47

** 한국인터넷진흥원 분석기획팀 선임연구원(cm@kisa.or.kr)

** 한국인터넷진흥원 분석기획팀 선임연구원(jungsik@kisa.or.kr)

국외 사이버 위협 정보공유의 체계조사

FO

CU

S

3

박철민*, 조정식**

사이버 공간에서 해커들은 지속적으로 새로운 기술들을 이용하여 다양한 공격을 시도하고

있다. 공격자는 그들만의 커뮤니티를 통해 관련 정보들을 공유하고 있다. 이러한 공격자들의

정보공유는 제2·제3의 침해사고를 유발한다. 이런 측면에서 사이버 침해사고를 대응하는

기관들과 기업 및 단체들 간의 정보공유는 해커들의 공격을 무력화 시키는데 효과적으로 활용될

수 있다. 하지만, 국내 사이버 위협 정보공유에 대한 인식과 상황은 부족한 점이 많다. 이에

본고에서는 사이버 위협 정보공유의 중요성을 알리고 적극적으로 사이버 위협 정보들을 공유하고

있는 주요 국가들의 사례를 살펴보고자한다.

Ⅰ. 서론

Ⅱ. 미국의 사이버 위협 정보공유 체계

1. 사이버 위협 정보공유 체계 개요

2. 사이버 위협 표현 규격

3. 사이버 위협 전송 규격

Ⅲ. 일본의 사이버 위협 정보공유 체계

1. 주요 추진이력

2. 정보공유 정책 및 운영

3. 정보공유 목록

4. 주요 활동성과

Ⅴ. 내 사이버 위협 정보공유 발전방향

48 INTERNET & SECURITY FOCUS January 2014

Ⅰ. 서론

국내 사이버 위협 정보공유는 한국인터넷진흥원(KISA)을 비롯한 침해사고 대응 기관들과

보안 업체들로 이루어진 협의체에서 시작되었다. 협의체의 주요 목적은 사이버 침해사고 발

생 시 정보공유를 바탕으로 신속한 공동 대응에 있었다. 실제로 3.4 분산 서비스 거부

(DDoS, Distributed Denial of Service) 공격 때는 협의체의 신속하고 효과적인 대응으로

피해확산을 조기에 막을 수 있었다. 이후 회의와 워크숍 등을 통해 상시적 정보공유의 기틀

이 마련되었다. 하지만 이런 정보공유 체계는 완전체라 하기에는 몇 가지 문제점을 내포하고

있다.

우선 현재의 사이버 위협 정보공유 체계는 한국인터넷진흥원의 일방향적 정보공유의 성격

이 강하다. 역관점에서 평가하면 다른 기관이나 업체가 보유하고 있는 사이버 위협 정보들이

공유되지 않기 때문에 같은 형태의 침해사고들이 중복 발생하더라도 원활한 대응이 어려운

상황이다. 또한 정보공유의 실시간성이 보장되고 있지 않으며, 평시에 발생하는 위협 정보들

이 공유되지도 축척되지도 않고 있다.

이와 같은 사이버 위협 정보공유 체계로는 하루가 다르게 변하는 사이버 공격 패러다임에

대응하기 쉽지 않은 실정이다. 특히 지능형 지속 위협(APT, Advanced Persistent Threat)

공격과 같은 사이버 공격을 선제적 대응하기에는 어려운 상황이다.

이에 본고에서는 집중형의 정보공유를 주도하는 일본과 표준형의 정보공유를 주도하는

미국의 정보공유 사례를 통해 국내 사이버 위협 정보공유 현황을 진단해 보도록 하겠다. 최

종적으로 국내 사이버 위협 정보공유를 위한 현실적인 대안과 발전방향을 살펴보고자 한다.

