페이스북, 보안 위협 분석 프레임워크 공개

일반입력 :2014/03/26 14:17

손경호 기자

페이스북이 인터넷 상 돌아다니는 악성코드, 피싱, 기타 온라인 위협 정보를 실시간, 장기간 분석할 수 있는 프레임워크 '쓰렛데이터'를 공개했다. 페이스북을 통해 전 세계의 위협정보를 수집한 뒤 쉽게 꺼내 쓸 수 있는 형태의 데이터로 분류해 저장해 놓고, 보안위협에 빠르게 대응하도록 한다는 것이다.

26일(현지시간) 페이스북은 자사가 마련한 쓰렛데이터의 구체적인 내용을 소개했다.

마크 햄멜 페이스북 보안연구원은 모든 기업, 보안회사들이 자신들만의 데이터 포맷을 사용하고 있어 공통된 단어가 없으며, 각각 위협들은 다음에 매우 다른 형태로 나타날 수 있다며 이러한 문제를 해결하기 위해 쓰렛데이터를 고안해 냈다고 밝혔다.

햄멜 연구원에 따르면 일반적인 기업환경에서는 한 개 백신 제품을 사내 모든 기기에 적용하지만 현실에서는 한 개 백신만으로 모든 위협을 탐지하는 것은 불가능하다. 몇몇 보안회사가 특정 악성코드 유형에 대해 경쟁사들보다 훨씬 잘 탐지한다. 반면 다른 회사들은 그렇지 않을 가능성이 크다.

페이스북은 기존에 사용하고 있는 백신 제품으로 탐지하지 못하는 악성코드를 가벼운 해시값으로 만들어 맞춤형 보안 이벤트 관리 시스템으로 보낸다. 페이스북은 현재 사이버 위협 정보를 거대한 저장소에 보관하는 작업을 진행 중이다.

쓰렛데이터는 크게 피드, 데이터스토리지, 실시간 대응 등 3가지로 구성된다. 피드는 특정 소스로부터 데이터를 수집하고 이후 활용하기 쉽게 간단한 인터페이스를 통해 분류돼 일명 '쓰렛데이텀'이라는 형태로 저장된다. 이를 테면 유사한 악성코드들을 'evil-malware-domain.biz'라는 이름으로 분류해 일반 사용자들도 알기 쉽게 한다는 것이다.

여기에는 악성코드 정보 공유사이트 바이러스토털에 저장된 악성파일에 대한 해시값, 여러 오픈소스 블로그, 악성코드 추적 사이트로부터 수집한 악성URL 정보, 페이스북이 협력을 맺고 있는 보안회사들로부터 구매한 보안정보, 페이스북이 자체적으로 수집한 보안위협정보 등이 포함된다.

데이터스토리지는 피드 형태로 페이스북에 게재된 자료들을 이후에도 사용하기 쉽도록 로데이터(rawdata)로 바꾸는 것이다. 이 과정에서는 빅데이터 기술 중 하둡 하이브, 스쿠바 엔진이 적용됐다.

관련기사

하둡 하이브 기반 스토리지는 장기간 보안위협에 대한 데이터를 보관하면서 이 위협이 예전에도 있었나, 어떤 유형의 위협이 가장 많이 퍼져있나라는 질문에 대한 답을 준다. 스쿠바 기반 스토리지는 실시간 보안위협에 대한 정보를 제공한다. 이를 테면 오늘 새로 등장한 악성코드가 뭔지, 최신 피싱 사이트는 어딘지 등에 대해 알려주는 것이다.

실시간 대응은 피드를 통해 수집하고, 데이터스토리지에 알기 쉽게 분류해 놓은 보안위협정보를 바탕으로 실제 위협에 대응하는 것이다. 예를 들어 모든 악성코드 유포용 웹사이트 주소는 페이스북 사용자가 올린 어떤 피드에 올라오더라도 블랙리스트 처리된다. 분석이 필요한 악성파일 해시값은 자동적으로 다운로드돼 어떤 기능을 수행하는지 등에 대해 분석한다. 그 뒤 해당 정보가 보안 이벤트 관리 시스템으로 보내져 페이스북의 회사 네트워크를 보호하는데 활용된다.