비행기 사고 시 원인을 밝히는 블랙박스처럼 지능화된 사이버 침해사고를 신속하게 분석하고 증거를 보존하는 ‘사이버 블랙박스’가 나온다.
미래창조과학부는 날로 급증하는 사이버 침해 징후를 인지하고 사고 발생 후 빠르게 원인을 분석하는 사이버 블랙박스 개발을 시작했다.
지난해 3월 20일 금융권과 언론사를 마비시킨 사이버테러 발생 후 민·관·군 합동대응팀은 사고 발생 후 20일이 지나서 중간조사 결과를 발표했다. 분석이 늦어지면서 방송사와 금융권은 피해 복구에 우왕좌왕했고 사회 혼란은 계속됐다. 분석 결과에 여전히 의구심을 갖는 사람도 많다.
3·20 사이버테러는 지능형 표적공격(APT)으로 장기간 준비와 잠복을 거쳐 발생한 사고였다. 최근 사이버 공격은 기존 보안장비에서 탐지되지 않으며 흔적이 없고 증거를 삭제해 원인 규명이 어렵다.
사이버 블랙박스는 각 기관이나 기업 네트워크에 설치돼 모든 트래픽을 분석하고 침해사고 증거 데이터를 별도로 보존한다. 보안장비에서 생성되는 모든 로그를 저장하는 것이 아니라 침해사고 분석에 꼭 필요한 로그만 종류별로 분류해 따로 저장한다. 네트워크 트래픽을 모니터링하고 애플리케이션과 IP별로 데이터를 처리한다. 블랙박스는 최초 공격 시점과 추가 악성코드, 커맨드&컨트롤(C&C) 등 악성정보를 중앙분석센터로 보낸다.
정부는 우선 사이버 블랙박스를 개발하고 향후 ‘통합 사이버 보안 상황 분석 및 공유기술’로 발전시킨다는 복안이다. 악성코드와 유포 경로, 취약점, 공격자 등 침해사고 핵심 요소와 과거에 발생한 국가 침해사고 패턴과 동기 등을 DB화한 프로파일링과 연동해 통합 사이버 보안 상황 분석 기술을 개발할 예정이다. 클라우드 기반으로 대용량 악성코드와 악성 URL을 분석한다. 악성코드 유포경로, 변종, 공격운영 서버를 기존 정보와 대조해 빠르게 수법과 공격자를 찾는다.
원유재 미래창조과학부 정보보호 CP는 “특정기업과 기관 및 주요 시설을 겨냥한 APT 위협이 심화되고 방송·통신·전력·산업제어 시스템 마비 등 국가적 위협이 날로 높아진다”며 “사고를 미연에 예방하는 것은 물론이고 사후 분석 중요성이 강조된다”고 설명했다. 그는 “사이버 블랙박스는 잠재적 침해정보 유입과 활동 데이터를 지속적으로 수집해 증거를 확보한다”며 “공격을 신속히 인지하고 확산을 억제할 수 있는 역할도 한다”고 말했다.
김인순기자 insoon@etnews.com