네트워크 보안관련 산업육성 및 경쟁력 강화 기대

지난 2003년 1.25 사이버 대란과 같은 대규모 공격의 재발방지를 위해 기존에 알려지지 않은 사이버 공격에 대응해 실시간으로 공격 차단을 위한 고유 패턴을 자동 생성, 네트워크 침입을 원천적으로 방지할 수 있는 기술이 국내 연구진에 의해 개발됐다.

한국전자통신연구원(ETRI www.etri.re.kr)은 4일 세계 최초로 웜·바이러스 악성 변종에 신속하게 대응하기 위해 잘 알려지지 않은 공격 패턴을 실시간으로 분석, 생성, 차단해 원천적으로 네트워크 공격을 방지할 수 있는 공격식별 패턴(Signature) 실시간 자동생성 시스템(이하 ZASMIN(자스민))을 개발했다고 밝혔다.

기존 침입탐지 및 차단시스템(IPS/IDS)은 ‘비정상 트래픽 탐지를 이용하는 방법’과 ‘공격 패킷이 가지는 고유 패턴을 이용해 탐지하는 방법’이 사용됐다. 그러나 ‘비정상 트래픽 탐지’는 공격에 사용되는 특성(취약성)에 관계없이 공격을 유발하는 트래픽의 특성을 분석, 탐지하는 방식으로 오탐율이 높았다.

현재 IDS/IPS등의 보안제품에서 사용되고 있는 ‘공격 패킷이 가지는 고유 패턴을 이용하는 방법’은 기존에 알려지지 않은 네트워크 공격이 발생되면 보안 전문가들이 공격당한 시스템에서 공격에 대한 자료를 수동으로 수집하고 분석해 대응 시스템에 적용하기까지 몇 시간에서 수 일이 소요돼 즉각적인 대응이 불가능했다.

ETRI가 이번에 개발한 신종 공격 차단용 ‘자스민’은 기존에 알려지지 않은 네트워크 공격패턴 및 반복되는 변종 악성코드 정보를 분석해 10여 분내에 공격의 고유 패턴을 생성하고 이 생성된 패턴 정보를 기존의 침입 탐지 및 차단시스템에 즉시 분배, 그 공격에 대한 즉각적인 대응이 가능하다.

자스민은 자동적으로 트래픽 분석과 다양한 악성 코드 탐지 기법을 적용한 공격 패턴 자동 생성 엔진을 탑재하여 기존 공격 패턴 생성과정에서 변종 웜/바이러스를 구분해 주지 못하는 단점을 극복했다. 또 선로 속도의 트래픽 분석과 다양한 악성 코드 탐지기법을 적용한 공격 패턴 자동 생성 엔진이 탑재됐다.

따라서 기존에 보안전문가들이 수작업으로 공격 패턴을 생성한다는 단점을 극복함으로써 저 비용으로 공격 패턴을 생성하기 때문에 네트워크 침입방지 분야에 획기적인 전기를 마련할 것으로 ETRI는 기대하고 있다. 

오진태 ETRI 보안게이트연구팀장은 “ETRI가 개발한 자스민 기술로 네트워크 공격의 빠른 전파 속도로 인한 대규모 피해를 최소화할 수 있다”며 “네트워크 공격을 실시간으로 탐지 및 대응해 네트워크 인프라를 보호할 수 있는 핵심 기술을 확보했다는 점에서 의의가 크다” 고 말했다.

한편, 이 기술은 국내 주요 보안업체 2곳에 기술 이전을 추진 중이며 내년 하반기에 상용화할 계획으로 정보통신부의 IT839 연구사업 중 ‘네트워크 위협의 Zero-day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술개발’ 과제 결과의 일환으로 추진됐다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>