지능형지속가능위협(APT) 공격은 미리 막기도 어렵고 사고가 터져도 원인분석에만 수개월이 걸린다. 3.20, 6.25 사이버테러 당시 큰 어려움 중 하나는 네트워크 상에서 이뤄진 공격행위 관련 트래픽 정보가 충분히 없었다는 점이다. 보안 전문가들 역시 발견된 악성코드, 남겨진 시스템 로그만으로는 분석에 한계가 있었다고 토로한다.
이를 해결하기 위한 대책으로 국내에서 연구중인 것은 '사이버 블랙박스'다. 자동차, 비행기에 사용되는 블랙박스처럼 사고가 났을 때 해당 시스템 안에서 공격에 어떤 트래픽이 관여해 어떤 작업을 수행했는지를 그대로 재현할 수 있도록 하겠다는 것이다.
이를 통해 해커가 정보수집-침입-C&C서버와 통신-악성코드 확산-데이터접근-데이터유출과 같은 일련의 APT 공격을 수행하는 전 주기에 대한 정보를 보다 빠르게 공유해 필요한 대응을 할 수 있도록 하겠다는 것이다.
한국인터넷진흥원(KISA) 박해룡 정보보호기술팀장은 23일 서울 삼성동 코엑스에서 열린 KRnet2014에서 '사이버 블랙박스 연구동향 및 미래'를 주제로 사이버 블랙박스 개발 계획을 설명했다.
미래창조과학부가 지원하는 정보보호 10대 핵심기술 개발 과제에 속하는 사이버 블랙박스에는 올해부터 2017년까지 총 30억원이 투입된다. 기존 정보보안 연구개발 과제 예산이 10억원~15억원 수준이었던 점을 고려하면 정부도 중요한 사항으로 보고 있는 셈이다. 현재 KISA와 한국전자통신연구원(ETRI), 5개 보안회사가 이 과제에 참여하는 중이다.
박 팀장은 네트워크 트래픽을 6개월~1년 단위로 장기간 보존하면서 이후 증거 등으로 활용할 수 있도록 무결성을 확보하는 기술을 개발할 계획이라고 밝혔다.
사이버 블랙박스는 단순히 사고 당시 정황을 복원하는 역할만 수행하는건 아니다. 침해 사고를 종합적으로 분석해 해당 정보를 사이버 블랙박스가 설치된 다른 기업/기관들과 공유해 피해 확산을 막는 역할을 한다.
또 사이버 블래박스를 통해 수집된 정보는 통합상황분석시스템(가칭)을 통해 각 기업, 기관들이 침해사고에 대한 정보를 서로 공유할 수 있도록 했다. 3.20, 6.25 사이버테러 때 피해기업, 보안회사, 정부기관들 간 원활치 않았던 정보공유를 활성화한다는 계획이다.
박 팀장은 주로 통합관제시스템을 운영하는 관제사들과 함께 각 기관, 기업 내 침해사고대응센터(CERT)에서 유용하게 쓰일 것이라고 말했다.
사이버 블랙박스 프로젝트가 풀어야할 숙제 중 하나는 기업, 기관 내에 쌓이는 수많은 네트워크 트래픽 정보를 얼마나 효율적으로 저장할 수 있는가에 달렸다.
관련기사
- 오픈API 통한 악성코드 정보 공유 모델 관심2014.06.24
- 세인트시큐리티, 바이러스토털과 정보 공유 협력2014.06.24
- 사이버 공격, 침해사고 정보공유 미흡 여전2014.06.24
- 사이버테러방지...대규모 정보공유센터 논의2014.06.24
이날 발표에 대해 카이스트 전기전자공학과 김용대 교수는 하루에만 1기가바이트(GB) 트래픽이 발생하는 대기업 등에서는 1년 동안 3페타바이트(PB) 수준의 데이터가 쌓일텐데, 과연 이를 감수하면서 사이버 블랙박스를 쓸 수 있는 기업이 있을지 모르겠다고 물었다.
이에 대해 박 팀장은 먼저 국가정보공유시스템을 활용할 수 있는 곳들부터 시범적으로 도입해보면서 연구를 해나갈 계획이라며 공동연구기관 중 일부는 이미 사이버 블랙박스와 유사한 시스템을 도입한 곳도 있다고 답했다.
