사이버 위협, ‘정보공유’와 ‘기계학습’으로 해결

사이버 위협, ‘정보공유’와 ‘기계학습’으로 해결

지능형 위협 정보로 악성코드 분석

국내 보안 사고가 심심치 않게 들려온다. 지난 해에는 금전 이득 목적으로 비트코인 거래소를 공격한 사건이 자주 발생했다.

보안 시스템은 네트워크를 검열한다. 그런데도 보안 시스템이 악성코드를 탐지하지 못하는 이유는 무엇일까? 보안 시스템을 우회하는 악성코드가 있기 때문이다. 이는 보안 업계의 가장 큰 고민거리이다.

해커는 악성코드를 숨기기 위해 우회 수단을 쓴다. 대표적으로 ‘네트워크 암호화’가 우회 방법에 해당한다. 최근 네트워크 암호화를 악용해서 악성코드를 숨기는 경우가 늘어나고 있는데, 이는 보안 시스템이 네트워크의 내용을 검열할 수 없게 한다.

 모든 네트워크를 보안 시스템이 검열할 수 없다. ⓒ DoN CIO

악성코드가 있어도, 보안 시스템은 이를 탐지하지 못한다는 뜻이다. 참고로 2014년 보안 전문 기업 시만텍(전 블루코트)은 지능형 공격(APT)의 80%가 네트워크 암호화 방식을 사용한다고 밝혔다. 이외에 코드 난독화, 패킹 등 다양한 소프트웨어 기술을 활용해 악성코드를 숨기는 경우가 많다.

우수한 보안 시스템을 활용해 철저하게 분석한다면, 우회하는 악성코드를 발견할 수 있을 것이다. 그런데 수많은 네트워크를 실시간으로 분석하는 것은 어렵다. 네트워크 성능에 큰 영향을 미치기 때문이다. 그러므로 탐지하지 못하는 악성코드가 생길 수밖에 없다. 2014년 12월 한수원 (한국수력원자력)이 악성 메일로 도면과 직원 정보가 유출된 적이 있었다. 총 5,980건 악성메일이 한수원으로 발신됐지만, 보안 시스템은 이를 탐지하지 못했다.

지능형 위협 정보로 악성코드를 효과적으로 분석

악성코드 유무의 일반적인 분석은 사전분석, 동적분석, 정적분석 순으로 진행한다. 사전분석은 보안 시스템이 가지고 있는 악성코드 값을 기반으로 네트워크에 악성코드 값이 있는지를 비교하는 방식이다. 비교만 하면 되기 때문에, 처리 속도가 빠르다. 대신 우회 및 신종 악성코드를 탐지하기 어렵다.

동적분석은 가상환경에 직접 코드를 실행시켜 보는 것이다. 보안 시스템이 정의한 악성 행위를 하면, 해당 코드는 악성코드로 판명한다. 사전분석에서 탐지하지 못했던 우회 및 신종 악성코드를 분석할 수 있지만, 직접 코드를 실행시켜야 한다. 이는 많은 시간을 소요하게 한다. 그런데도, 우회경로는 여전히 존재하는데, 동적분석 방법은 고도의 악성코드를 탐지하지 못하는 경우가 많다. 가령 해커가 악성코드를 가상환경에서 동작하지 않게끔 고도화한다면, 동적분석으로 탐지하기 어려워진다.

정적분석은 코드는 완전히 해부해서 분석하는 방식이다. 우회 악성코드를 가장 정확하게 탐지할 방법이다. 문제는 시간이 동적분석 보다 일반적으로 더 많이 걸린다. 참고로 신종 악성코드 탐지의 경우, 동적분석이 우수한 경우가 많다. 따라서 정적분석과 동적분석은 상호 보완 관계이다.

