“안전한 사이버 위협정보 공유 체계를 구축한다” TLP의 이해

원문보기:
https://www.itworld.co.kr/news/279415#csidxc16e5d6a770210ca9ca18f6d2b80d4a 

TLP(Traffic Light Protocol)는 잠재적으로 민감한 위협 정보의 공유를 촉진하고 보안 방어 담당자와 시스템 관리자, 보안 관리자, 연구원 간의 더 효과적은 협업을 지원하기 위해 만들어졌다.

TLP가 탄생한 배경에는 보안 경보를 서로 공유하기 시작한 여러 국가의 공공 부문 보안사고 대응팀의 노력이 있었다. 위협 데이터를 받은 사람이 해당 데이터의 민감도를 평가하고 다른 사람과 공유하고 그 과정에서 악의적 행위자에게 도움이 되거나 개인 데이터를 노출하거나 개인정보 보호 규정을 위반하지 않도록 하는 것이 목적이다. 
 

ⓒ Carter Saunders/Unsplash

TLP는 색 코드 분류를 사용한다. 바로 이런 부분에서 신호등(Traffic Light)이라는 개념이 적용됐다. 각 색상은 데이터 공유 방법을 의미한다. 적색(TLP:RED)은 완전한 중지, 황색(TLP:AMBER)은 비공유 자체가 위험한 경우가 아닌 한 중지, 녹색(TLP:GREEN)은 데이터를 공유해도 안전하다면 공유할 수 있음을 의미한다. 버전 2.0에서는 공유 제약 사항을 더 명확히 했고 미국 CISA(Cybersecurity and Infrastructure Security Agency)은 TLP 2.0 가이드를 발표했다.

위협 데이터의 안전한 공유

위협 데이터 공유는 민감한 사안이다. 위협을 발견할 경우에는 그 위협에 대한 어떤 정보를 공유할지 신중하게 판단해야 한다. 예를 들어, 유럽 사이버 기관인 ENISA는 “CSIRT(Computer Security Incident Response Team) 담당자 회의에서 진행되는 프레젠테이션은 참석자 대부분에게 TLP:RED에 해당하지만, 이 정보에 대해 조치를 취할 수 있는 팀에는 예외적으로 TLP:AMBER가 적절할 것”이라고 말했다. 과거에는 취약점의 완전 공개, 책임 공개, 제한적 공개 분류 체계를 사용했지만, TLP은 세밀한 접근이 더 효과적임을 보여준다.

TLP의 체계는 비밀/일급비밀과 같은 기밀문서 표식에서 영감을 받았지만, TLP와 기밀문서 분류는 전혀 관계가 없다. TLP는 기밀문서에 사용해서는 안 된다. 일부 국가는 핵심 인프라에 대한 위협과 같은 특정 종류의 데이터를 자동으로 기밀로 분류해서 해당 데이터의 배포를 철저히 통제한다.

TLP의 간단한 역사

미국은 몇 년에 걸쳐 일련의 정보 공유 및 분석 센터(Information Sharing and Analysis Centers, ISAC)를 만들었다(영국에서는 ‘정보 교환’이라고 함). 가령 선거 보안, 유틸리티 보안, 자동차 보안을 위한 ISAC처럼 다양한 수직 산업에 맞게 정립됐다. 이런 프로토콜이 사고 대응 및 보안 팀 포럼(Forum of Incident Response and Security Teams, FIRST)에 채택됐고 포럼은 2016년 8월 TLP 1.0을 발표했다.

이후 2022년 8월에 개선된 TLP 2.0이 발표됐다. 당시 더블린 회의에서는 TLP 2.0에 대한 광범위한 논의가 이뤄졌다. 그때부터 업데이트된 프로토콜을 지원하는 다양한 제품이 나왔다. 현재 전 세계에서 50명 이상의 특별 관심 그룹 회원이 TLP에 기여하고 있다.

