"올해 유행하는 익스플로잇 킷(취약점 공격 도구)들을 살펴봤을 때, 주로 지난해 나온 취약점들을 자주 사용하는 경향이 관찰됐습니다. 인터넷 익스플로러 브라우저,어도비 플래시 플레이어들이 공격 통로로 많이 이용됐습니다. 1년 정도의 기간을 두고 이용하는 것으로 보입니다."
임진수 KISA 사이버보안빅데이터센터장은 지난 25일 사이버보안 빅데이터를 활용한 사례 중 하나로 이같은 분석결과를 소개했다.
KISA는 지난해 12월 사이버보안빅데이터센터를 개소, 운영하고 있다. 지난달까지 IP·도메인, 악성코드, 취약점 등 총 5억3천만여건의 정형·비정형 데이터를 수집했다. 연말까지는 데이터 수집 건수가 6억건을 넘을 것으로 전망하고 있다.
센터에서는 지난 2014년 구축된 사이버 위협 정보 공유 분석 시스템 'C-TAS'를 활용해 정보를 축적하고 분석한다. 250여개 회원사가 시스템 운영에 동참하고 있다. C-TAS에서 수집한 위협정보와 함께 외부 인텔리전스가 공개한 보안 정보, KISA 또는 외부에서 제공하는 인공지능 학습 정보도 센터에서 다룬다.
이렇게 수집된 정보는 악성코드 유포 동향 뿐만 아니라 스미싱, 랜섬웨어 등 다양한 사이버 공격을 분석하고 대응하기 위해 활용된다.
택배 알림, 공공기관 안내 등으로 가장해 악성 URL을 클릭하게 유도하는 스미싱의 경우 빅데이터 분석 도구를 이용해 악용되는 주요 키워드들을 시각화 분석으로 도출했다. 임진수 센터장은 "올해 키워드 분석에 따르면 가장 많이 활용되는 키워드는 '택배', 2위는 '결혼', 3위가 '민원24'였다"며 "분석된 결과를 토대로 택배회사들과 서로 축적한 정보를 공유하는 등 협력하게 됐다"고 설명했다.
암호화폐 시세에 따라 랜섬웨어 요구 금액이 변동되는 것도 그래프로 확인할 수 있었다.
임 센터장은 "공격자 입장에서 랜섬웨어도 사업의 일종인 만큼, 데이터 복호화 비용을 너무 높게 책정하면 피해자들이 복호화를 포기하기 때문에 적정선의 복호화 비용을 맞추려는 경향이 있었다"며 "최근 기업을 타겟으로 하는 랜섬웨어에서는 요구 금액을 일정하게 정해놓고 협박하는 경우도 있다"고 말했다.
딥러닝 기술로 악성 도메인도 예측해준다. 딥러닝 기술을 사용하지 않았을 때에는 악성코드가 공격자로부터 명령을 전달받는 C2 서버 접속을 차단해주는 서비스 'DNS 싱크홀'을 활용하거나, 해당 도메인을 ISP를 통해 차단했다.
그러나 공격자들이 도메인생성알고리즘(DGA) 기술을 활용하게 되면서 이같은 방식으로 C2 서버 접속을 차단하기 어려워졌다. DGA 기술은 악성코드가 지정돼 있는 C2 서버 주소로 접속하는 데 실패할 경우, 막힌 주소 대신 자동으로 생성하는 다른 주소를 통해 C2 서버에 접속할 수 있게 해준다. 특정 주소 하나를 차단하는 방식으로는 C2 서버 접근 차단이 불가능해진 것이다.
딥러닝 기술로 DGA에서 생성하는 도메인을 사전에 학습하면 악성도메인을 예측해 차단할 수 있다. KISA가 밝힌 예측 성공률은 99%다.
이외 지능형 침해사고 종합분석 플랫폼을 활용해 악성코드 종류를 분류하는 데에도 사이버보안빅데이터센터에서 수집한 데이터가 활용된다.
관련기사
- 'IoT 기기 취약점 일괄 점검' 시행될까2019.10.28
- 국회 과방위, 정부에 "거래소 해킹·딥페이크 대비 부족" 질책2019.10.28
- 민원기 차관 "중기 부담 줄인 클라우드 보안 인증제 검토"2019.10.28
- KISA, 지능형 CCTV 연구용 데이터 3500개 공개2019.10.28
KISA는 사이버보안 빅데이터 센터의 침해 대응 체계를 고도화하기 위해 지난해부터 내년까지 대응 체계 전반에 단계적으로 AI 도입을 추진한다는 계획이다. AI 분석 기술 도입이 내년 완료되면 일일 분석량이 도입 전 27건에서 1천400건으로 늘어날 전망이다.
임 센터장은 "AI 적용할 시스템을 선정, 점진적으로 도입 중"이라며 "지난해 2개 시스템에 AI를 적용했고 올해 2개 시스템, 내년 7개 시스템에 도입한다는 계획"이라고 밝혔다.