Ⅱ. 미국의 사이버 위협 정보공유 체계

1. 사이버 위협 정보공유 체계 개요

미국은 규격개발을 통해 사이버 위협 정보공유를 추진하고 있다. 미국의 국토안보부는 사

이버 위협에 대응하기 위하여 효율적이고 안전한 정보공유 체계 구축의 필요성을 인지하였

으나, 사이버 위협 정보가 표준화되지 않아 일관성 있는 분석의 어려움을 느끼고 이를 극복

FOC

US

FOCUS 3 국외 사이버 위협 정보공유의 체계조사 49

하기 위해 `’12년부터 규격개발에 착수하였다. 미국의 국토안보부는 MITRE１를 통해 `’13년 4

월에 사이버 위협 정보 전송 규격인 TAXII(Trusted Automated eXchange of Indicator

Information) 공식 버전 1.0을, 10월에는 사이버 위협 표현 규격인 STIX(The Structured

Threat Information eXpression) 공식 버전 1.0.1을 각각 발표했다.

STIX와 TAXII의 관계는 TAXII발음에서 느껴지는 것처럼 STIX라는 승객을 나르는 택시

와 같다. 다음 그림은 이러한 STIX/TAXII 체계를 간략하게 설명한 것이다.

구성도

설명

① A사 : 사이버위협을 탐지

② A사 : 위협정보를 STIX로 표현 후 TAXII를 통해 중계기관으로 자동전달

③ 중계기관 : 수신정보를 저장, 진위여부를 파악 TAXII로 참여조직들에게 자동전달

④ 참여조직 : 자사에 공유된 위협정보를 적용

⑤ 참여조직 : 위협요소 제거 및 차후예방

정보 중계기관이 ISAC인 경우 예시임

출처: FS-ISAC[그림 1] STIX/TAXII 체계 구성 및 설명

STIX/TAXII 체계의 주요 사용자는 ISAC(Information Sharing Analsis Center) 및

CSIRT(Computer Security Incidenct Response Team), 정보보호산업군 등이나 그 외에

도 누구나 사용가능하다.

１ 미연방정부의 지원하에 R&D사업을 증진하는 비영리단체

True Cyber Threat Intelligence

Detect a Threat Enrich Threat DataFilter Policy for Sharing

Machine-to-Machine APIMachine-to-Machine API

Actionable Intel =Proactive Defense

Consume &Analyze

ISAC

Store, Maintain Trust,Build Confidence in Threat Data

Repository

2

3

4 51

Organization A Many Other Organizations

50 INTERNET & SECURITY FOCUS January 2014

2. 사이버 위협 표현 규격

미국, 정보공유체계의 핵심요소인 STIX와 TAXII를 각각 상세하게 살펴보자. 먼저 STIX

는 개별 조직들이 보유하고 발전시켜 온 사이버 위협 정보의 개념을 표준화하고 구조화하여

사이버 위협에 대한 일관된 분석과 자동화된 해석이 가능하게 한 정보 표현 규격이다. 미국

은 여덟 가지 구성요소로 사이버 위협정보를 구조화하였다. 구성요소들의 이름은 Observ-

able 및 Indicator, Incident, TTP, ThreatActor, Campaign, ExploitTarget, COA이다.

각각의 구성요소는 다양한 세부적인 속성을 가지고 있으며 XML로 표현되어 있다. 이에 대

한 구체적인 설명은 다음의 [그림 2]와 <표 1>로 정리하였다.

관계도

Related Indicators(*)

RelatedIncidents(*)

Related Indicator(*)Related TTP(*)

Related Observables(*)

Related Indicators(*)

Sub-Observables(*)

Observables(*)

Observed TTP(*)

AssociatedCampaigns(*)

AssociatedActors(*)

HistoricalCampalgns(*)

Attribution(*)

Related TTP(*)

Related Threat Actors(*)

Related Incidents(*)

Potential COA(*)

COARequested(*)

suggestedCOA(*)

LeveragedTTP(*)

STIX Architecture

COATaken(*)Exploit Target(*)

Indicated TTP(*)

표현예시(TTP 일부)

<xs:element name=”Victim_Targeting” type=”ttp:VictimTargetingType” minOccurs=”0”>

<xs:annotation>

<xs:documentation>The Victim_Targeting field characterizes the people, organizations, information or access being targeted.</xs:documentation>

