사이버 보안의 승패를 좌우하는 ‘정상행위 프로파일링’

[보안뉴스= 임채호 KAIST 초빙교수] 정상행위 프로파일링(Normal Behavior Profiling)은 미국에서 가장 중요한 사이버보안 전략 중의 하나다.

신종 비정상행위에 의한 보안사고 분석
(1) 거버넌스(Governance) : 미국 연방정부에서 벌어지는 사이버보안 관련 취약점, 위협, 보안통제 준수사항, 위협, 대응체계 등을 정부가 파악해 관리하겠다는 의지와 전략, FISMA 법령과 예산청(OMB)에 의한 보안예산으로 연방정부의 사이버방어체계를 관리하고 있음.

(2) 보안 아키텍처(Architecture) : 연방정부로 유입되는 인터넷 경로를 단 하나로 만들고, 사이버보안 정부, 즉 DHS, DOD, CIA, FBI 등이 공통으로 감시하는 구조. 이는 사이버 돔(Dorm) 환경을 만들고 탐지되는 내용에 따라 각 부처가 대응을 하는 비용효과적인 구조임.

(3) 정상행위 프로파일링(Normal Behavior Profiling) : 사이버범죄 위협은 내부나 외부인에 이루어지는데 이미 알려진 공격을 탐지하는 것이 빠르지만, 알려지지 않은 새로운 공격을 탐지할 수 있어야 하는 것이 목표라고 할 수 있다. 이를 통해 공무원의 근무행태 뿐만 아니라, 연방정부별로 정의한 보안통제의 준수를 통해 신종 공격기법을 이용한 범죄를 예방·탐지하려는 장기적인 전략임.

(4) 대응 능력 강화(Response Capability Building) : 사이버환경에서의 보안사고는 피할 수 없지만, 보안사고의 빠른 분석과 대응만이 피해 복구 및 재발 방지를 최소화함으로서 보안 비용을 줄일 수 있다. DHS 주도로 2년마다 정기 가상훈련(Cyber Storm)을 수행하고 있다.


이번에는 예기치 않았던 보안사고들을 통한 비정상 행위를 언급하고자 한다. 신종 비정상 행위란 이미 알고 있던 사고 형태가 아닌 새롭게 나타난 사이버 사고이다. IDS에서는 비정상행위 침입탐지라고 한다. 새로운 비정상 행위를 알려면 먼저 정상적인 행위에 대한 모델링이 되어 있어야 한다.

사례 1
2011. 4. 농협 전산망 마비 사태 : 전산망에 있는 자료가 대규모로 손상되어 수일에 걸쳐 전체 또는 일부 서비스 이용이 마비된 사건, 주요 서버가 감염된 악성코드 백신업데이트에 의해 감염된 사례.

사례 2
2015. 2. 농협 계좌 주인도 모르는 상태에서 1억 2천만 원이 무단 인출된 사건, 3백만 원씩 41차례에 걸쳐 불법 이체된 사건.

사례 3
중소기업 직원은 자신이 몸담은 회사가 110억 원을 들여 개발한 기술을 중국에 빼돌렸다가 경찰에 붙잡혔다. 연봉 2배의 중국 업체의 회유에 넘어간 내부직원 산업스파이 사례 등은 예기치 않은 보안사고.

첫째, 사례 1의 경우에는 2가지가 원인이다. 컴퓨터 백신을 감염시키는 신종 악성코드 문제, 또 하나는 외부에서 실시간 업데이트시키는 외부 프로세스에 의한 비정상 트랜잭션 문제다. 내부와 외부 간의 비정상 프로세스 확인 절차는 다음 회에서 기술하고자 한다. 해당기관은 현재 이 사고 이후, 외부의 백신업데이트 프로그램(Client)과 내부 업데이트 프로그램(Server)간 실시간 업데이트를 금지한 것으로 알려졌다.

두 번째는 1억 2천만 원 계좌가 중국으로 인출된 것은 비정상 트랜잭션이라고 할 수 있다. 390만원 계좌이체가 연속적으로 40여회나 이루어졌다. 또한, 트랜잭션 출발지가 중국 IP이며 40여회 연속으로 트랜잭션 시도 등이 이루어진 건 분명 비정상이다. 해당 계좌 이용자에게는 그간 일어나지 않았고 앞으로도 일어날 수 없는 이벤트이며 비정상행위이다. 이러한 비정상 트랜잭션을 누가 감시하고 대응해야 하는지의 임무(R&R)도 문제일 수 있다. 즉, 책임성의 문제다. 이로 인해 FDS(Fraud Detection System) 시장이 열렸다. 6천억 원 이상 규모라고 할 수 있다.

