Financial Cyber Threat Intelligence
금융보안원 회원사라면 일간 사이버 위협정보를 메일링 받을 것이다. 해당 메일에는 일간 정보보호 이슈라던가 회원사들 대상으로 위협이 되었던 탐지/차단 시도 등의 정보를 압축해서 보내준다.
요주의 IP들은 건수만 메일링을 해주고 KFISAC이나, FCTI 홈페이지에 실제 IP주소들이 공유된다. 담당자라면 해당 IP를 네트워크 방화벽에 탐지/차단용으로 업로드할 텐데, IP가 한두 개가 아니다 보니 고된 작업(?)이 아닐 수 없다.
필자는 이러한 노가다를 없애버리고 싶었다. 어차피 아웃소싱 인력이 대신 등록하고 있지만 사람이다 보니 오타, 휴가 등으로 인한 IP 등록이 누락될 수 있고, 즉시 처리가 어렵기 때문에 자동화하는 것이 서로에게 윈윈이라고 생각했다.
방법은 사이버 위협정보 공유 자동화 시스템(FCTI)을 활용하는 것이다. FCTI는 2018년 금융위원회의 금융회사 간 침해정보 공유체계 강화 계획에 따라 금융보안원이 구축한 시스템이다.
구조는 심플하다. 위협정보를 공유받고 공유해주면 끝. 해당 서비스를 활용하기 위해선 공유받은 위협정보를 처리하는 중계시스템을 자체적으로 개발하여 만들어야 한다.
다행히 C, Java, Python을 지원하는 API를 제공하고 있어 쉽게 구성이 가능하고 연동 신청서를 쓰고 접속 IP를 함께 전달해야 금융회사의 key파일과 관련 정보를 제공받을 수 있다.
당시 python3으로는 구성이 불가능하다는 사실을 한창 개발하고 있을 때 알게 되어 2 버전으로 mig 했었다. 현재는 지원할 수도..
필자는 공유정보를 받기만 하는 구성으로 만들어 놨고, 특정 경로에 txt 파일로 떨어지도록 개발해놨다.
팔로알토 방화벽은 EDL(External Dynamic Link) 기능을 통해 해당 경로의 txt를 읽어 자동으로 txt내의 IP를 차단할 수 있다.
FCTI를 통해 요주의 IP뿐만 아니라 피싱/파밍에 관련된 정보, 악성코드 유포지 등 여러 데이터들을 자동으로 제공받을 수 있기 때문에 금융보안 담당자라면 반드시 활용해야 할 시스템이다.
요약하자면 자동화를 위해 필요한 구성은 다음과 같다.
금융보안원 FCTI,
API연동이 가능한 FW,
FCTI 중계서버(자체개발)