TLP 2.0이 논의된 이유 중 하나는 표준의 정밀함을 높여 유용성을 높이기 위해서였다. FIRST TLP SIG 공동 의장인 돈 스티크부트는 더블린 회의에서 “커뮤니티 내부, 회사 내부, 비즈니스 섹터 내부, 국가 내부, 그리고 전 세계적으로 기밀 정보와 민감한 정보가 더 많이 배포되고 있다. 따라서 민감한 정보를 적절한 대상과 공유하고 있음을 보장하기 위해 쉽게 사용하고 이해할 수 있으며, 번역이 본래 의미를 왜곡할 일이 없을 정도로 간결한 시스템이 필요하다. 업데이트되고 현대화된 TLP 버전 2.0은 그 조건에 부합한다”라고 말했다.  

TLP 2.0의 주요 업데이트

가장 중요한 TLP 2.0의 변경 사항은 다음과 같다.
 

• 영어가 모국어가 아닌 사람도 더 쉽게 이해할 수 있도록 하고 다른 언어로의 번역 정확성을 높이기 위해 표준에 사용되는 언어를 명확하게 다듬었다. 지금까지 TLP는 네덜란드어, 포르투갈어, 프랑스어, 일본어, 노르웨이어로 번역됐다. 스티크부트는 “이해를 강화하기 위해 최대한 간단명료하게 유지하고자 했다”라고 설명했다. 표준 문서에 사용되는 용어에 대한 일관성도 확보했다.
• 다양한 문서에 사용될 RGB, CMYK, 16진수 색 코드를 포함하기 위한 색 테이블이 추가됐다.
• 고착화된 인종차별적 언어를 배제하기 위한 전 세계적인 노력에 따라 TLP:WHITE가 TLP:CLEAR로 바뀌었다.
• 수신자의 조직에만 제한되는 정보를 강조하기 위해 TLP:AMBER+Strict 레이블이 추가됐다. 매우 유용한 표식으로, 많은 기업이 공급망에서 경험한 정보 노출을 감안할 때(가령 솔라윈즈나 VM웨어 ESXi 취약점) TLP가 얼마나 효과적일 수 있는지 알 수 있다.

TLP를 업데이트한 이유

더블린 회의에서는 ISP 또는 통신 업체와 같은 서비스 공급자 간에 다양한 색 표식에 따라 데이터가 공유되는 방식과 여러 당사자 간에 공유되는 과정에서 이 방식이 어떻게 변경되는지에 관한 논의가 있었다. 또한 데이터가 한 곳에서 다른 곳으로 공유될 때 그 민감도에 따라 위협 표식이 변경되는 방식도 결정했다. 스티크부트는 “문서의 최초 작성자 또는 발송자가 표식 수준을 책임진다. 특히 정보를 받아서 전달하는 경우에는 정보를 전파하는 방식을 명확히 판단해야 한다”라고 말했다.

CISA 소속인 토마스 밀러는 TLP 공동 회장이다. 밀러는 개선된 프로토콜에 예상치 못한 긍정적인 부수적 효과가 있다면서 “아직 TLP를 사용하지 않거나 매우 제한적으로 사용 중인 잠재적 도입자가 TLP에 더 많은 관심을 보이고 있다. 이전에는 대화에서 참여하지 않았던 새로운 커뮤니티가 관심을 보이고 있는 것은 좋은 일”이라고 말했다.
 
TLP 외에도 보안 위협 정보를 서로 공유하고 자동화된 다양한 작업 및 툴에서 더 쉽게 사용할 수 있는 위협 메타데이터를 체계화하기 위한 노력은 많다. 이와 같은 활동의 목표는 연구원과 방어자 사이에 연결 고리를 만들고 맬웨어가 어떻게 작동하는지 이해하고 침해 지표를 부여해서 침입 탐지 시스템이 이런 위협을 찾고 맬웨어 데이터를 공유하고 무력화하는 데 도움이 된다.