세 번째, 내부자에 의한 산업스파이 감시 문제는 정상직원의 행태를 정상으로 프로파일링 해두고 비정상행위를 하는 직원에 대한 축적 데이터로 감시하는 것이다. 매우 적은 수의 비정상행위는 대부분의 정상행위(Normal) 이벤트를 프로파일링해서 탐지·분석·대응하는 것이다.다,

이를 생각해 본다면 다음 그림 2와 같은 ‘Normal/Abnormal’의 집합이라고 볼 수 있는데 ‘N/A’부분은 정상도 아니며 비정상도 아닌 상태를 이야기한다. 구분되지는 않지만 수동적인 분석을 통해 정상으로 이전하든 비정상으로 이전될 ‘Transit’ 상태일 것이다. 정상행위기반 IDS 환경 초반에는 ‘N/A’ 상태가 극도로 큰 사이즈가 된다. 왜냐하면 무엇이 정상인지 잘 모르기 때문이다. 초기의 Normal Profile이 잘 적용되었느냐의 문제일 수 있다.


일례로 경찰은 범죄를 감시하기 위해 사람들을 실제 거리에서 감시하거나 CCTV를 통하여 감시한다. 거리에서 범죄자 대상을 감시하기도 하고 CCTV를 이용해 감시하기도 한다. 아래 그림은 경찰의 생명주기를 나타낸다. 이 때 경찰은 각 조직의 보안담당자와 같은 역할이다.

경찰은 사람들의 생김새를 보거나 범죄 현장 등을 감시한다. 이미 알고 있는 범죄자나 범죄를 일으킬 것 같은 상황을 생각하는 것이다. 경찰은 그 상황을 모델링하여 가지고 있는 것이다. 이를 정상행위 프로파일(Profile)이라고 볼 수 있다.

경찰은 모든 상황들 중에서 비정상행위를 찾고자 하는 것이다. 대부분의 조직에서 예방과 방어체계는 모두 가지고 있다. 여기에서 신종 기법에 의한 보안사고를 어떻게 감시하고 어떻게 탐지하는 것인가에 초점을 맞추어야 한다.

쉬운 예를 들어 산업스파이 사건을 보자. 평소 알고 지내던 내부 직원이 일으킨 사고가 대부분이다. 산업스파이 사고를 예방하고 대처하기 위해서는 ‘정상행위 탐지기법(Normal Profiling)’ 을 사용할 수밖에 없다.


대부분의 직원들은 정상적인 직장 행위를 하고 있다. 99.99% 이상의 직장인이 평소처럼 직장생활을 하고 있다. 다만 0.01%의 비정상 행위를 가려내어 이 비정상 직장인들을 관리하게 된다. 이들을 블랙리스트로 부른다. 경찰은 혹은 보안담당자는 이들을 다른 정상 직원보다 더 많은 시간을 두고 감시하는 것이다. 이를 중요위협 분석(Critical Threat)이라고 부른다.

보안담당자는 인사 담당 등과 함께 직원들의 정상행위를 규정해야 하는데, 비정상행위를 규정하면서 정상행위를 규정할 수 있다. 예를 들어 △수입 불만, 과도한 빚, 가정불화 △잦은 출장, 대외 비즈니스 △대외 SNS 등 △잦은 퇴직금 조회 △동료 직원과의 관계 △자료 유출 및 부당 접근 등이다.

이러한 비정상 행위를 하는 직원들을 리스트에 올려두고 감시하게 되면 보안담당자는 직원들의 얼굴에 깃발이나 모자를 씌운 꼴로 모니터링할 수 있게 된다. 정상적인 모자와 비정상적인 모자 형태와 크기는 시간이 지날수록 점점 뚜렷하게 차이가 나고 결국 산업스파이 범죄가 발생되는 것이다. 이러한 직장 생활양식은 표준, 즉 Normal Profile이 되며 각 직장인의 현재 생활의 축적된 결과로서 비정상행위(Abnormal Profile)로 생성되는 것이다. 이는 다양한 형태로 응용될 수 있다. 정상적인 대한민국 국민, 정상적인 전화망 이용자, 정상적인 은행 계좌 이용자, 정상적인 학생, 정상적인 하청 업체 등, 비정상에서 정상으로 이전하려면 정상행위자로 지내온 기간으로 판단될 뿐이다.

