KISA, 이메일 자동분석 좀비PC·봇넷 탐지 기술 개발

[보안뉴스 김태형] 이메일 시스템과 연동해 좀비PC 및 봇넷 그룹을 자동으로 탐지할 수 있는 기술이 개발됐다.

한국인터넷진흥원(이하 KISA, 원장 이기주)에서 방송통신위원회 방송통신발전기금으로 개발한 ‘이메일 기반 좀비PC 및 봇넷 그룹 탐지기술’은 이메일 분석을 통해 발신자가 악성코드에 감염됐는지의 여부, 동일 악성코드에 감염된 좀비 PC 그룹을 자동으로 탐지한다.

손경호 KISA 연구개발팀 팀장은 “이 기술은 좀비PC가 발송하는 이메일 헤더정보의 특징을 자동 분석해 메일 발송 IP 가운데 좀비 PC를 탐지한다. 이 기술은 포털사, 스팸차단 솔루션 기업 등에 기술 이전을 통해 좀비 PC에서 발송되는 스팸메일 차단에 활용할 수 있다”고 설명했다.

이메일 헤더는 이메일의 본문 앞에 포함된 정보로 송수신에 필요한 제어 정보들로 구성된다.

KISA 측은 최근 이메일 스팸의 대부분은 악성코드에 감염된 좀비PC에 의해 발송되므로 이 기술을 통해 스팸메일을 발송하는 좀비 PC를 탐지하고 스팸메일을 효과적으로 차단할 수 있을 것으로 보고 있다.

손 팀장은 “실증결과 KISA가 보유한 이메일 스팸트랩 시스템과 연동시켜 보니 일평균 14,962개(국내 392개, 국외 14,570개)의 좀비PC를 탐지했다. 탐지된 좀비PC는 KISA의 실시간 이메일 차단 시스템(RBL: Realtime Blacklist)과 연동해 기존 대비 98.87% 스팸메일을 추가 차단하는 것으로 나타났다”고 밝혔다.

KISA의 RBL 시스템은 이메일 발송 IP가 스팸발송 IP인지 알려주는 시스템으로 네이버, 다음 등 4,000여개 이메일 시스템과 연동되어 스팸 메일 차단에 사용된다.

한편, KISA는 민간 정보보호 역량 강화(인터넷침해대응센터 고도화) 및 정보보호 업체에서 요구되는 핵심 원천기술 개발과 국제 표준화를 추진 중이다. 이를 바탕으로 이와 같은 이메일 통한 좀비PC·봇넷 탐지기술을 비롯해 악성코드 수집·분석 기술, 3G 침해사고 대응 기술, 클라우드 가상화 보안기술 등을 개발했다.

또한, VoIP 보안기술 및 SEED 등 국산 암호기술에 대한 ITU-T, IETF, ISO/IEC 등 정보보호분야 국제 표준 27건을 제정했으며, 지난 2010년부터 2011년에는 인터넷 전화 과금우회 공격, 전화폭탄 공격 등을 방어할 수 있는 인터넷전화 침입방지에 대한 핵심 원천기술 이전을 통한 국산화(정부 행정인터넷전화망, 인터넷전화사업자 등에 적용)에 성공했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>