점차 지능화·고도화되는 사이버 위협을 기존의 보안 및 사고 대응 시스템을 통해 탐지하고 예방하는 데에는 한계가 있다. 이에 대한 효과적 대응을 위하여 위협정보 수집, 선별 및 분석, 실시간 정보 공유가 중요시되고 있으며, 조직은 위협에 대응하기 위한 수단으로서 ‘사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)'를 공유하도록 권장받는다.
사이버 위협 인텔리전스 시스템은 사이버 위협을 분석하고 해당 정보를 공유함으로써 사이버 위협에 능동적으로 대응하기 위한 시스템이다. 각 기관의 위협 대응 능력을 해당 정보의 공유를 통해 극대화한다. 그러나 사이버 위협 인텔리전스 공유를 위해서는 개인정보보호 등 해결해야 할 과제가 많으며, 해당 내용을 공유한다면 강력한 보안상의 보호가 필요하다. 또한, 잘못된 사이버 위협 인텔리전스가 공유될 시 보안 조치가 잘못된 정보를 기반으로 이루어져 위협을 방어하는 데 방해가 될 수 있다.
「사이버 위협 인텔리전스 활성화를 위한 블록체인 기술 적용 방안 : 신뢰성 관점에서(2021)」라는 제목으로 게재된 논문은 블록체인 기술을 사용하여 사이버 위협 인텔리전스의 데이터 수집 단계에서의 신뢰성 문제와 프라이버시 문제를 개선하기 위한 방안을 제시하였다.
블록체인 기반 사이버 위협 인텔리전스 시스템, 그 구성과 아키텍처는?
시스템의 구성은 참여자와 소비자, 블록체인 네트워크, 사이버 위협 인텔리전스 피드 등의 4가지로 구성된다. 본 연구에서 제안하는 시스템은 하이퍼레저 패브릭을 사용하는데, 이는 프라이빗 블록체인 중 하나로서 허락된 참여자만이 접근 가능하여 신뢰 형성에 도움을 준다.
우선 사이버 위협 인텔리전스 시스템의 참여자는 두 가지 기능을 수행하는데, 첫 번째로 내부 시스템에서 관측된 사이버 위협 정보를 시스템에 공유하는 역할을 한다. 공급자는 사이버 위협 인텔리전스 시스템의 블록체인 네트워크에 발견한 사이버 위협 관련 로그 데이터를 전송한다. 유용한 것으로 결정된 데이터는 블록체인 네트워크에 받아들여진다.
두 번째로 특정 사이버 위협 인텔리전스 정보 조회가 가능하며, 사이버 위협 인텔리전스 피드를 통해 사이버 위협 정보를 주기적으로 받을 수 있다. 사이버 위협 인텔리전스 시스템의 참여자는 데이터를 소비하는 1차 주체이기 때문이다.
블록체인 네트워크의 핵심 역할은 데이터를 사이버 위협 인텔리전스 시스템에 전달하고 저장하는 것이다. 블록체인 네트워크 구현 시 구성한 스마트 계약은 참여자가 신뢰할 수 있는 절차를 거쳐 데이터를 공유할 수 있도록 해준다. 블록체인 기반의 사이버 위협 인텔리전스 프레임워크는 데이터의 타당성을 평가하는 데 도움을 줄 수 있는데, 데이터에 대한 높은 수준의 무결성, 그리고 추적 가능성 제공이 가능하기 때문이다.
CTI 피드의 경우 기존의 피드와 기본적 역할은 다르지 않지만, 블록체인 네트워크를 통해 사이버 위협 인텔리전스 시스템에서 정보를 받는다. CTI 피드는 사이버 위협 인텔리전스 정보를 재구성하는데, 이는 참여자가 블록체인 네트워크에 제공한 데이터 혹은 다른 수집 채널을 통한 사이버 위협 정보의 수집과 이것의 분석을 통해 이루어진다. 사이버 위협 인텔리전스의 각 피드는 참여자가 제공한 데이터를 평가해, 정보의 유용성을 평가한다.
마지막으로, 시스템 운영자는 블록체인 내에서 데이터 요청이나 유용성에 관한 내용을 블록에 저장하는 역할을 수행한다. 이를 통해 데이터에 대한 추적이 가능하고 감사 기능 수행도 가능하다.
본 논문에서 제안하는 시스템의 아키텍처는 참여자 계층, 블록체인 네트워크 계층, CTI 피드 계층으로 구성된다.
사용자 계층에는 사이버 위협 정보를 공급하고 소비하는 참여자가 속하는데, 각종 기관 혹은 기업체가 이에 해당한다. 이들은 내부 보안 시스템을 보유하고 있으며, 블록체인 네트워크에 각 기업에서 관찰한 위협 관련 데이터를 전달하고 이를 공유한다.
블록체인 네트워크 계층은 블록체인 네트워크, 그리고 시스템 운영자 노드로 구성되어 있다. 블록체인 네트워크에는 사용자 계층에서 보고된 위협 정보나 특정 사이버 위협 인텔리전스에 관한 정보 요청 내용이 전송된다.
사이버 위협 인텔리전스 피드 계층에서의 피드들은 사이버 위협 인텔리전스 서비스를 제공한다. 각 피드의 용도는 다양하며, 블록체인 네트워크에 보고된 데이터를 선택적으로 수집하고 이를 평가한다. 평가된 데이터는 유용성이 결정되고, 악의적인 데이터로 판단될 경우 해당 데이터를 제공한 참여자에 대한 경고를 생성한다. 생성된 경고 정보는 제공하는 정보의 유용성을 향상할 수 있는데, 이는 참여자의 평판을 떨어뜨리기 때문이다.
본 논문에서는 위에서 제시한 아키텍처의 사이버 위협 인텔리전스 데이터 공유 프로세스에 대해서도 설명했다. 데이터 공유 프로세스는 총 5단계로 구성되며, 제안된 아키텍처와 더불어 사이버 위협 인텔리전스 신뢰성 문제를 완화하는 데 기여할 수 있을 것으로 보인다.
<출처>
1. 황재현. (2021). 사이버 위협 인텔리전스 활성화를 위한 블록체인 기술 적용 방안 : 신뢰성 관점에서. 시큐리티연구, 66, 229-250.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 사회복지교육은 미래복지의 나침반이 되어야](/news/data/2026/01/16/p1065596364370517_157_h.png)
