사이버보안 국제공조 견인차,‘FIRST’는 무엇?

FIRST CON SEOUL세계 최대규모의 국제침해사고대응협의회(FIRST) 연례 컨퍼런스가 지난 13일부터 17일까지 서울 여의도 콘래드호텔에서 열렸다. 한국에서는 처음 개최된 행사다. 미래창조과학부와 한국인터넷진흥원(KISA)이 주최측을 맡은 이번 컨퍼런스로 최일선에서 사이버공격에 대응하는 세계 각국의 보안전문가들이 대거 방한했다.

FIRST(www.first.org)는 전세계 사이버보안 강화를 위해 1990년 공식 출범한 민간 침해사고대응팀간 협의체다. 침해사고 예방을 위한 협력과 공조를 장려하고 신속한 사고 대응을 이끌어 내기 위한 활동을 벌이고 있다. 창립 당시에 미국에서 5~6명의 멤버가 모여 시작했지만 지금은 세계 75개국 345개 기업, 정부기관, 대학교 등이 참여하고 있다.

이 협의체는 1980년대 후반 이후 컴퓨터 바이러스와 웜이 지속적으로 등장하면서 침해사고가 잇달아 발생했지만 제대로 대응하지 못하고 혼선을 빚었던 경험을 토대로 만들어졌다.

1988년 11월 일어난 컴퓨터 웜(WANK)에 의한 침해사고에서 대응 공조가 일사분란하게 이뤄지지 못해 사태 해결은커녕 중복되고 혼란을 유발하는 일이 발생했던 것을 계기로 미국에서 CERT 협력센터(Coordination Center)가 조직됐다. 미국 에너지부는 사이버위협으로부터 자국민을 보호하기 위해 컴퓨터 침해사고 자문기구인 CIAC(Computer Incident Advisory Capability)를 조직했다.

이후 2년간 다양한 분야에서 침해사고대응팀(CERT)이 생겨났지만 각 팀간 보다 긴밀한 소통과 협조 필요성이 부각됨에 따라 1990년에 FIRST가 공식 창설됐다.

사이버침해사고에 효과적으로 대응하기 위해 가장 중요한 것은 정보공유와 협력, 공조가 중요하다는 것을 인터넷이 크게 활성화되기도 전인 25년 전에도 인지하고 있었던 것이다.

우리나라는 인터넷침해대응센터(krCERT/CC)를 운영하고 있는 한국인터넷진흥원(KISA)을 비롯해 총 8곳이 FIRST에 참여하고 있다. KISA, 국가사이버안전센터(NCSC), SK인포섹, 안랩, 금융보안원, 교육사이버안전센터, 이글루시큐리티, 그리고 네이버와 관계사의 IT인프라 운영과 서비스를 제공하고 있는 NBP(네이버비즈니스플랫폼)가 올해 가입했다.

FIRST는 매년 대규모 컨퍼런스를 개최해 다양한 지역의 침해사고대응팀 간 교류의 장을 열고 있다. 이번 컨퍼런스는 28회째로, ‘인터넷침해사고의 근원에 다가가다(Getting to the Soul of Incidents Response)’는 주제 아래 다양한 사이버보안 현안과 기술, 정책 이슈를 살펴보고 논의했다.

16061400 이번 컨퍼런스 참석차 방한한 FIRST 의장과 임원진들은 행사기간 열린 기자간담회에서 역시 사이버보안 분야의 국제 협력과 공조에 대한 중요성을 가장 강조했다.

노르웨이 국가사이버센터 소속인 마가렛 라움 의장은 “사이버보안은 범국가적인 문제로, 국가마다 보안 성숙도와 수준이 다르기 때문에 서로 협력하는 것이 중요하다”고 강조하면서 “FIRST는 개도국을 포함해 다양한 지역의 사이버침해대응팀이 역량을 향상시킬 수 있도록 다양한 프로그램을 지원하고 있다”고 밝혔다.

라움 의장은 “사이버공격이 일어났을 때 누가 왜 어떻게 공격했는지 알아야 한다. 혼자서는 공격에 대응할 수 없기 때문에 지속적으로 협력해야 한다”고도 했다.

전임 FIRST 의장을 역임한 임원진인 마틴 반 호렌비크는 “FIRST는 다양한 분야에서 사이버침해대응 업무를 수행하는 회원들의 기술 역량을 하나로 모으는데 목표를 두고 있다”며 “각국의 침해대응조직이 사이버위협에 효과적으로 대응할 수 있도록 적절한 사람을 발굴하고 도구를 활용할 수 있도록 도와주고 있다. 취약점과 악성코드 정보를 포함해 위협 정보도 지원한다”고 설명했다.