</xs:annotation>

</xs:element>

<xs:element name=”Exploit_Targets” type=”stixCommon:ExploitTargetsType” minOccurs=”0”>

<xs:annotation>

<xs:documentation>The Exploit_Targets field characterizes potential vulnerability, weakness or configuration targets for exploitation by this TTP.</xs:documentation>

</xs:annotation>

</xs:element>

출처: FS-ISAC

[그림 2] STIX 구성요소간 관계도 및 표현 예시

FOC

US

FOCUS 3 국외 사이버 위협 정보공유의 체계조사 51

<표 1> STIX의 8개 구성요소 및 설명

번호 구성요소 설명

1 Observable

•사이버공간에서 관찰가능한 모든 이벤트 관련 구조체 : STIX의 기반 구성요소

• 예시 : 파일관련 정보(이름, 해쉬, 사이즈, 삭제기록 등), 레지스트리 키, 서비스 목록, IP 주소, httpGET 수신기록 등

• 속성 : Observable_Package_Source (Information_Source_Type, Tool_Type, Description, Contributors, Time, Tools, Platform, System, Instance), cybox (Title, Description, Keywords, Obsevable_Source, cybox:Object, cybox:Event, Observable_Composition), Pools (Event_Pool, Action_Pool, Object_Pool, Property_Pool)

2 Indicator

• 위협지표 관련 구조체 : ‘Observable’중 위협지표를 위한 데이터 모음

• 예시 : 해킹된 도메인, 위조된 이메일, 트로이목마와 관련된 파일해쉬 등

• 속성 : Title, Type, Alternative_ID, Description, Valid_Time_Position, Observable, Compositie_Indicator_Expression, Indicated_TTP, Kill_Chain_Phases, Test_Mechanisms, Likely_Impact, Suggested_COAs, Handling, Confidence, Sightings, Related_Indicators, Producer

3 Incident

• 사고 관련 구조체 : ‘Indicator’중 사이버 공격으로 밝혀진 결과

• 예시 : 피해시간 및 피해시스템 등 육하원칙에 기초한 피해·공격 관련 정보

• 속성 : Title, Time, Description, Categories, Reporter, Responder, Coordinator, Victim, Affected_Assets, Impact_Assessment, Status, Related_Indicators, Related_Observables, Leveraged_TTPs, Attributed_Threat_Actors, Intended_Effect, Security_Compromise, Discovery_Method, Related_Incidents, COA_Requested, COA_Taken, Confidence, Contact, History, Handling

4

Tactics, Techniques and

Procedure

(TTP)

• 공격기법 관련 구조체 : ‘Incident’배후의 전략 및 기술, 절차 등 공격기법

• 예시 : (전략) 신용카드정보 유출, (기술) 키로거 등 악성코드가 삽입된 첨부문서를 포함한 표적형 이메일 송부, (절차) 공격목표 설정 → 사회공학적 이메일 및 문서 작성 → 백신위회 악성코드 제작 → C&C 도메인 구축 → 공격메일 발송

• 속성 : Title, Description, Inteded_Effect, Behavior, Resources, Victim_Targeting, Exploit_Targets, Related_TTPs, Kill_Chain_Phases, Information_Source, Kill_Chains, Handling

5 ThreatActor

• 공격자 관련 구조체 : ‘TTP’의 수행주체

• 예시 : -

• 속성 : Title, Identity, Type, Motivation, Intended_Effect, Planning_And_Operational_Support, Observed_TTPs, Associated_Campaigns, Associated_Actors, Handling, Confidence, Information_Source

6 Campaign

• 전체공격 관련 구조체 : ‘ThreatActor’의 의도를 달성하기 위한 1개 이상의 Incident 및 TTP로 구성된 행위

• 예시 : -

• 속성 : Title, Names, Intended_Effect, Status, Related_TTPs, Related_Incidents, Related_Indicators, Attribution, Associated_Campaigns, Confidence, Activity, Information_Source, Handling