하지만 최근 내부 직원의 산업스파이 형태 뿐만 아니라 인터넷 등을 이용한 해킹으로도 유사한 사건이 벌어지고 실제 북한에 의한 스파이 범죄 시도가 있었다. 북한의 정찰총국이 삼성 그룹을 겨냥해 악성코드를 제작하고 삼성 내부 정보를 빼내려 했다는 것이다. 결국 내부직원 감시뿐만 아니라, 인터넷 가상공간도 감시되어야 하며 정상행위 프로파일링이 동시에 필요하다.

IDS와 정상행위 탐지(Normal Behavior Profiling)
◇IDS 탐지 방법 분류
지금까지 침입탐지란 이미 알려진 침입기법을 증거값(signature)으로 가지고 있으면서 네트워크 트래픽을 가능한 실시간으로 분석 후 비교 분석하는 기법으로 ‘Abnormal Profiling’ 혹은 ‘On-Fly-Processing’, ‘NIDS(Network IDS)’이란 이름으로 사용 중이다.


알려진 패턴, 혹은 Signature 단순 비교는 매우 빠른 필터링 방법을 이용하고 있어 IDS나 컴퓨터 백신 등에서도 지금까지 많이 이용되고 있는 방식이다. 여기에서 N개의 필터(Filter)는 증거값(Signature)으로서 지금까지 알려진 바이러스, 악성코드나 공격패턴이다. 이렇게 생각해보면 지금까지 얼마나 많은 바이러스. 악성코드가 있었을까?

initial
fillers = < filter(1), …… , filter(N) >
found_attacks = { }
for i in 1 .. N do
if match (filter(i), target_system_feed (info)) then
“add i to found_attacks” fi
od

하지만 이와 유사한 처리를 진행하는 컴퓨터 백신이나 NIDS는 신종 악성코드 및 공격을 탐지할 수 없는 심각한 문제에 봉착하게 된다. 농협 전산망 마비 사태에서는 감염 후 30분 후 동작했다. 백신업데이트는 감염 시스템 분석 후 수 시간 이상 소요된 것이다. 컴퓨터 백신의 평균 탐지 업데이트 시간은 1일 이내 51%, 2주일이내 61%, 1년 이내 99%라는 충격적인 해외자료가 있다. 감염 후 30분 이내 동작한다면 대한민국 금융·전력·열차·공항·국방 등에서의 사이버보안은 괴멸될 수 있이다.

◇환경 변수를 통한 비정상행위 분석(Parameter Pattern Matching)
환경이란 어떤 조직에서 임직원들이 IT를 이용하면서 나오는 작업환경을 말한다. 최근 트로이목마형 악성코드 이전에는 1.25대란 당시 유행했던 웜 바이러스나 7.7 디도스 사태처럼 디도스 공격을 일으키는 악성코드 등은 그 현상으로서 네트워크에 엄청난 부하를 일으킨다. 네트워크 환경을 분석하면 누가(Source IP), 어떤 서비스(Port)로 부하를 일으키는지 알게 된다. 네트워크 관리 솔루션과 특화된 시스템이 존재하고 대부분의 관제 업체들이 이 기능을 제공한다.


그런데 문제는 어떠한 포트, 즉 서비스를 누가 얼마나 이용하는지 나타난다는 사실이다. 어떤 대기업은 내부 직원에 의한 산업스파이 행위를 감시하기 위해 행위를 분석하고 비정상행위 건수를 누적한다고 본다면 모든 직원들이 그 만큼의 크기의 모자를 쓰고 있는 것을 알게 된다. 인터넷 게임, 증권 등의 사적인 행동이 회사 직원들의 정상행위가 아닐 수 있다. 힐러리 클린턴의 장관시절 공공정보를 개인 메일로 보낸 것을 정부는 알고 있는 것이다. 직원들의 업무 규율을 벗어난 비정상 행위는 보안팀을 통해 경영진이 알고 있는 것이다.


