[정보보호]사이버위협정보 분석 공유시스템(CTAS) 가동 현장 가보니

#A악성코드가 갑자기 국내 인터넷에 급속도로 확산 중이다. 사이버위협정보분석공유시스템(CTAS)에 접속해 악성코드 이름을 검색하니 관련 악성코드의 행적이 한 눈에 파악된다. 악성코드 기능은 물론이고 언제 어디서 어떤 명령&제어(C&C) 서버에 접속했는지 모든 정보가 망라된다.

CTAS 내외부 위협정보 수집 체계
 (자료:KISA)
CTAS 내외부 위협정보 수집 체계 (자료:KISA)

정부가 국내는 물론이고 해외에서 나타난 사이버 상황을 분석하고 공유하는 CTAS를 본격 가동했다. 지난해 7월 4일 나온 ‘국가 사이버안보 종합대책’의 일환이다.

한국인터넷진흥원(KISA) CTAS 운영 상황을 직접 체험했다. 포털에서 쇼핑몰, 게임사, 보안기업이 올리는 사이버 위협정보가 실시간으로 떠오른다. CTAS는 가장 신속하게 세계 사이버 위협정보를 분석·공유하는 플랫폼을 지향한다. 위협정보 수집과 분석, 공유 3단계로 진행된다.

CTAS는 두 가지로 구분된다. 전체 시스템을 총괄하는 KISA용 CTAS와 민간기업이 보는 서비스가 분리된다. KISA용 CTAS는 각종 악성코드나 위협을 찾아볼 수 있는 검색 기능이 추가됐다. KISA는 올해 안에 민간 CTAS에도 종합 검색기능을 넣을 예정이다.

CTAS 운영으로 KISA 내부 침해사고 대응도 체계화됐다. KISA는 그동안 12개 시스템에 에이전트를 설치해 정보를 제각각 수집했다. CTAS는 분산된 12개 시스템에 수집된 정보가 한 눈에 보인다. 수집된 위협정보는 유형별로 100여개 속성을 구분해 분류된다.

이렇게 모인 정보는 외부기관에 실시간으로 전파된다. 총 35종의 정보가 외부에 공유된다. 실시간으로 자동 공유되는 API 방식을 쓰거나 홈페이지에서 정보를 볼 수 있다. API 방식이 보다 빠르다.

각종 침해정보는 ‘CTEX’라는 정보 표현 규격으로 표시된다. CTAS 시스템에 모두 통일된 형태 정보가 자동으로 수집되게 한 조치다. 현재 CTAS에 정보를 올리고 공유하는 기업은 30여곳. KISA는 지속적으로 규모를 확대한다. CTAS 활용을 원하는 기업은 KISA에 신청만 하면 된다.

황보성 KISA 인터넷침해대응본부 분석기획팀장은 “그동안 KISA는 특정 사이버테러가 발생하면 단기적으로 이를 대응하는데 급급했는데 CTAS 가동으로 유기적으로 연결된 침해사고 전반을 볼 수 있는 눈을 갖게 됐다”고 설명했다. 황 팀장은 “이제 사고 발생 전 사이버테러 징후를 파악해 선제적으로 대응해 피해를 최소화할 것”이라고 덧붙였다.

김인순기자 insoon@etnews.com