7 ExploitTarget

• 취약점 관련 구조체 : ‘ThreatActor의 TTP’실행을 위한 SW 및 시스템, 네트워크, 설정정보의 취약점

• 예시 : CVE 및 OSVDB, CVRF, CWE, CCE 등 포괄

• 속성 : Title, Vulnerability, Weakness, Configuration, Potential_COAs, Information_Source, Handling

CVE(Common Vulnerabilities and Exposures), OSCDB(Open Source Vulnerability Database), CVRF(Common Vulnerability Reporting Framework), CWE(Common Weakness Enumeration), CCE(Common Configuration Enumeration)

8Course of Action

(COA)

• 대응 관련 구조체 : ‘ExploitTarget’치료 및 ‘Incident’대응 등

• 예시 : -

• 속성 : Title, Stage, Type, Description, Objective, Structured_COA, Impact, Cost, Efficacy, Handling

출처: STIX

52 INTERNET & SECURITY FOCUS January 2014

3. 사이버 위협 전송 규격

다음으로, TAXII는 STIX로 표현된 사이버 위협 정보를 실시간으로 공유하기 위한 자동

전송 규격으로서 현재는 HTTP 및 HTTPS 프로토콜을 지원하며, 향후 XMPP 및 SMTP,

SOAP 등 멀티프로토콜을 지원할예정이다. TAXII는 정보생산자가 생성한 사이버 위협 정보

를 정보소비자에게 네트워크를 통하여 전송하기 위하여 관련된 네 가지 서비스 규격을 정

의하고 있다. 서비스의 이름은 PUSH 및 PULL, DISCOVERY, FEED MANAGEMENT

이다. 각각의 서비스는 다양한 세부적인 속성을 가지고 있다. 이에 대한 설명은 <표 2>로

정리하였다.

<표 2> TAXII 4가지 서비스의 주요기능 설명

번호 구성요소 설명

1 PUSH

• 생산자가 소비자에게 정보를 전송하는 서비스 규격

• 서비스명 : Inbox Service

• 속성 : Mesage, Subscription Information, Feed Name, Subscription ID, Inclusive

Begin Timestamp Label, Inclusive End Timestamp Label, Content Block

2 PULL

• 소비자가 생산자의 정보를 요청하는 서비스 규격

• 서비스명 : Poll Service

• 속성 : Poll Request(Feed Name, Exclusive Begin Timestamp Label, Inclusive End

Timestamp Label, Subscription ID, Content Binding), Poll Response(Feed Name,

Inclusive Begin Timestamp Label, Inclusive End Timestamp Label, Subscription ID,

Message, Content Block)

3 DISCOVERY

• 제공정보의 알림을 위한 서비스 규격

• 서비스명 : Discovery Service

• 속성 : Service Instance, Service Type, Services Version, Protocol Binding, Service

Address, Message Binding, Inbox Service Accepted Content, Available, Message

4FEED

MANAGEMENT

• 정보구독 관리를 위한 서비스 규격

• 서비스명 : Feed Management Service

• 속성 : Feed Informatioon Request, Feed Information Response(Feed Information,

Feed name, Feed Description, Supported Content, Available, Push Methode,

Push Protocol, Push Message Binding, Polling Service Instance, Poll Protocol,

Poll Address, Poll Message Binding, Subscription Method, Subscription Method,

Subscription Protocol, Subscription Address, Subscription Message Binding), Feed

Subscription Request(Feed Name, Action, Subscription ID, Delivery Parameters,

Inbox Protocol, Inbox Address, Delivery Message Bindign, Content Binding), Feed

Subscription Response(Feed Name, Message, Subscription Instance, Subscription

ID, Delivery Parameters, Inbox Protocol, Inbox Address, Delivery Message Binding,

Content Binding, Poll Instance, Poll Protocol, Poll Address, Poll Message Binding)

출처: TAXII

FOC

US

FOCUS 3 국외 사이버 위협 정보공유의 체계조사 53

TAXII는 세 개의 정보공유 모델을 지원한다. 참여조직끼리 개별적으로 정보를 공유하는

P2P형(Peer-to-Peer) 및 참여조직들이 중앙의 중계조직을 통해 정보를 분배받는 스타형이

있다. 후자의 경우 중계조직에게 정보를 전송할 수 있는 유무에 따라 Source-Subscriber와

Hub-Spoke로 구분된다. [그림 3]은 이러한 TAXII 공유모델을 간략하게 설명한 것이다.