FIRST가 중요하게 내세우는 운영원칙은 ‘중립성’이다. 예를 들어 역사문제로 광복절이나 스포츠 경기가 개최될 경우를 포함, 때때로 양국 국민들 간 첨예한 갈등과 감정 싸움이 고조되면서 사이버공격이 벌어질 때에도 일본과 한국의 대표 침해사고대응조직(CSIRT, Compurter Security Incident Response Team)은 서로 공조한다.

임원진인 코이치로 코미야마는 “일본과 한국의 CSIRT는 일본과 한국 네티즌이 서로의 웹사이트를 대상으로 디도스(DDoS) 공격을 벌이거나 양국의 정부기관이나 유명 포털 등의 웹사이트를 대상으로 한 공격이 포착되면 서로 정보를 공유한다”고 설명하면서 “한국과 일본은 역사적으로 많은 문제가 있지만 CSIRT는 사이버상의 보안과 안전이라는 공동 과제를 추구하고 있다. 각국의 CSIRT는 침해사고 대응이 빠르게 이뤄지도록 하는 것이 가장 중요한 역할이다”고 설명했다.

S_CanonCanon EOS 6D_20160613_112900_297-2최광희 KISA 인터넷침해대응본부 침해대응기획팀장은 FIRST의 가장 중요한 기능으로 “역량 향상과 정보공유”를 꼽으면서 “최근의 사이버공격은 한 국가나 조직에서 대응할 수 없다. FIRST 활동을 통해 최근 위협 정보공유와 사고 대응이 빨라지고 있다”고 말했다.

또한 최 팀장은 “340여개 회원 가운데 한국에서는 8곳만 참여하고 있다는 것은 적은 수치”라며 “더 많은 한국기업이 FIRST같은 글로벌 네트워크 활동에 더욱 적극적으로 참가할 필요가 있다. 자칫하면 글로벌 위협이나 대응 정보를 알 수 없어 소외되는 문제가 발생할 수도 있다”고 지적했다.

FIRST는 가입만 한다고 해서 모든 회원들이 취약점, 위협, 실제 침해사고 관련정보를 받을 수 있는 것은 아니다. 예를 들어 시만텍, 인텔시큐리티, 포티넷, 팔로알토네트웍스 등 글로벌 보안기업들이 사이버위협 인텔리전스·정보 공유를 위해 만든 사이버위협얼라이언스(CTA)처럼 회원마다 아직 공개되지 않은 악성코드 샘플이나 관련정보를 매일 1000개 이상 공유해야 한다는 것 같은 의무 규정은 없다.

컨퍼런스나 워킹그룹 참여 등을 포함해 FIRST 안에서 얼마나 적극적으로 활동하고 교류해 서로 신뢰를 쌓았는가에 따라 받을 수 있는 정보의 수준과 범위, 즉 질과 양이 달라진다.

이와 관련해 최 팀장은 “이번 컨퍼런스처럼 FIRST의 다양한 활동에 참여해 다른 지역의 전문가들과 교류하는 과정에서 자연스럽게 서로 필요한 정보가 공유되는 활동으로 이어지게 된다”며 “적극적으로 활동해야 FIRST 가입 혜택을 얻을 수 있다”고 했다.

FIRST는 연례 컨퍼런스 외에도 보안전문가를 위한 여러 학회와 심포지엄을 개최하고 있다. 분과회(Special Interest Groups, SIGS)도 운영해 취약성 보고 및 데이터 교환, 취약성 조정, 정보공유 교환 활동 등의 워킹그룹을 운영한다. 표준화그룹, 토론그룹과 더불어 각종 교육·훈련 프로그램도 운영한다.

S_CanonCanon EOS 6D_20160613_114358_297한편, 지난 13일 공식 행사 첫 기조연설을 맡은 임종인 고려대학교 교수(사이버보안정책센터장)는 앞으로 FIRST에서는 사이버보안 분야에서 기술적인 협력을 넘어선 정보 교류가 이뤄져야 한다고 제안하기도 했다.

임 교수는 먼저 “방글라데시중앙은행, 소니픽처스 해킹 사건에서 볼 수 있는 것처럼 최근의 사이버공격은 경제적, 정치적 문제와 연관돼 있으며, 전세계적인 문제”라고 진단했다.

이어 임 교수는 “이제는 사이버보안을 기술적으로만 해결할 수 없다. 법률이 필요하다. 하지만 다양한 의견을 조율해 법을 만드는 일이 쉽지 않다”며 “작년에 미국이 사이버보안정보공유법(CSIA) 입법에 성공했다. 영국은 사이버테러방지법을 제정했다. 이제는 FIRST가 기술적인 문제를 넘어 프라이버시 등 각종 논란을 넘어 제정한 사이버보안 정보공유, 사이버테러방지 관련입법 경험과 사례도 공유해야 한다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다