최근 이슈가 되고 있는 DDoS (서비스거부) 공격 및 개인정보 유출에 대한 관심이 증대되고 있는 가운데 이러한 DDoS 공격의 수단으로 사용되는 PC의 좀비화와 개인정보 유출을 주도하고 있는 악성 코드의 전파를 원천적으로 방지할 수 있는 기술이 ETRI에 의해 개발되었다.
ETRI(한국전자통신연구원, 원장 최문기)는 29일, 세계 최초로 네트워크를 통해 유입되는 바이러스, 웜, 트로이 목마 등의 악성 변종코드를 실시간으로 탐지?분석하고 관리하여 원천적으로 네트워크 공격을 방지할 수 있는 네트워크상의『악성 코드 탐지?기술』을 개발했다고 밝혔다.
ETRI는 현재 기가급 트래픽의 기업망에 설치되어 운용 중인 시스템에서 수집된 실행 파일들을 다양한 상용 Anti-virus 제품으로 분석한 결과, 1주일 동안 500개 이상의 악성 실행코드가 유입되고 있으며, 기업망 내부에서도 악성코드를 발생하는 서버가 있는 것으로 분석되었다.
이는 현재 사용되고 있는 보안장비들은 공격의 정형화된 탐지 규칙 및 접근제어 리스트에 의해 사이버 공격을 탐지하고 있어 사소한 변형 공격에도 쉽게 무력해지는 취약점에 기인한 것이다.
이번에 ETRI가 개발한 기술은 네트워크상에 송수신되는 패킷에 포함된 실행 파일을 재조합하여 세분화된 악성코드 인지 기술을 적용함으로써 공격의 정형화된 탐지 규칙 및 트래픽의 이상 상황 여부에 구애 받지 않고 네트워크에 전파되는 알려지지 않은 공격을 조기에 탐지하고 대응할 수 있다.
또한 이 기술은 탐지된 공격의 정확도를 높이기 위한 10개 이상의 검증 프로세스를 통하여 공격 연관성 분석기반의 확인 과정을 거치고 있어 우수한 정확도를 자랑한다.
공격을 탐지하는 프로세스에는 복수개의 패킷에 분산 전달되는 실행코드에 대한 탐지 알고리즘과 다형변형(Polymorphic)공격기법의 탐지 알고리즘 등 고난이도의 탐지분석 알고리즘이 작동하고 있어서 기존의 보안장비가 발견하지 못하는 신?변종 공격을 효과적으로 탐지할 수 있다.
현재 이 시스템은 ETRI 백본, 서울시 정보통신망, 국내 4대 관문국 중 한곳의 허니넷, 정부통합전산센터, 1개 기업 사내망 및 1개 대학 등의 6곳에서 시험 운용 중에 있다.
시험 운용 결과, ETRI는 평균 600~800Mbps에서 운용되는 망에서 네트워크로 입력되거나 인터넷 망으로 출력되는 모든 패킷을 손실 없이 감시하여 알려진 악성코드 및 알려지지 않은 상당수의 악성 코드를 실시간으로 모니터링 할 수 있음을 확인하였다.
ETRI 오진태 보안게이트웨이연구팀장은 “새로 개발된 시스템은 개인과 기업망에 유입되는 악성코드와 내부의 감염된 서버들에서 발생하는 신, 변종 악성코드를 실시간 탐지?대응하여 보다 완성도 높은 보안체계 구축에 일조할 수 있을 것으로 기대된다” 고 말했다.
이번 연구는 안철수연구소, 나우콤, 케이벨(주)와 공동으로 진행하고 있으며, 이외에도 몇 개의 업체와 상용화를 위한 업무 협의가 진행되고 있어 국내 네트워크 보안성 강화 및 해외 시장 진출에 기여할 것으로 기대된다.
한편, ETRI는 현재 실시간 악성 코드 탐지 기술과 관련해 국내외에 특허 30여건을 출원 및 등록하고 있으며, 한국 IDC에 따르면 국내 정보보안 시장 규모는 2011년 8,150억원에 이를 것으로 예상되고 있다.