결국 보안은 직원들의 인터넷 사용행위를 프로파일링 하는 것과 같다. 하지만 이러한 프로파일링이 모여 조직 전체의 인터넷 프로파일링이 생성되며 연간 네트워크 프로파일링이 한번 만들어지면 그 당시의 비정상적인 네트워크 패턴을 알아낼 수 있고, 담당자는 관련 서비스(포프), 비정상적인 트래픽 량, IP에 의한 사용자 등을 분석할 수 있다, 결국 웜 트래픽을 야기한 사용자의 PC를 분석해 악성코드를 제거할 수 있게 되는 것이다.

보안업무 차원에서 본다면 대다수의 직원들의 사내 행위는 감시되어야 하는 것이다. 99.9%의 대다수는 0.01%의 비정상행위로 인한 피해를 위해 이러한 경영진의 감시행위를 감수하는 것이다. 회사의 이 같은 행동은 복무규정에 의한 것으로 범법행위가 아니라고 할 수 있다. 다만 경영진이나 보안담당 부서가 직원 감시행위로 알게 된 개인정보, 사생활을 오남용하는 것은 범법 행위이다.

◇정상행위 탐지 기법(Profiles of Normal Behavior)
정상행위 탐지가 어떤 방법인지 개념이 있다면 그림 8을 보면 이해가 명확하다. 비정상 통신 트래픽, 비정상 직원 행태, 비정상 통신 애플리케이션 트랜잭션 등에서 정상행위 프로파일링이 생성된다.

일반적인 Abnormal, 즉 알려진 공격기법과 비교해도 유사하다. 다만 정상행위 프로파일링 정보는 최소 1년간 업데이트된 정상행위 프로파일링이 필요하다. 정상행위를 정제화하는 과정이 요구되는 것. 어떤 조직, 특히 대학 등은 1년간에 의한 정상 프로파일링 값이 필요 없을지도 모른다. 대부분의 보안담당자는 연중 통신 트래픽 프로파일링 정보를 머리 안에 가지고 있다. 예를 들어 학기 중과 방학 중 평일과 공휴일, 어떠한 통신 포트, 목적지 IP 등의 정보를 가지고 있는 것이다. 다만 그 트래픽 분량으로 인해 도구, 솔루션을 찾는 것이다. 정상행위 프로파일은 입력되는 정보를 업데이트해서 만들어지기 때문이다.


다음 프로그램 예시는 정상행위 프로파일링 개념의 IDS 형태를 보여주고 있다. 트랜잭션 정보를 지속적으로 보면서 판단을 내리고 있다. 이미 알고 있는 Association이 아니라면, 새로운 Association을 생성하고 아니라면 기존의 Association에 이를 추가하게 된다. 이러한 반복적인 처리를 통해 Normal Profile이 결정되는 것이다. 새로운 Association은 수동으로 Normal인지 Abnormal인지 결정해야 한다.

그래서 대부분의 Normal Profile은 최소 1년 동안의 정제(업데이트)되어야 신뢰할 수 있는 것이다. 수개월, 1년 혹은 수년간의 Normal Profile의 신뢰도는 큰 차이가 있을 수 있다. Association이란 Normal Profile을 결정하는 연관성 정보이다. 예를 들어 사람들이 주로 이용하는 전화통화 상대방 연결 정보나 주로 이용하는 신용카드 가맹점 정보, 또는 주로 이용하는 단말기 정보 등이다.

repeat
target_system_feed(info)
if suspicious (info) and new (info) then
create new association fi
if suspicious (info) and not new (info) then
add info to relevant associations fi
forever


initial
expected = pattern_X /* guess for new target */
repeat
target_system_feed (info)
if not consistent (info, pattern_X) then
initiate_response (info) and "update pattern_X with respect to info" fi
forever

그렇다면 이를 전화망에서 적용한다고 해보자. 여러분의 가정의 전화나 핸드폰 사용을 상상해본다. 대전 시내 전화 80%, 서울 간 전화 15%, 기타 전화 5%가 지난 1년간 가정에서 이용하는 전화의 대부분이라면 이것이 정상행위 프로파일이다. 갑자기 중동국가나 러시아 등과 통신한다는 것은 매우 비정상적이다. 전화회사는 즉시 이 전화를 중지시키고 당사자에게 그 전화가 맞는지 확인하고 맞는다면 전화를 다시 진행시키고 맞지 않다면 악성전화사기로 사고처리를 해야 하는 것이다.

