SRI 인터내셔널과 SANS의 연구자들이 7월 28일부터 8월 1일까지 미국 산호세에서 진행되는 ┖USENIX 시큐리티 심포지엄(Security Symposium)┖에서 피해자 네트워크와 공격자의 선호도를 연관시켜 블랙리스트 추가 우선 순위를 정하는 기술에 관한 논문(‘Highly Predictive Blacklisting’)을 발표했다.

“예측 블랙리스트”로 불리는 이 기술로 네트워크 소유자들은 다른 네트워크에 대한 공격자들의 선호도를 분석해 자신의 네트워크에 대한 공격을 예상할 수 있다.

연구자들은 알려진 공격자가 선호한 피해자들을 매치함으로써 다른 대규모의 글로벌 리스트나 로컬에 초점을 맞춘 리스트들보다 더 뛰어난 네트워크별 블랙리스트를 개발했다고 논문을 통해 설명했다.

이들은 구글의 페이지랭크 시스템과 개념적으로 유사한 시스템을 이용해 공격자의 대상 선택을 연관짓기 위해 2007년 4월, DShield.org에 예측 블랙리스트(highly predictive blacklist) 서비스를 배포했고 서비스 참여자들이 제공한 방화벽 로그를 사용해 연구를 진행했다.

이들은 블랙리스트를 작성하기 위해 우선 참여자가 제출한 로그 중 지정되지 않은 또는 비인가된 IP 주소, 웹 크롤러, 타임아웃 세션으로부터의 트래픽을 포함, 신뢰할 수 없는 경고를 모두 찾아냈다. 그 후 모든 참여자들에 대한 공격 우선순위를 정하기 위해 검색 능력 기반(relevance-based) 랭킹을 사용해 동일한 IP 주소의 공격을 받은 네트워크 소유자들을 그룹으로 묶었다.

끝으로 시스템이 알려진 맬웨어 증식 경향과 매치되는 패턴들에 관한 우선순위를 정한다.

      ▲블랙리스팅 시스템 아키텍처 (출처:Highly Predictive Blacklisting)

논문을 통해 이들은 이 서비스를 양질의 블랙리스트 생성의 새로운 방향을 향한 최초의 실험적인 단계로 본다며 이 서비스가 안전한 협력 데이터 공유 분야에 동기를 부여하는데 도움이 되는 새로운 논쟁을 제공할 것으로 생각한다고 밝혔다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>