대표적인 사례가 ATT&CK 프레임워크를 통해 위협을 분류하고 공급망 위협에 대해서도 비슷한 프레임워크를 만들려는 MITRE의 노력, 그리고 NATO에서 파생된 맬웨어 정보 공유 프로젝트(Malware Information Sharing Project, MISP)의 일부이자 현재 다양한 상용 제품에 사용되는 표준 STIX 및 TAXII 등이 있다.

MISP는 위협 이벤트와 그에 대한 조치를 자동으로 동기화한다. MISP는 STIX 프로토콜을 사용해서 각 이벤트에 대한 데이터를 체계화한다. 여러 솔루션 업체가 위협 피드 데이터를 MISP 프레임워크에서 공유할 수 있게 해주는 커넥터를 보유하고 있다. 시만텍의 딥사이트 인텔리전스(DeepSight Intelligence), 카스퍼스키 위협 피드, 싸이웨어(Cyware) CTIX, 맥아피의 액티브 리스폰스(Active Response) 등이 여기에 해당한다. 

오픈소스 및 상용 위협 인텔리전스 플랫폼과 MISP 통합에는 스렛쿼션트(ThreatQuotient) 플랫폼과 이클레틱Q(EclecticIQ) 플랫폼이 포함된다. 이런 상용 플랫폼은 MISP를 한 걸음 더 발전시켜 STIX 및 ATT&CK 데이터를 사용해 위협을 시각화하고 자동화된 작업을 생성해서 위협을 관리 및 제거하며, 그 외의 공격 후 손실 완화 작업을 수행할 수 있다.

어디서부터 TLP를 시작해야 할까?

위협 데이터를 아직 코드화하지 않았다면, 지금이 STIX와 TAXII에 대해 연구하고 이런 표준을 어떻게 사용하고 위협을 분류하는 데 어떻게 도움이 되는지 알아봐야 할 시간이다.

그런 다음 자동화된 지표 공유(Automated Indicator Sharing, AIS)라고 하는, 기계가 읽을 수 있는 위협 정보의 실시간 교환에 도움이 되는 MISP와 CISA 프로그램을 살펴보자. 무료 서비스이며, 맬웨어 침입 시도에 대한 데이터와 위협 대응 및 방어 방법을 제공한다. 이 프로그램에서는 TLP와 STIX 프로토콜을 모두 사용하고 TLP 2.0은 2023년 3월부터 지원한다. 다양한 분류 색상과 최선의 사용 방법을 보여주는 FIRST의 유용한 참조 가이드도 있다.

다음으로, TLP의 핵심은 제품이 아닌 삶의 방식임을 알아야 한다. 공급업체와 파트너, 소프트웨어 공급망 전반에 어떻게 전파하는지를 포함해 현재 조직 전반에서 위협 데이터를 공유하는 방법을 검토하라. 

밀러는 “시스템의 구성 요소를 사람, 프로세스, 기술이라고 한다면 TLP는 99% 사람과 프로세스다. 기술이 TLP를 지원한다면 좋은 일이지만, 기본적으로 TLP는 프로세스의 일부가 되어야 하고 그 프로세스를 실천하는 것이 사람”이라고 말했다.

이어 “TLP는 이 위협 정보를 체계화해서 다른 사람과 공유하는 방식에 관한 것이다. 민감한 정보를 다른 조직과 공유하고자 하는 모든 보안 조직은 TLP를 사용해야 한다. 꼭 ISAC 컨텍스트에 포함되거나 특정 기술과 관련될 필요가 없다. 물리적 보안 정보에 TLP를 사용하는 조직도 있다. 간단하고 실용적이며, 안심하고 정보를 공유할 수 있게 해준다”라고 강조했다.

이 게시글이 문제가 될 시, 삭제하겠습니다.

참조 URL : https://www.itworld.co.kr/news/279415#csidxbc8bf85bea328f2b1c95d29ce1207e6