FDS(Fraud Detection System)와 정상행위 프로파일링
◇FDS 관련 보안사고 사례 분석
앞서 열거된 사례에서 1억 2천만원 계좌가 털린 사건이 국내 FDS 시장을 열었고, FDS는 대표적인 정상행위 프로파일링 기법의 하나다. FDS가 세상에 널리 알려진 계기는 2014년 벌어진 카드 3사 개인정보유출 사건을 통해서이다. 고객의 개인정보 유출을 막지 못한 회사는 KB카드, 롯데카드, NH카드 이렇게 세 곳이었는데, 미성년자를 포함한 경제활동인구 대다수가 피해자였다고 해도 과언이 아닌 대형 사건이었다. 유출된 고객정보는 KB카드 5300만 건, 롯데카드 2600만 건, NH카드 2500만 건으로 모두 합해 1억 건이 넘어 지금까지 벌어진 금융회사 고객정보 유출사건 중 가장 규모가 컸다.

전 국민을 불안에 빠뜨린 당시 개인정보 유출사건은 3개 카드사의 부정사용방지 시스템(FDS·Fraud Detection System) 개발 책임자로 일하던 용역업체 직원 박모 씨의 소행으로 밝혀졌다. 부정사용방지 시스템이란 고객의 평소 카드 사용행태를 분석해 이상한 거래가 나타나면 카드 승인을 하지 않는 시스템을 말한다.

예를 들어, 국내에서 소액을 쓰던 사람이 몇 시간 뒤 해외에서 거액을 결제한다거나 한 달에 평균 50만 원을 쓰던 사람이 갑자기 수천 만원을 결제하는 것 등도 카드 정보가 유출된 것으로 의심해 고객에게 알리거나 결제를 중단시키는 시스템이다. 이 시스템을 만들기 위해서는 고객자료를 활용해야 하기 때문에 개발 책임자인 범인은 이런 정보를 손쉽게 빼낼 수 있었다.

러시아 속담 중에 “믿어라. 하지만 확인하라”는 말이 있다. 엄청난 비즈니스 트래픽이 발생하는 오늘날에는 말 그대로 믿지 않는다면 비즈니스가 불가능하다. 그러나 믿기 위해선 우선 보안 원칙의 준수가 전제되어야 한다. 카드 3사 개인정보 유출사건이 우리에게 시사하는 점 또한 철저한 원칙 준수의 중요성이라 할 수 있다.

범인 박모 씨가 KB카드, 롯데카드, NH카드와 동시에 부정사용방지 시스템 개발 작업을 진행한 삼성카드와 신한카드가 앞의 세 곳과 달리 정보 유출을 피할 수 있었던 것 또한 이 같은 기본 원칙을 지킨 덕분이었다. 삼성카드와 신한카드는 전자금융감독 규정대로 용역 직원에게 고객정보를 변환해 제공하거나 용역 직원이 반입한 PC에 USB 통제 프로그램을 설치해 정보 유출을 막았다.

특히, 신한카드는 KCB 직원인 박모 씨가 지속적으로 실데이터를 제공해 달라고 요구해도 이를 거부하고 변환된 데이터를 제공했을 뿐만 아니라, KCB에 직원 교체까지 요청했던 것으로 확인됐다. 결국 카드 3사는 규정, 즉 정상행위 프로파일링을 지키지 못한 보안담당자의 근무 태만으로 일어난 것이다.

또한, 최근에 일어난 금융회사의 고객정보 유출사건들은 2011년 현대캐피탈 사고 정도를 제외하면 외부 해킹보다 내부 사정을 잘 아는 직원이나 용역업체 직원들에 의해 발생한 경우가 많았다. 이는 금융회사들이 보안투자를 늘리는 동시에 내부 단속에 더 만전을 기해야 한다는 사실을 대변한다.

◇FDS 정상행위와 비정상행위
금융기관 FDS는 비정상적인 금융거래를 탐지하는 기법이다. 비정상적인 금융거래를 더 이야기하기 전에 다음 3가지 사례를 살펴본다.

