS의 위협 행위자에 대한 명명 체계는 다음과 같아요.
▲국가 기반 행위자 ▲금전적 동기를 가진 행위자 ▲민간 부문 공격 행위자(PSOA) ▲영향력 행사 작전 ▲개발 중인 그룹(새롭게 등장한 그룹) 등 다섯 가지 주요 그룹으로 나뉩니다.
러시아, 미국, 북한, 이란, 인도, 중국 등 관련 국가를 비롯해 위협 행위자들의 범주와 유형, 이름, 다른 보안업체들이 사용하는 이름도 분류했죠.
MS는 이번 레퍼런스 가이드가 단일 명명 표준을 만들기 위한 것이 아니라, 보안 담당자와 보안업체를 포함한 보안 커뮤니티가 정보를 더 쉽게 정리하고 신속하게 대응할 수 있도록 돕기 위한 것이라고 취지를 분명히 하였습니다. 궁극적으로는 위협 행위자보다 한발 앞서 나가는 것이 목표죠. 분류체계 매핑 작업에는 MS와 크라우드스트라이크 외에도 구글 맨디언트, 팔로알토네트웍스 유닛42가 참여할 예정입니다.
업계 주요 기업들의 협력으로 통합된 사이버 보안 생태계가 구축되면서, 개별 기업이 단독으로 대응하기 어려웠던 고도화된 사이버 위협에 효과적으로 맞설 수 있을 것 같네요.
콘텐츠 제공 : 바이라인네트워크(byline.network)
