Home > 전체기사

공격자의 체류 시간을 줄여라! 노우먼 프로젝트 시작

  |  입력 : 2018-05-21 12:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해커들의 침투 성공은 당연...문제는 머무르는 시간 단축
미국의 정부 기관과 대학, 통신사들, 문제 공략하기 위해 힘 합쳐


[보안뉴스 문가용 기자] IT 보안에 있어서 가장 큰 문제 중 하나는 ‘지속성’이다. 공격자들은 침투에 성공할뿐만 아니라, 피해 시스템이나 네트워크에 눈에 띄지 않게 오래 머무르며 자기가 하고 싶은 짓들을 한다. 이에 미국방위고등연구계획국(DARPA)과 조지아공과대학에서 새로운 프로젝트를 진행하기 시작했다. 이 ‘지속성’ 혹은 ‘체류 시간’을 떨어트리기 위해서다. 현재 공격자들은 최소 24시간에서 6개월까지 시스템에 머무른다고 알려져 있다.

[이미지 = iclickart]


이 프로젝트의 이름은 노우먼(Gnomon)으로 DARPA가 4년 동안 1280만 달러를 지원하고, 조지아공과대학이 연구를 진행한다. 노우먼 프로젝트는 “해커들의 침투 자체는 막을 수 없다”는 전제부터 시작하고, 침투에 성공한 해커를 최대한 빨리 잡아내는 방법을 모색하고 있다. 그래서 네트워크에 연결된 장비들로부터 유발되는 행동 특성들을 관찰하고, 이러한 데이터를 바탕으로 뭔가 수상한 현상이 발견됐을 때 곧바로 알리며, 전문가나 자동화된 시스템이 곧바로 조치를 취할 수 있도록 해준다.

노우먼 프로젝트는 악성 파일을 탐지해내는 활동은 전혀 하지 않는다. 조지아공과대학의 연구원인 마노스 안토나카키스(Manos Antonakakis)는 “멀웨어를 빨리 찾는 연구를 하는 것이 아니다”라며 “최근 공격자들조차 멀웨어에 대한 의존도를 낮춰가고 있어, 멀웨어 탐지를 미래형 연구 과제로 잡기는 적절치 않아 보였다”고 말한다. “대신 행동 패턴에 기반을 둔 탐지 전략이 유효한 것이 사실입니다.”

안토나카키스는 “작년 선행 연구를 진행했을 때 알게 된 사실인데, 보안 업계나 전문가들이 공격에 사용된 도구의 샘플을 얻어내는 시기는 이미 해커들이 수개월 간 공격을 진행하고 나서”라며 이번 프로젝트의 당위성을 설명한다. “또한 잠재적 비요구 프로그램(PUP)을 호스팅하는 도메인들은 평균 192일 동안 활동합니다. 192일이 지나서야 보안 업계의 분석이 시작된다는 것이죠.”

이렇게 탐지와 분석에 걸리는 시간이 길어질수록 공격자들이 얻어갈 것도 많아진다. “앞서 언급한 작년의 연구 결과 302953개의 멀웨어 도메인들이 최소 2주는 살아있음을 알 수 있었습니다. 보통은 수개월 목숨이 연장되죠. 공격할 거, 얻어낼 거 충분히 다 하고 나서야 보안 업계가 분석을 시작하는 겁니다.”

하지만 실시간으로 네트워크 전체의 행동 패턴을 파악하는 건 컴퓨팅 파워를 많이 소모하는 일이다. 노우먼의 경우 “동적 첩보”에 컴퓨팅 파워 대부분을 집중시킨다고 한다. “동적 첩보란 머신 러닝이나 인공지능과는 좀 다른 것으로, 동적 모델링 개념에 기반을 둔 것입니다. 단기 및 장기 행동에 대한 특성을 규정할 수 있는 모델을 전부 구축하는 게 가능합니다.”

악성 행동이 규정되고 탐지된다고 일이 끝나는 건 아니다. 보안 전문가들은 이 데이터를 바탕으로 조치를 취해야 한다. 이 부분에 있어서 안토나카키스는 “봇넷 공격을 방어하는 법을 연구하다가 힌트를 얻었다”며 “노우먼 프로젝트의 목표는 3~4년 내에 공격을 더 어렵게 만드는 것”이라고 말한다. “공격의 비용을 높여 함부로 공격할 수 없게 만드는 것이 기본 개념입니다. 공격이 더 복잡하고 어려워지면 실수할 가능성도 높죠. 공격 빈도수도 낮아질 것이고요.”

하지만 자세한 내용은 아직 밝힐 수가 없다고 한다. 연구가 초기 단계에 있기도 하거니와, 이 방법이 공개되면 방어 기재로서 쓸모가 없어지기 때문이다.

현재 이 노우먼 프로젝트에는 대형 통신사 두 곳도 참여하고 있다. “현재 노우먼 프로젝트는 통신사들의 도움을 받아 네트워크와 도메인에 관한 지식을 쌓고 있습니다. 또한 누군가의 침입을 24시간 안에 막아내도록 하는 게 1단계 목표입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)