침해사고 정보를 자동 수집해 대규모 해킹 공격 등에 빠르게 대응하는 '사이버 위협 인텔리전스 분석(CTI) 및 정보공유 기술'이 개발됐다. 금융권, 주요 공공시설 타깃형 '지능형지속위협(APT)' 공격에 신속 대응 가능할 것으로 기대된다.
22일 한국인터넷진흥원(KISA)은 디플랫폼, 비트나인, 서울과학기술대, 강원대와 함께 연구개발한 '국가 차원 침해사고 대응을 위한 CTI 분석 및 정보 공유 기술 개발' 주요 연구를 끝내고 사업화에 착수했다.
이번 연구는 과학기술정보통신부 정보보호핵심원천기술개발사업 일환으로 2017년 3월부터 3년간 40억5000만원이 투입됐다. KISA는 연구주관기관으로 참여해 기술 개발을 이끌었다.
핵심 기술 CTI는 조직 정보 자산에 위협이 되는 취약요소, 과거 공격 등 관련 정보 기반으로 사이버 보안 위협에 효과적으로 대응하는 방법이다. 과거 조직 내부뿐 아니라 여러 외부 조직에서 겪은 위협 정보를 수집·분석·활용해 APT와 같은 공격을 사전에 방어한다.
KISA 등 연구팀은 사이버 위협정보 자동수집, 사이버 공격 연관분석·CTI 생성 시스템을 개발하는데 성공했다.
정보수집은 명령제어(C&C)서버 유포지, 분산서비스거부(DDos) 등 침해사고에 악용된 요소 모두를 포함한다. 공개출처정보(OSINT) 자동 수집 플랫폼, 사이버 위협정보 분석〃공유 시스템(C-TAS) 등을 통해 정보를 수집한다. 침해사고 정보수집은 24개 데이터유형으로 나눠 19개 채널을 통해 수집한다. 보유한 데이터는 2018년 기준 약 1억1300만 건에 달한다.
취합한 정보는 위협정보 간 관계를 분석하고 침해사고 등에 기반해 유사도 관계를 파악한다. 이후 침해사고 그룹을 분석하고, CTI 보유정보 신뢰도와 위험도 분석을 거친다.
KISA 관계자는 “홈페이지, 보고서 등 다양한 포맷 소스를 자동으로 분석해 자체 데이터베이스(DB)에 취합한다”면서 “악성코드 등 소스 간 어떤 관계가 있는지 분석하고 공격 행위를 파악해 사고를 예방한다”고 말했다.
관련 기술 수요는 지속 증가한다. 최근 주요기관 대상 동일 집단 추정 APT공격이 지속 발생하는 등 사이버위협이 높아진다. 북한과 화해 무드에도 북한 추정 '김수키 조직'의 통일부 사칭 공격은 계속 된다. 중국, 이란 등 국가 주도 공격정황도 발견됐다.
KISA는 단순 원천기술 개발을 넘어 사업화를 통해 기업이 사용가능 하도록 지원한다. APT대응, 네트워크 보안, 보안관리 분야에서 활용 가능하다.
박상환 KISA 정보보호R&D기술공유센터장은 “이번 기술은 공개·KISA 채널뿐 아니라 여러 악성코드, 취약점 정보를 받아 위협을 자동 분류하고 특정한다”면서 “네트워크를 통해 특정 트래픽이 발생되면 공격자 맵핑으로 해당 위협이 어떤 조직과 관련 있는지 분석가·관제직원에게 알람을 준다”고 말했다.
이어 “에너지 등 산업분야에서 요구하는 지능형 사이버보안 원천기술을 단순 연구에 머무는 것이 아니라 산업현장에서 즉시 사용 가능한 수준으로 개발했다”고 강조했다.
정영일기자 jung01@etnews.com