Peer-to-Peer Source-Subscriber Hub-and-Spoke

Peer-to-Peer Source-Subscriber Hub-and-Spoke

•조직별 일대일 정보공유

Peer-to-Peer Source-Subscriber Hub-and-Spoke

•중앙분배형 정보공유

Peer-to-Peer Source-Subscriber Hub-and-Spoke

• Source-Subscriber형식 +

중앙으로 정보전송 가능

출처: TAXII

[그림 3] TAXII가 지원하는 3가지 공유모델

PUSH, PULL 등 주요 서비스 기능 구현을 위한 TAXII 아키텍처는 세 가지 구성요소를

가진다. 구성요소들의 이름은 TTA 및 TMH, Back-end이다. 각각의 구성요소는 기능별로

모듈화 한 것일 뿐 구현에 있어서 이와 같이 세 부분으로 나눌 필요는 없다. 구체적인 설명은

다음 [그림 4]와 <표 3>으로 정리하였다.

TTA

TMH

TAXII Back-end

Producer TAXII Architecture

TTA

TMH

TAXII Back-end

Consumer TAXII Architecture

출처: TAXII

[그림 4] 주요서비스 기능구현을 위한 TAXII 아키텍처

54 INTERNET & SECURITY FOCUS January 2014

<표 3> TAXII 아키텍처 구성요소 설명

번호 구성요소 설명

1TAXII Transfer Agent

(TTA)

• TAXII 메시지의 송·수신을 위한 네트워크 연결 기능 담당

• 현재 지원하는 네트워크 프로토콜 타입은 HTTP이나 향후 다른 프로토콜 지

원 예정 (XMPP, SMTP, SOAP 등)

2TAXII Message Handler

(TMH)

• TAXII 메시지의 생산·소비를 위한 기능 담당

TAXII 메시지로 변환(TMH→TTA) 및 추출(TTA→TMH)

• 현재 지원하는 메시지 포멧 타입은 XML이나 향후 다른 메시지 포멧 지원

예정

3 TAXII Back-end

• 데이터 저장 및 구독관리, 접근제어결정, 정보 배포 전 필터링 등 TTA와

TMH 기능 이외의 모든 TAXII 기능 담당

TAXII 스펙은 아니며, 사용조직이 상세기능을 결정

출처: TAXII

미국의 국토안보부는 ’13년 CISCP(Cybersecurity Information Sharing and

Collaboration Program)에서 STIX 기반의 Indicator 게시판을 구축하였으며, 미국의

금융 ISAC은 사이버 위협 정보공유 체계를 구축하여 이를 금융기업 및 지자체, FBI,

US-CERT 등이 활용하고 있다.

Ⅲ. 일본의 사이버 위협 정보공유 체계

일본의 정보공유는 IPA２ 기관의 J-CSIP(Initiative for Cyber Security Information

sharing Partnership of Japan)를 중심으로 살펴보고자 한다. IPA는 사이버 공격에 대한

대응을 위해 5대 산업, 45개 참여기업의(’13.12월 현재) 정보공유 체계인 J-CSIP를

`’11.10.25일 발족하여 운영하고 있다. 이는 `’10.12월 경제산업성의 `사이버 보안과 경제연구

회`가 제기한 정보공유 필요성 제언으로부터 시작되었다.

1. 주요 추진이력

`’11.10월 정보공유 체계인 J-CSIP 발족 이후, IPA는 6개월 간 주요 인프라기기 제조업체

２ IPA(Information-technology Promotion Agency) : 日 경제산업성 산하의 IT, 정보보안 관련 전문기관

FOC

US

FOCUS 3 국외 사이버 위협 정보공유의 체계조사 55

와 실무자협의를 통해 기밀유지계약(NDA, non-disclosure agreement) 내용을 구성하고

정보공유 규칙을 수립하였다. 이 기반 위에 `’12.4월 IPA와 각 주요 인프라기기 제조업체 간

NDA를 체결하고 정보공유 운영을 시작하였다. 같은해 7월 전력산업이, 8월에는 화학산업,

10월은 가스산업 및 석유산업이 추가 합류하여 5대 산업, 38개 참여기업이 정보공유를 이루

었다. `’12.10월 산업간 연계를 통한 정보공유 운영이 도입되었고, `’13.10 가스산업 6개 기업

등 총 7개 기업이 추가 참여하여 현재와 같은 모습이 되었다.