△전화사기 FDS : 사기 전화 시도 탐지·예방, 고객전화기록을 지속 저장 관리, 지나간 전화와 현재 전화 비교분석 후 대응. Toll Fraud Detection

△해킹 방지 FDS : 해킹시도 탐지 대응, 접속기록 지속 저장관리, 현재 접속 상황 실시간 감시 분석, 예전 프로파일과 비교 분석 및 탐지 대응. XIOX Hacker Prevention Tools

△IDES : 호스트 로그 분석기반 침입탐지, 모든 사용자의 로드 통계적 저장관리, 정상행위 침입탐지 동작. 6가지 정보로 통계 분석

IDES는 유닉스와 같은 멀티유저 OS 환경에서 모든 사용자들을 그들이 그동안 사용했던 명령어들을 통계적으로 정상 프로파일링 해두고, 제3자에 의해 계정이 빼앗기지 않았는지 탐지하는 IDS이다. 하지만 일단 Abnormal로 지정된 정보는 Signature로 분류되어 빠른 처리가 이루어진다.

모든 금융기관이 금융 IDS를 사용 중이라면 금융을 이용하는 모든 거래자, 국민들의 금융사용 프로파일들이 금융기관에서 가지고 있다고 볼 수 있다. 이용자 계좌의 안전을 위해 거래 형태를 이미 알고 있는 것이다. 그럼 비정상적인 금융거래로 보는 연관성(Association)은 무엇일까?

FDS와 같은 정상행위 탐지체계는 개발사가 아닌 운영기관의 감시·탐지 분석의 몫
이번 연재를 시작할 당시 다음과 같은 내용을 이야기 한 바 있다. ‘비정상행위’는 APT만으로만 이루어지는 것이 아니다. 무작위로 국민들의 PC를 감염한 후, 2차 공격을 수행한다. 정상적이었던 PC도 비정상적인 공격에 참여한다. 돈벌이를 위한 국내 범죄자도 같은 수법을 쓴다. 하지만 보안전문가 조차도 탐지하는 솔루션을 이용하면 된다고 착각하고 있다.

기업·대학·정부 등 모든 비즈니스마다 각자의 정상행위와 비정상행위가 있으며, 비정상 탐지 솔루션은 그 환경에 적용하여 업데이트될 뿐이다. 수동으로 실행하기엔 어려운 다량의 데이터에 적용하는 것이다. 최근 라인은 게임에 유입되는 일일 평균 2억 8000만 건의 데이터 처리를 위해 빅데이터 기반의 ‘AIR(Active Incident Response)를 구축, 비정상 행위를 처리하고 있는 것으로 알려졌다.

4억7천만 라인 이용자 중에 모바일 이용자 중 일 평균 2억 개의 트랜잭션 중에서 비정상 트랜잭션을 탐지하고 제거하는 AIR는 정상행위 프로파일링을 이용해 빅데이터 처리를 가능케 한 것이다. 라인에서 자사의 고객들의 트랜잭션을 정상 프로파일링한 것이다. 이는 마치 금융기관이 고객의 금융이용 프로파일을 가장 잘 알고 있는 것과 같은 이치다.

무엇이 정상이며 무엇이 비정상인가? 어떤 직원이든 고객이든 네트워크를 상에서 오고가는 통신 트랜잭션은 △Signal(Normal), △Noise(Abnormal), △N/A(알 수 없음) 중 하나다. 그리고 이 상태는 서로 이전된다. FDS가 운영 중인 환경에서 만약 누군가가 다음과 같은 행위를 한다면 Normal 상태에서 비정상(Noise)로 가든지, N/A(알 수 없음)으로 이전될 것이다.

누군가가 갑자기 처음 가는 중동이나 러시아에 출장 가서 신용카드를 이용하거나 계좌 거래를 한다면 FDS는 경보를 울리거나 거래를 중지하고 확인하려고 할 것이다. Signal/Normal Profile 상태가 전체 거래량 중에서 얼마나 차지할까 분석해 본다면 99.9%에서 90%까지 정도라고 할 수 있다. 만약 10%의 비정상행위가 있다는 것은 정상행위 프로파일링 기법이 사용되기 시작한 초창기로, 지속적인 운영을 통해 비정상 행위는 줄어들 수 있다. 트랜잭션 통계를 내면 Normal Profile 대역의 경우 90% 정도로 나타나며, 이런 통계치는 가변적이라 할 수 있다.

