KISTI "AI로 연구망 침입 탐지"

한국과학기술정보연구원(KISTI)이 국가과학기술연구망을 노린 사이버공격과 침입을 탐지하는 인공지능(AI) 알고리즘을 개발 중이다. 5년전 구축한 '사이버예경보시스템'에 더해 활용될 전망이다.

KISTI는 지난 19일 홈페이지를 통해 공개한 정책연구보고서 '최신 사이버위협 동향 및 대응 방안 분석' 문건을 통해, 국가과학기술연구망 침입을 탐지하는 AI 기술과 침입 판단을 위한 시각화 시스템 개발을 추진 중이라고 밝혔다. 과학기술사이버안전센터 소속 연구원·기술원·행정원 18명이 보고서 집필진으로 참여했다.

현재 KISTI 과학기술사이버안전센터는 '국가사이버안전센터'로부터 국가과학기술연구망 보안관제 업무를 위임받아 수행 중이다. 국가과학기술연구망 네트워크는 정부출연연구소와 국립연구소를 포함한다. 과학기술사이버안전센터는 연구망을 24시간 365일 무중단 보안관제하며 사이버공격으로 인한 피해 발생과 확산을 방지하고 국가기관이 보유한 정보시스템과 전산망 정보를 외부 침입으로부터 보호하고 있다.

한국과학기술정보연구원(KISTI)이 과학기술사이버안전센터 보안관제 대상인 국가과학기술연구망의 침입탐지에 적용할 인공지능(AI) 알고리즘을 개발 중이다. [사진=Pixabay]

KISTI 정책연구보고서는 최근 시행되는 사이버공격 위협의 특징적 사례로 "정치적 갈등으로 인한 사이버 공격, 해킹을 통한 금전 탈취, 취약점 및 지능형지속위협(APT) 공격 기법을 통한 랜섬웨어 유포, 공급망 공격 전략을 이용한 악성코드 유포" 양상이 심화함에 따라 과학기술사이버안전센터는 "위협 동향 분석을 통한 자동화 기반 보안 체계 구축 및 실시간 네트워크 침입 탐지 가시화"를 연구 중이라 밝혔다.

보고서 설명에 따르면 과학기술사이버안전센터는 앞서 악성코드와 해커 공격유형을 수집해 새 공격기법을 발견하고 향후 연구에 활용 가능하도록 가상 네트워크환경을 구축한 '사이버예경보시스템'을 도입했다.

센터가 도입한 사이버예경보시스템은 지난 2013~2014년 구축된 여러 하위 시스템을 포함한다. 하위시스템으로 2013년중 악성행위정보수집시스템, 악성행위정보통합분석시스템, 악성행위정보통합관리시스템, 악성행위정보통합정보시스템이 만들어졌다. 2014년중 악성행위상관분석시스템, 악성행위통합뷰어시스템, 악성코드자동분석시스템, 악성코드수동분석시스템, 악성코드자동분류시스템도 추가됐다.

KISTI 과학기술사이버안전센터 '사이버 예·경보 시스템' 전체 구성도. [자료=KISTI 정책연구보고서]

2013년도 하위시스템은 크게 PC 및 서버 기반 악성행위 정보 수집과 모니터링을 수행하는 허니팟과 수집 정보를 처리하는 시스템으로 나뉜다. PC에선 파일, 프로세스, 레지스트리, 네트워크를 모니터링하고 API 호출정보와 시스템 변경사항을 분석, 분류하고 URL도 수집, 분석한다. 서버에서도 PC와 유사한 정보가 수집되나 상용 FTP서버와 파일공유 서버 호스트 프로그램을 돌려 외부에서 서버시스템처럼 보이게 돼 있다.

하위시스템 중 악성행위정보통합분석시스템은 수집된 악성행위정보 연관분석, 심층분석으로 침해공격여부를 판단한다. 공격자와 피해자 IP, 프로토콜과 포트번호 등 정보와 실제 악성코드를 추출해 수집정보에 연관분석을 수행할 목적으로 제작됐다. 파일 정적분석, 악성파일 진단 기능, 분석결과를 저장하는 통합저장시스템에 패킷, 악성파일, 시스템정보, 공격자 정보를 전송하는 기능, 패킷전송 은닉기능을 갖췄다.

