• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 위협 요소 초기에 감지할 새로운 기술 등장 2015.01.22

전력 변화 관찰로 이상 징후 및 악성 코드 감지하는 신개념 기술

빅 데이터 분석력과 결합하면 더 큰 시너지 날 것


[보안뉴스 문가용] 멀웨어를 감지하는 새로운 기술이 개발됐다. 다음 주 개업 예정인 보안 전문 회사가 처음 시도하는 것으로 특별히 발전소나 제조공장을 보호하는 것을 주 목적으로 한다. 이 신기술을 사용한 실험에서 스턱스넷(Stuxnet)조차 본격적인 활동을 시작하기 전에 감지되어 버리는 등 효과도 이미 증명되었다.


새 출발을 목전에 두고 있는 이 기업의 이름은 PFP 사이버시큐리티(PFP Cybersecurity)로 공식적인 개업일은 다음 주 월요일이 될 예정이다. 혁신적인 기술력 때문일까 투자자가 만만치 않았는데 바로 미국방위고등연구계획국(DARPA)이다. PFP 사이버시큐리티의 비밀은 전력 소모량에 있다. ICS/SCADA 장비의 전력 소비량을 측정해 기초 값을 설정한 후, 이에 변화가 있거나 RF 방사선량이 바뀔 때 경보를 울리는 방법을 고안한 것이다. 멀웨어가 활동할 때, 하드웨어나 시스템에 오류가 발생해서 비정상적인 작동을 할 때 전력 소비량이 바뀐다는 점에 착안했다.


미국 에너지부의 서배너강 국립 연구소(Savannah River National Laboratory)는 최근 스턱스넷 감지에 초점을 맞춰 PFP 사이버시큐리티의 기술력을 실험했다. SIMATIC S7-1200 PLC 환경에서였다. 서배너강 국립 연구소의 기술고문인 조 코다로(Joe Cordaro)는 이 새로운 기술로 스턱스넷을 거의 곧바로 감지하는 게 가능했다고 하며, 얼마나 빠르게 감지했는지 스턱스넷이 뭘 해보기도 전에 잡혔다고 표현했다. “보통 멀웨어가 활동을 시작하기 전, 그러니까 동면 상태 혹은 대기 상태에서 포착하는 건 상당히 어려운 일입니다. 실험을 여러 번 해봤는데 결과는 다 동일했습니다.”


“공격의 초기 단계부터 감지할 방법을 찾는 게 저희의 목적이었습니다. 수상한 무언가가 있다는 걸 최대한 빨리 알리면 그만큼 피해 규모도 적어지니까요.” PFP의 부회장인 써스턴 브룩스(Thurston Brooks)의 설명이다. “그러다가 멀웨어는 어떤 형태로든 전력에 변화를 준다는 걸 발견했습니다. 하드웨어가 갑자기 작동을 중단한다거나 소프트웨어가 다운된다거나 하는 멀웨어의 활동 결과가 전부 전력 소모 패턴에 변화를 주죠.”


PFP 측은 이런 기술과 SIEM의 제품들과 같은 시중의 빅 데이터 분석 툴이 결합한다면 훨씬 더 큰 시너지를 만들 것으로 보고 있다.


전문가들은 이 기술에 대해 흥미롭다는 평이다. 디지털 본드 랩스(Digital Bond Labs)의 레이드 와이트먼(Reid Wightman)은 “재미있는 발상이고 효과도 있을 것으로 보이지만 잘못된 경보가 많이 울릴 수도 있을 것 같습니다”라며 “게다가 멀웨어 제작자들의 기술이 빠르게 발전하고 있는 실정에서 전력 소모까지도 조절할 수 있는 멀웨어가 나오면 어떻게 대처할 것인지 염려되는 면도 있습니다”라고 소감을 밝혔다.


이에 대해 PFP는 “물론 주입할 악성 코드를 원래 코드와 같은 비트로 맞출 수는 있습니다. 그러면 전력을 최소화할 수 있겠죠. 하지만 이는 이론에만 가까울 정도로 굉장히 어려운 일입니다”라고 했다. “저희 기술로 단 한 개 비트의 변화까지도 감지하는 게 가능합니다. 논리 폭탄처럼 특정 조건이 될 때까지 가만히 숨어있는 멀웨어라도 결국 그 특정 조건을 감지하려는 활동을 할 수밖에 없는데, 이 역시 저희 기술로 잡아내는 게 가능합니다.”


또한 ‘잘못된 경보’에 대해서는 “잠깐 혹은 한 번 울리고 마는 경보는 이상 요소가 발생했으나 이상 요소가 아닐 확률이 매우 높은 것입니다. 즉, 여러 번 계속해서 울리는 경보에 대해서만 조치를 취하면 됩니다”라고 설명했다.


PFP 사이버시큐리티의 워싱턴 지부를 책임질 제프리 리드(Jeffrey Reed)와 현재 CTO를 맡고 있는 카를로스 곤잘레스(Carlos Gonzalez)가 2006년 처음 개발한 이 기술은 사업가인 스티븐 첸(Stephen Chen)을 만나면서 구체적인 형태를 갖추기 시작했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>