한국전자통신연구원(ETRI, 원장 최문기)이 자체 개발한 네트워크 침입방지 모듈(자스민)로 분산서비스거부(DDoS) 악성코드 유포지 2곳을 찾는데 성공했다.
13일 ETRI 지식정보보안연구부(부장 조현숙) 보안관제기술연구팀(팀장 나중찬)에 따르면 지난 주 DDoS 사이버 테러에 대응하기 위해 ‘자스민’을 ETRI 원내망과 KT 혜화전화국에 적용한 결과 ETRI에서만 미국과 싱가포르의 IP에서 악성코드를 유포하고 있는 것을 확인했다. KT혜화전화국 로그 분석에서는 악성코드가 발견되지 않았다.
‘자스민’은 지난 2006년부터 ETRI가 잘 알려지지 않은 악성 코드의 공격 패턴을 실시간 분석, 생성, 차단해 원천적으로 네트워크 공격을 방지하고자 개발한 기술이다.
ETRI는 지난 2007년 신종공격 차단용 공격식별패턴 실시간 자동생성 시스템을 개발한 뒤 이를 기반으로 지난 2월 하드웨어 기반의 4G급 고성능 자동 시그니처 생성 상용보드와 상용급 고성능 시그니처 자동 생성 및 관리 시스템을 개발, 이번에 처음 적용하며 성과를 올렸다.
이 시스템은 초기 악성코드의 공격 패킷을 실시간 자동 탐지해 분석하기 때문에 선대응이 가능하고, 악성코드의 존재 유무는 물론 유포지 파악까지 할 수 있는 장점이 있다.
실제 이번 ETRI 원내망 적용에서도 악성코드의 진원지가 미국과 싱가포르라는 것을 10여분 만에 찾아냈다. 지난주 국내 DDoS 사이버 테러에서는 악성코드 유포지를 찾는데만 이틀이 걸렸다.
기존의 유해트래픽 차단 솔루션이나 특정패턴 기반의 침입탐지 차단시스템(IPS/IDS)은 자료를 수동 수집, 분석하는 과정을 거치기 때문에 즉각 대응이 어려운 단점이 있다.
오진태 보안관제기술팀 선임연구원은 “IDS같은 침입탐지 솔루션과 연계해 백본망 등 주요 포인트 몇 곳에만 설치해도 큰 효과를 볼 수 있음이 입증됐다”며 “벤처기업 ‘어울림’에 기술 이전해 전국 보급을 목적으로 상용화를 진행하고 있다”고 말했다.
오 연구원은 또 “현재는 바이러스의 대부분인 실행화일을 대상으로 바이러스 감염 여부를 파악할 수 있다”며 “도큐먼트 파일까지 검증하는 데는 추가 연구가 필요한 상황”이라고 덧붙였다.
대전=박희범기자 hbpark@etnews.co.kr