위협 인텔리전스를 최대한 활용하기 위한 4가지 팁

CSO
잠재적 위협에 대한 데이터를 쉽게 수집할 수 있지만 이를 통해 보안 태세를 향상시키기 위해서는 해야 할 일이 있다. 위협 인텔리전스(threat intelligence)는 보안 전략을 수립하려는 모든 기업에게 중요하다는 것은 의심할 여지가 없다. 하지만 위협 인텔리전스만으로는 많은 가치를 제공하지 못한다. 잠재적인 취약성 또는 새로 떠오르는 위협에 대한 정보 외에도 정보의 흐름을 관리하고 이에 대응할 수 있는 방법에 대한 전문 지식이 필요하다. 
 
ⓒ Getty Images Bank

보안 상태를 개선하고 위협 인텔리전스를 효과적으로 작동시키려면 고려해야 할 몇 가지 요소가 있다. 다음은 수집한 데이터를 사용해 기업을 보호할 수 있는 4가지 팁이다.  

1. 위험 허용 수준을 파악하고 우선 순위를 설정하라 
공급업체는 유용한 위협 인텔리전스를 수집하는 모든 방법의 소프트웨어 도구를 판매한다. 그러나 기업은 도구를 구매하기 전에 어떤 종류의 위험 허용 수준(risk tolerance)을 고려해야할지 결정하는 것이 중요하다. 

모든 잠재적 위협을 예방할 수는 없으므로 정보 보안에 대해 생각할 때 어떤 데이터가 가장 중요한지 정확하게 파악해야 한다. 제한된 자원과 과부하가 걸린 직원으로 워크플로우를 쉽게 관리하고 자사의 진정한 생명선을 안전하게 지킬 수 있는 유일한 방법은 적절한 우선 순위 지정이다.
 
일부 기업은 모든 것에 대해 평판을 얻고, 어떤 기업은 특정 데이터 세트를 보호하길 원할 수 있다. 또 다른 기업은 영업 흐름을 유지하는 데 집중할 수도 있다. 의사결정권자는 기업 전체를 아울러 가장 중요한 것을 파악해야 한다. 기업에서 일어날 수 있는 가장 큰 피해는 무엇인가, 수용가능한 것으로 간주될 수 있는 위협이 있는가. 

한정된 자원을 갖고 있기 때문에 이 단계의 중요성은 아무리 강조해도 지나치지 않다. 

2. 환경을 이해하라 
효과적으로 우선 순위를 정하기 전에 현재 상황에 대한 완전한 파악이 필요하다. 포괄적인 자산 목록을 만들어라. 관리되지 않는 기기를 찾아 사각 지대를 없애라. 유입되는 위협 인텔리전스를 사용하려면 다른 위협이 언제, 어디서 적용되는 지를 즉각적으로 이해해야 한다. 

콘텍스트 내 위협은 무엇을 의미하는가. 특정 기기에서 특정 버전의 애플리케이션, 특정 프린터 드라이브, 스마트 서모스탯(thermostat)에 액세스하는 방법을 이용해 잠재적인 위협에 대한 새로운 인텔리전스를 얻은 경우, 해당 내용이 자사에 적용되는지 여부를 즉시 알아야 한다. 자사의 환경에 영향을 줄 가능성은 없는가. 그리고 이 위협들이 자사의 진정한 우선 순위와 관련해 어떤 의미를 가지는가.
 
3. 자동화를 채택하되, 고립되서는 안된다 
보안 자동화에 대한 논쟁은 상당히 뜨거운데, 이는 정당한 이유가 있다. 적절한 경우, 보안 프로세스를 자동화하고 도구가 위협 인텔리전스를 자율적으로 처리하는 것이 중요하다. 자동화를 통해 제한된 인력 풀을 확보해 최대 효과를 낼 수 있는 곳에 집중할 수 있다. 지루하고 반복적인 작업을 어느 정도 완화할 수 있지만, 자동화는 사람과 전문 기술을 대신할 순 없다.  

사이버 방어를 강화하기 위한 머신러닝의 잠재력은 크지만 많은 공급업체가 현재의 기능을 과장하고 있다. 현재까지는 인간과 기계를 결합해야만 최고의 결과를 얻을 수 있다. 

4. 숙련된 사람을 고용하고 훈련하라 
우선 순위와 환경을 이해하고, 올바른 도구와 기능이 제대로 작동하고 있음에도 불구하고 기업에는 여전히 자격을 갖춘 전문가가 필요하다. 현재 보안 환경에서 보안 인재를 찾는 것은 매우 어렵다는 사실은 비밀이 아니다. 

가능한 경우, 내부에서 교육과 훈련을 통해 인재를 조달하고 이게 불가능하다면 컨설턴트나 아웃소싱을 고려하라. 적법한 위협 인텔리전스를 적절한 사람에게 제공하면 가장 큰 효과를 볼 수 있는 곳에 방어 노력을 집중할 수 있다. editor@itworld.co.kr