◇조직별 정상행위 프로파일이 필요하다
모든 조직은 해당 조직이 비즈니스 내용을 가장 잘 알 수밖에 없다. 이를 기업 적합 보안(Business Impact Security)라고 말한다. 라인이 개발한 AIR는 라인에 종속적인 모바일 게임에서 정상 프로파일일링이 가능했던 것이다. 라인 운영자만이 라인 게임 고객들의 정상행위 패턴을 이미 가지고 있기 때문이다.

다행히 최근 국내에서도 이미 개발되어 운영 중인 NIDS처럼 네트워크에서 일반적으로 동작하는 정상행위기반 NIDS를 개발했다. 여러 가지 연관성(Association)을 정의하고 Association간 상호연관성 분석(Corelation)을 통한 비정상행위를 가려내고 있다. 이는 모바일 게임과 같은 특수한 환경이 아니어도 동작하고 있으며 추후 HIDS 기반 정상행위 분석과 함께 동작한다면 더욱 성능이 발휘될 수 있다.

보안 환경은 각 조직별로 다르다. 그래서 보안통제도 다를 수 있고 같은 보안통제라도 어떤 곳은 중요하고 어떤 곳은 중요하지 않을 수 있다. 유사하게 각각의 조직은 그 임무와 비즈니스가 다르다면 그 종사자나 그 조직이 보유한 IT 자산에 따라 사용 행태가 다를 수밖에 없다. 현재 우리나라가 공통적으로 겪고 있는 비정상행위는 신종 악성코드의 출현이다.

◇사이버보안의 상위 비즈니스 계층에는 전산과학이 중요하다
오늘날 대한민국의 고도 산업 성장에는 전산 정보기술이 큰 역할을 담당했다. 예전에는 전산을 EDPS(Electronic Data Processing System)라고 했으며 인터넷의 등장으로 해킹에 의한 범죄가 정보전, 개인정보 오남용 개념으로 발전된 것이다. 그동안 사이버보안은 군사보안, 안보보안, 산업스파이 보안 등과 별다른 차이 없이 국가위주로 진행했다. 이로 인해 전 국가기관에도 이미 널리 활용되고 있는 전산 인프라에 대한 선도적인 보안정책과 전략은 매우 부족했고 민간업체는 전산을 기반으로 하는 사이버보안에서 활력을 잃어버렸다.

사이버보안을 위한 정상행위 프로파일링이 제대로 이루어지지 않아 민간 산업체 뿐만 아니라, 중요 기간산업 등에서 엄청난 피해를 일으켰고, 향후에는 더욱 큰 피해가 예상된다. 금융, 원자력·전력, 항공·철도, 정부, 국방·방산 등의 피해규모는 이루말할 수 없을 정도다.

정상행위 프로파일링을 통해 알려지지 않은 비정상 행위를 밝혀내는 것은 국가 사이버보안의 승패를 가늠하며, 모든 산업분야에 걸쳐 많은 연구가 필요한 사안이다. 물론 그동안의 시스템 보안으로 시스템, SW, 네트워크 해킹 등에 있어 초보적 보안의 기틀을 다졌다고 할 수 있.

하지만 기업은 보안을 통해 자산을 보호하고 해당 보안기술이 글로벌 경쟁력이 되어야 하는 것이다. 이를 위해서는 비즈니스를 고려한 보안 데이터마이닝 기술이 필수 불가결하다. 또한, 각종 노드를 연결하는 네트워크 복잡계 기반 빅데이터 처리 분야가 매우 중요해질 것으로 보안. 어차피 데이터는 컴퓨터 시스템이나 인프라, 애플리케이션이 생산해내는 데이터이기 때문이다. 이제는 보안관련 데이터가 더욱 중요해지고 있다. 생산해내는 데이터의 상호연관성 분석에는 실무에 대한 깊은 이해와 통찰력이 요구된다. 결국 빅데이터 분석은 통계 처리가 아니라 비즈니스에 목적에 맞춘 깊은 통찰력에 의한 분석체계이며 알고리즘의 실현이기 때문이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>