 

 

 정적분석은 코드를 해부해서 악성코드 삽입 유무를 판별한다. ⓒ Flickr

앞서 언급했지만, 가장 좋은 방법은 모든 네트워크를 3단계에 걸쳐서 악성코드 유무를 분석하는 것이다. 현실적으로 불가능하다. 수많은 네트워크 중에서 악성코드가 숨어져 있는 경우는 일부이므로, 이 같은 방식은 비효율적이다. 빈대 잡으려다 초가삼간 태우는 꼴이기 때문이다.

다행히 우회 문제를 해결할 방법이 있다. ‘지능형 위협 정보(Threat Intelligence)’를 활용하는 것이다. 지능형 위협 정보는 악성코드를 분석하지 않고 사이버 위협 정도를 판단해서 제공하는 정보이다. 다시 말해 악성코드 잠복 가능성을 위협도를 표현해서 알려준다. 이는 다른 보안 시스템이 더욱더 효과적으로 네트워크를 검열할 수 있게 한다. 위협 정보에 따라서, 악성코드 유무 분석 절차를 조정할 수 있기 때문이다.

지능형 위협 정보로 사전/사후 대응 가능

지능형 위협 정보 시스템은 위협 정보를 제공하는 보안 시스템이다. 보안의 가장 큰 고민거리를 해결하다 보니, 지능형 위협 정보 시스템의 시장 전망은 밝다. 시장조사 기관 그랜드 뷰 리서치(Grand View Research)는 전 세계 지능형 위협 정보 시장이 2016년 3.6조 원에서 2025년에는 15조 원이 될 것으로 전망했다. 연평균 성장률은 17.4%나 될 것으로 예상했다.

대표적인 시스템으로 ‘NBA(Network Behavior Analysis)’가 있다. NBA는 네트워크 행위를 분석해 위협 정보를 제공해준다. 가령 시스템은 IP와 악성 네트워크 상관관계를 분석한다. 이후 IP에 따른 위협 정보를 제공해줄 수 있다. 엄밀히 말하면, NBA가 고려하는 요인은 매우 많다. 도메인, IP, 트래픽 용량 등을 포함한다.

UBA(User Behavior Analysis)는 사용자 행위 분석에 따른 위험도를 측정한다. 사용자의 비정상적인 행위를 보고, 보안 위협 여부를 판별하는 것이다. 가령 사용자와 전혀 관련 없는 국가 도메인 주소에 접속했을 때, UBA는 이러한 행위를 위험하다고 판단할 수 있다.

지능형 위협 정보는 악성코드 탐지뿐만 아니라 사전과 사후 대응에 큰 도움을 줄 수 있다. 예를 들어 보안 관리자는 위협도가 높은 국가 도메인 접속을 차단할 수 있다. 이는 사용자가 악성 사이트에 접속하는 것을 예방한다.

보안 관리자는 위협 정보 기반으로 보안 피해 범위를 추산해 신속한 사후 조처를 할 수 있다. 예를 들어 보안 관리자는 특정 IP에서 악성코드가 퍼졌다는 것을 지능형 위협 정보로 확인할 수 있다. 이는 해당 IP와 연결됐던 시스템을 신속히 파악하게 한다.

‘정보공유’와 ‘기계학습’이 핵심

다양한 사이버 위협이 있기 때문에, 지능형 위협 정보를 공유하는 것이 효율적이다. 사람으로 비유하면, 지능형 위협 정보의 지식을 넓히는 것이다. 참고로 해외에서는 이를 이미 공유하는 추세이다. 미국의 CTA(Cyber Threat Alliance)는 공유 대상 위협 정보를 표준화해서 쉽게 공유하도록 했다.

사이버 위협은 끊임없이 다변화하고 있다. 기계학습은 이러한 추세에 대응케 한다. 기계학습 적용으로, 지능형 위협 정보는 새로운 위협 정보를 학습하면서 판별 기준을 계속 강화해 나갈 수 있게 하기 때문이다.

글_ 유성민 IT칼럼니스트

출처_ 사이언스올 사이언스타임즈

저작권자 2018.01.08 ⓒ ScienceTimes