공격패턴 실시간으로 분석, 생성, 차단해 네트워크 공격 방지
ETRI(한국전자통신연구원, 원장 최문기)는 4일, 세계 최초로 계속적으로 출현하는 웜/바이러스 악성 변종에 신속하게 대응하기 위해 잘 알려지지 않은 공격패턴을 실시간으로 분석, 생성, 차단하여 원천적으로 네트워크 공격을 방지할 수 있는 공격식별패턴(Signature) 실시간 자동생성 시스템(이하 ZASMIN(자스민))을 개발했다고 밝혔다.
기존 '침입 탐지 및 차단시스템(IPS/IDS)' 기술은 『비정상 트래픽 탐지를 이용하는 방법』과 『공격패킷이 가지는 고유패턴을 이용하여 탐지하는 방법』이 사용되었다.
그러나 『비정상 트래픽 탐지』는 공격에 사용되는 특성(취약성)에 관계없이 공격을 유발하는 트래픽의 특성을 분석, 탐지하는 방식으로 오탐율이 높았다.
현재 IDS/IPS등의 보안제품에서 사용고 있는 『공격 패킷이 가지는 고유패턴을 이용하는 방법』은 기존에 알려지지 않은 네트워크 공격이 발생되면 보안 전문가들이 공격당한 시스템에서 공격에 대한 자료를 수동으로 수집하고 분석하여 대응 시스템에 적용하기까지 몇 시간에서 수 일이 소요되어 즉각적인 대응이 불가능하였다.
ETRI가 이번에 개발한 신종 공격 차단용 <공격식별패턴 실시간 자동생성 시스템(ZASMIN)>은 기존에 알려지지 않은 네트워크 공격패턴 및 반복되는 변종 악성코드 정보를 분석하여 10여분 내에 공격의 고유 패턴을 생성하고, 이 생성된 패턴정보를 기존의 <침입 탐지 및 차단시스템>에 즉시 분배하여 그 공격에 대한 즉각적인 대응이 가능하다.
ZASMIN은 자동적으로 트래픽 분석과 다양한 악성 코드 탐지 기법을 적용한 공격패턴 자동 생성 엔진을 탑재하여 기존 공격패턴 생성 과정에서 변종 웜/바이러스를 구분해 주지 못하는 단점을 극복했다.
또한, ZASMIN 시스템에는 선로 속도의 트래픽 분석과 다양한 악성 코드 탐지 기법을 적용한 공격패턴 자동 생성 엔진이 탑재되었다.
따라서, 기존에 보안전문가들이 수작업으로 공격패턴을 생성한다는 단점을 극복함으로써, 저 비용으로 공격패턴을 생성하기 때문에 네트워크 침입 방지 분야에 큰 영향을 미칠 것으로 전망된다.
ETRI 오진태 보안게이트연구팀장은 "ETRI가 개발한 ZASMIN 기술로 네트워크 공격의 빠른 전파 속도로 인한 대규모 피해를 최소화하고, 네트워크 공격을 실시간으로 탐지 및 대응하여 네트워크 인프라를 보호할 수 있는 핵심 기술을 확보했다는 점에서 의의가 크다" 고 말했다.
ZASMIN 기술은 국제 표준화 기구인 국제전기통신연합(ITU-T)에 의해 지난 10월 스위스 제네바에서 개최한 국제표준회의(Q.6/WP2/SG17)에서 국제 표준화 과제(X.sisfreq)로 신규 채택된 바 있다.
한편, 이 기술은 국내 주요 보안업체 2곳에 기술 이전을 추진 중이며, 내년 하반기에 상용화할 계획으로 정보통신부의 IT839 연구사업 중 '네트워크 위협의 Zero-day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술개발' 과제 결과의 일환으로 추진되었다.
김정은 기자
jekim@itdaily.kr