Best of the Best 5기 Blender팀, 4개월간의 연구 성과로 시스템 구축
Blender팀, 성능 개선 위해 일부 기능 무료 제공 계획 밝혀

[보안뉴스 원병철 기자] 최근 각종 보안사고로 기업들이 곤혹을 치르고 있다. 2016년에 발생한 인터넷 종합 쇼핑사이트 I사가 보안사고를 2달 뒤에 인지할 정도로 은닉형 침투가 빈번하게 이루어지고 있으며 그 피해규모 또한 빠른 속도로 증가하고 있다.


지난 몇 년간 각종 보안 컨퍼런스와 기업, 언론들이 주목하고 있는 공격 시나리오는 APT 공격과 랜섬웨어다. 더불어 많은 공격 기법들은 기업이 갖춘 보안체계를 우회해 피해를 입히고 있다. 이를 막기 위한 사전 탐지 제품이 출시되어 있으나, 여전히 많은 보안사고가 발생하고 있다. 결국 악성 행위를 사전에 탐지하려는 노력이 보안사고를 완전히 예방할 수는 없다는 사실이다.

보안체계를 우회하여 감염이 이루어졌어도 직접적인 피해가 발생하기 전에 차단하는 것이 가능하다. 감염된 컴퓨터에 대해 추가 피해를 막기 위한 조치가 신속히 이루어진다면 기업의 보안사고를 예방할 수 있는 것이다.

이와 같이 보안체계를 우회해 발생한 악성 행위를 탐지할 수 있는 시스템을 개발한 이들이 있다. 미래창조과학부가 주최하고 한국정보기술연구원(원장 유준상, 이하 KITRI)이 주관하는 차세대 보안 리더 양성프로그램(Best of the Best, 이하 BoB) 5기로 활동하고 있는 Blender팀(김소희, 김형규, 방호윤, 정동호, 진필근, 한채민/멘토 김종현, 니콜라이 아카예브(Nikolay Akatyev)이 그들이다.

일반적으로 악성 행위 탐지는 화이트 리스트 또는 시그니처를 기반으로 진단한다. 그렇기 때문에 탐지 체계가 우회되어 감염됐을 경우 사후에 탐지하기 어렵다. 이에 대해 Blender팀은 악성 행위가 발생할 경우 그에 대한 흔적이 남을 수밖에 없음에 착안, 다양한 유형의 로그 파일들을 기반으로 악성 행위가 발생했는지 여부를 진단한다.

기존 보안 제품들은 사전에 악성 파일을 탐지하는 것을 목표로 하고 있다. 이와 달리 Blender팀은 보안사고가 이루어지는 과정인 △탐색 △침투 △확산 △피해발생의 4단계 중 각 단계에 요구되는 공격들을 유형화할 수 있다고 주장한다. 이를 이용해 침투가 이루어졌어도 피해발생 이전에 위험요소를 파악해낼 수 있다면 막대한 피해의 보안사고를 예방할 수 있다는 얘기다.

이들이 개발한 시스템은 현재 출시되어 있는 엔드포인트 보안 솔루션과 완전히 다른 접근 방식을 채택하고 있다. ‘파일 시스템’과 ‘운영 체제’가 기록하는 로그 파일들을 활용해 어떤 악성 행위가 발생했는지, 어디서 악성 파일이 유입되었는지 진단함으로써 보안사고에 대응하고, 수사에 도움을 줄 수 있다. 또한, 자체적인 에이전트 없이 분석이 가능하기 때문에 기존 보안 제품들과의 연계가 용이하다.

경찰대학교 김기범 교수는 “자체 로깅 과정 없이 보안사고 수사에 사용하는 아티팩트를 기반으로 자체적인 패턴 분석 알고리즘을 개발했기 때문에 향후 활용도가 굉장히 높을 것으로 예상된다”고 말했다.

현재 Blender팀은 경찰대학교, 연세대학교, 고려대학교, 백석대학교 등에서 해당 주제에 대한 학술대회 발표를 진행했으며, 올해 개최된 국제 보안 박람회인 RSA 컨퍼런스에서 수많은 보안 기업들을 상대로 관련 서비스를 홍보했다. 김형규 팀원은 “최근 웹서비스 플랫폼을 구축함과 동시에 클라이언트 배포를 통해 일반 사용자들도 무료로 사용할 수 있도록 준비하고 있다”며 추후 계획을 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>