３ ４

<표 4> J-CSIP의 주요 추진이력

번호 기간 주요내용

1 2010.12 ~ • ‘사이버 보안과 경제 연구회’개최

2 2011.08• ‘사이버 보안과 경제 연구회’ 중간보고서 (정보공유의 필요성 제언)

• ‘표적형 공격에 대한 정보공유 프레임워크의 파일럿 프로젝트’3 실시

3 2011.09 ~ 10 • 일본 내 표적형 사이버 공격으로 생각되는 몇몇 사안의 발표

4 2011.10.25 • J-CSIP 발족

5 ~ 2012.03• IPA 및 주요 인프라기기 제조업체 9개사 등의 실무자협의를 통해 NDA의 수립 및 정

보공유를 위한 규칙을 정비

6 2012.04

• 주요 인프라기기 제조업체 SIG(Special Interest Group)4와 NDA 체결(IPA와 각 사업자

간 NDA 체결)

• 정보공유를 위한 규칙 정비 완료

• 본격적인 정보공유의 운영을 개시

7 2012.07 ~ 10

주요 인프라기기 제조업체 SIG 상응하는 구조로,

• 전력산업(7월), 화학공업(8월), 가스산업(10월), 석유산업(10월) 대상 SIG를 각각 설립

• 5개 산업 SIG 간 정보공유 운영 도입, 총 38개 기업 참여

8 2012.10 • SIG 간(산업 간)의 연계를 통한 정보공유의 운영을 도입

9 2013.04 • 총 39개 기업 참여

10 2013.07 ~ 10• 총 45개 기업 참여(가스업계 기존 5개 기업에서, 신규 6개 기업 추가)

• NISC가 사무국 담당

출처: J-CSIP

３ ‘정보공유의 틀’을 구축하기 위한 방법과 규칙에 관한 조사 검토를 실시한 프로젝트http://www.jpcert.or.jp/event/CTAPP.html

４ SIG(Special Interest Group) : 각 산업군별로 주요한 사업자의 모음을 지칭하는 용어

56 INTERNET & SECURITY FOCUS January 2014

일본 IPA는 정보공유에 대한 비전으로 ‘사이버 공격에 대한 방어력 제고’로 설정하고 이

를 달성하기 위해 ‘유사한 공격의 조기 탐지 및 피해 방지’와 ‘공격에 대한 방어 실시’, ‘향후

예상되는 공격에 대한 대책 검토’로 정보공유 목표를 수립하였다.

2. 정보공유 정책 및 운영

정보공유에 대한 정책 및 운영은 IPA와 참여기업 SIG(Special Interest Group) 간 NDA

를 체결한 것으로부터 시작된다. 참여기업은 정보제공처에 대한 정보와 민감한 정보를 익명

화하여 탐지된 사이버 공격 정보를 IPA에 제공하면, IPA는 거기에 분석정보를 추가하고 정

보제공자의 승인을 얻어 공유 가능한 정보를 다시 참여기업 간에 공유한다. 즉, J-CSIP는

IPA를 허브로 삼아 참여기업 간의 정보공유를 시행한다. IPA 및 참여기업, 관계기관 간 정

보공유를 그림으로 표현하면 [그림 5]와 같다.