2014년도 하위시스템은 악성행위와 악성코드를 분류하는 시스템, 웹기반 정보분석시스템, 웹기반 통합뷰어시스템으로 나뉜다. 그중 자동분류시스템은 전년도 구축시스템에 수집한 분석대상 URL과 파일을 보안전문업체 세인트시큐리티의 '멀웨어스닷컴(malwares.com)' 분석정보로 자동분류를 수행한다. 수집샘플 분류, 해시비교, 안티바이러스비교, 유사도 알고리즘비교 기능을 갖췄다.

KISTI 과학기술사이버안전센터 '사이버 예·경보 시스템' 중 '악성행위 통합 뷰어 시스템 대시보드' 스크린샷. [자료=KISTI 정책연구보고서]

악성행위 자동·수동분석시스템은 악성코드의 악성여부 최종판별기능을 수행한다. 자동분석시스템은 확장자, 패커추출, 패킹해제, 문자열과 API 추출 동작으로 데이터를 추출하고 악성판별 후 행위분석DB에 결과를 저장한다. 수동분석시스템도 이와 유사하나, 자동분석결과가 정확하지 않아보이거나 신종악성행위로 분류돼 정확한 데이터가 없을 경우에 활용되고, 사용자 수동분석과정을 포함했다는 차이를 보인다.

악성행위통합뷰어시스템은 웹기반 GUI를 통해 각 시스템별 연계 및 분석·수집 정보와 통계정보를 확인할 수 있는 GUI시스템이다. 대시보드 기능을 활용해 시스템 현황과 악성코드 분석 정보를 시각적으로 표현한다.

과학기술사이버안전센터는 이 사이버예경보시스템을 활용해 각 수집시스템별 자체 패턴과 룰셋으로 데이터를 수집하고, 악성행위를 파악하고, 패킷과 행위정보를 저장한 xml 파일을 분석하고, 멀웨어스닷컴과 트렌드마이크로 등 여러 백신공급업체 DB를 참조해 악성탐지 샘플파일을 정적분석하고, 해외 정보공유사이트 등을 통해 유사사례와 최근동향을 파악하고, 분석 리포트를 작성하고 있다.

KISTI 과학기술사이버안전센터 TMS 데이터를 활용해 침입탐지여부를 시각적으로 판단케 해주는 '실시간 가시화 시스템' 기능 중 이벤트 발생시 IP오브젝트에서 발사되는 그래픽 이펙트 추적모드 스크린샷. [자료=KISTI 정책연구보고서]

보고서는 그간 실제 발생한 공격 사례와 사이버예경보시스템을 활용해 다섯 가지 탐지사례를 분석한 결과도 소개했다. 첫 사례는 워너크라이 랜섬웨어와 유사한 통신구조를 보인 '이터널블루 스캐닝 툴' 공격이었다. 둘째는 'SMB 취약점'을 악용해 봇넷계열 백도어를 주입한 걸로 추정되는 공격이었다. 셋째는 공격자가 장악한 PC에서 추가 악성행위로 좀비PC 확보나 분산서비스거부(DDoS) 봇넷을 구축하려 한 공격이었다. 넷째는 RDP익스플로잇 계열과 유사했으나 단순 프록시 서버 경유지 악용으로 추정된 사례, 다섯째는 타인의 PC에 암호화폐 채굴 프로그램을 무단 설치해 채굴봇으로 악용한 사례였다.

과학기술사이버안전센터는 사이버예경보시스템에 이어 머신러닝 및 딥러닝 기반 AI 네트워크 침입탐지 알고리즘을 개발 중이다.

보고서는 "최근 보안관제센터들은 새 공격에 대한 능동적 대응 능력 향상 및 사이버 침해사고 예방을 위해 AI를 기반으로 하는 사이버대응 기술을 도입하고 있다"고 지적했다. 또 "스마트폰, 클라우드 기반 IoT 기기들이 등장하면서 보안관제 대상과 범위가 점차 확대되고 있고 기존 보안기술을 우회하는 기법들이 난무하는 상황"에서 "현재 보안 장비들은 개별적인 침해사고 탐지, 분석 및 파편화된 정보 위주로 대응하고 있어 새로운 네트워크 환경에 대응하는데 한계가 있다"고 진단했다. 따라서 "이러한 한계를 극복하기 위해 대량의 침해사고 정보를 분석하여 신속한 탐지와 대응 방안을 마련하고 침해 사고 사이의 연관성 및 특징을 발견할 수 있는 AI 보안 기술이 필요하다"고 강조했다.