주요 인프라기기제조 업체 SIG

SIG 내 / SIG 간정보공유

전력업계 SIG 가스업계 SIG 화학업계 SIG 석유업계 SIG

정보 제공원이 허가하는 범위 내에서 제휴

중대한 사안 발생시 보고 . 지시

NISC (내각관방 정보 보호 센터)

연계

출처: J-CSIP

[그림 5] IPA 및 참여기업, 관계기관 간 정보공유 관계도

IPA는 필요시, 정보제공처의 허가아래 일부정보를 JPCERT/CC 등 정보보호 관계기관에

FOC

US

FOCUS 3 국외 사이버 위협 정보공유의 체계조사 57

배포하여 사이버 공격에 대한 대책에 활용하게 하며, 중대한 사안 발생시 경제산업성에 보

고하여 해당 업무지시를 수행하며 또한 경제산업성을 통해 NISC(내각관방 정보보호센터)와

연계한다.

3. 정보공유 목록

공유정보의 목록은 스피어피싱(spear-phishing) 등 표적형 공격으로 사용되는 또는 의

심되는 이메일이다. IPA의 발표에 따르면, ’12년 4월 1일부터 ’13년 9월 30일까지 참여기

업으로부터 415건의 표적형공격 이메일을 수집하였고, 중복제거 후 249건을 참여기업에

공유하였다. 수집된 정보에 대하여 IPA는 다음과 같은 분석정보를 추가한다. 이메일 첨부

파일에 대한 악성코드 삽입여부 판단을 통한 의심이메일의 식별, 링크정보에 대한 악성코

드 배포와 관련된 유포·경유 여부 식별, 첨부파일의 악성유형 통계, 이메일 발신지역 통

계 등이다.

일본의 정보공유 체계의 특이점은 많은 종류의 정보들을 공유하는 것에 목표로 두기보다

는 참여기업들간 교환하고 토론할 수 있는 공통의 정보, 즉 교집합정보 1개를 발굴하였다는

것이다.

4. 주요 활동성과

일본은 IPA를 통해 5개 산업, 45개 사업자의 정보공유 체계를 확립하고 단순히 개별공

격정보 공유뿐만 아니라 공격동향 및 여러 공격의 상관관계에 대한 파악이 가능해졌다.

IPA는 공유정보의 통합거점으로 역할을 수행함에 따라 이러한 분석정보의 생산 및 향후

예상되는 공격에 대한 대책검토가 가능해졌다. 이와 더불어 IPA가 뽑은 주요한 활동성과

는 시장에서 경쟁관계에 있는 사업자 간의 정보공유라는 새로운 시도를 했다는 점이다.

이는 정보공유의 허브위치를 공공기관인 IPA가 담당함에 따라 사업자의 이해관계를 중재

할 수 있었기 때문이라는 논리에 근거한다. 또 다른 성과로는 정보관리를 NDA를 전제로

하기 때문에, 정보 제공 및 공유 시 신속한 판단 및 대응이 가능하다는 점이다. 이를 통해

신선도가 높은 정보의 공유로 커뮤니티 전체에 효과적인 공격 탐지 및 방어가 가능하다고

설명한다.

58 INTERNET & SECURITY FOCUS January 2014

일본의 정보공유 선례(Best Practice)

동종의 공격의심 이메일이 여러 조직에 유입된 사건

① 의심 이메일을 발견한 참여기업 A사가 IPA로 신속히 해당 이메일을 전달 ② IPA는 제보 이메일을 분석한 후,

정보제공처 A사의 양해를 얻어, 동종의 이메일을 찾기 위해, 참여기업들에게 정보공유를 당일 실시

③ 참여기업들은 공유된 정보를 바탕으로 자사의 이메일 서버의 로그 검색 등의 조사

④ 참여기업 B사, C사에서 같은 시기에 들어온 동종의 의심 이메일을 발견

⑤ B사, C사는 IPA에 동종의 의심 이메일 발견에 대한 보고

⑤ IPA는 수집된 이메일끼리 공통점, 차이점 및 공격시간차 등을 발견

⑦ 이를 바탕으로 IPA는 분석정보를(이메일간 연관성 및 첨부파일(악성코드)에 대한 공통점과 차이점, 시간순 사

건정리, 공격수법 등) 참여기업에 공유

⑧ 참여기업은 분석정보를 피해확산방지 및 향후대책검토에 활용

출처: J-CSIP

일본은 상기의 성과로 참여기업들이 더 활발한 정보제공을 호소하며 IPA는 정보허브로서

위상이 강화되었다고 설명하며 정보공유의 선순환 사례로 의미를 부여했다.

Ⅳ. 국내 사이버 위협 정보공유 발전방향

현재 국내는 한국인터넷진흥원을 중심으로 한 협의체를 바탕으로 사이버 위협 정보들을

공유하고 있다. 이는 기존 7.7 DDoS 대란(`’09년) 이후 사이버 침해사고를 미연에 방지하고

신속하게 대응하기 위한 노력의 일환으로 시작되었다. 이에 대한 대표적인 성과가 3.4

DDoS 공격(`’11년) 때 나타났다. 당시 3.4 DDoS 공격은 협의체의 신속한 정보공유와 공동

대응으로 그 피해가 미비했다. 하지만 협의체를 중심으로 한 현재의 사이버 위협 정보 공유

체계는 초기 정보공유 형태라고 평가할 수 있다.

사이버 위협의 패러다임은 빠르게 변하고 있고, 이에 대해 우리는 합당한 변화를 요구받고

있었다. 그러나 이런 변화에 적절하면서 신속하게 대응하기란 쉽지 않은 일이다. 그런 측면에

서 3.20 사이버 테러는(`’13년) 우리에게 시사 하는바가 크다. 3.20 사이버 테러는 사이버 위

협이 기존처럼 단발성 공격에 머무르지 않고, APT 공격이라는 새로운 국면에 접어들었음을

보여주었다. 이에 따라 3.20 사이버 테러는 기존 단발성 사이버 위협을 대응하기 위해 각 기

관들과 업체들이 유지해오던 사이버 위협 정보 공유 틀을 무너트리는 사건이 되었다.

FOC

US

FOCUS 3 국외 사이버 위협 정보공유의 체계조사 59

우리는 3.20 사이버 테러 이후 수행해왔던 사이버 위협 및 침해사고 정보에 대한 종합분석

정보의 생산과 공유를 위하여, 정보보호 산업군의 참여기업을 대상으로 계속해서 수집정보

목록을 확대해야하며, 아울러 정보공유를 위한 표준화 작업의 참여를 제시해야 한다. 이를

통해 사이버 위협 서술에 대한 토론을 공론화하고 사이버 위협의 정의·관점·서술에 대한

업계의 전문성을 표준화에 반영하여 특정조직에 치우치지 않고 널리 사용가능한 규격을 제

정해야 한다. 둘째로, 한국은 기반시설 산업군을 공유대상 조직으로 포함·확대해야 하며,

이 조직들과 관련된 합당한 공유정보 목록을 도출해야 한다.

참고문헌

IPA (2013), サイバー情報共有イニシアティブ（J-CSIP）2012年度 活動レポート プレスリリース,

2013.4.17.

IPA (2013), サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2013年4月～6月], 2013.7.26.

IPA (2013), サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2013年7月~9月], 2013.10.25.

STIX (2013), STIX Introductory Brochure, 2013.1.

STIX (2013), Standardizing Cyber Threat Intelligence Information with the Structured Threat

Information eXpression (STIX™) White Paper.

STIX (2013), STIX Use Case Examples — Version 1.0.1, Revision 1, 2013.10.3.

STIX (2013), STIX Profiles Overview White Paper.

STIX (2013), The Secret to Effective Cyber Threat Intelligence and Information Sharing —

STIX, 2013.1.25.

TAXII (2013), Trusted Automated eXchange of Indicator Information (TAXII™) White Paper,

2013.7.11.

TAXII (2013), TAXII Introductory Brochure, 2013.1.

TAXII (2013), TAXII Overview, 2013.4.30.

TAXII (2013), The TAXII Services Specification, 2013.4.30.

TAXII (2013), The TAXII HTTP Protocol Binding Specification, 2013.4.30.

TAXII (2013), The TAXII XML Message Binding Specification, 2013.4.30.

TAXII (2013), The TAXII Content Binding Reference, 2013.5.23