현대의 위협 탐지 기술, 인공지능 타고 날아오른다

2016-03-31 16:30
  • 카카오톡
  • 네이버 블로그
  • url
증거값 기반 탐지 기술, 인력 부족으로 난항 중
인공지능의 발전으로 주춤한 탐지 기술 발전에 다시 순풍 예상


[보안뉴스 문가용] 증거값 혹은 signature라는 말이 정보보안 업계 사람들에게서 점점 멀어지고 있다. 그렇다고 증거값 분석 기술이 최근 정보보안에서 배척되고 있는 것도 아닌데 말이다. 그렇다고 기업들이 소비자들을 속이고 있는 건 아니다. 증거값 분석이라는 게 조금씩 변하고 있는데, 이를 구구절절이 설명하는 것보다 새로운 단어로 대체하는 게 훨씬 더 쉬울 뿐이다.



지난 수년 동안 증거값에 기반을 두었던 시스템들은 모두 변화하고 발전했다. 하지만 그 핵심 개념만은 아직도 현대의 최첨단 탐지 시스템에 고스란히 남아있다. 그리고 아마 당분간은 계속해서 그럴 것이다. 그렇다면 증거값에 기반을 둔 시스템이 무엇인지를 이해해야 하는데, 이는 탐지라는 것이 어떤 식으로 변화해왔는지를 이해해야만 한다.

1차원 증거값 : 증거값을 기반으로한 탐지 시스템 중 가장 1차원적인 것을 꼽으라면 단연 블랙리스트와 화이트리스트 기법이다. 이 방법은 거의 모든 탐지 및 보호 시스템에 어떤 형태로든 적용되고 있다. 가장 빠르고 가장 효과적인 데이터 분류 기법 중 하나다. 직관적이기도 하다. 이 목록에 있느냐 없느냐 둘 중 하나만 판단하면 되기 때문이다.

2차원 증거값 : 정규표현식(regular expression)과 스트링 매칭(string matching)이 가장 좋은 예라고 할 수 있다. 안티멀웨어, 침입 탐지, 데이터 유출 탐지 시스템의 핵심 기능이며 가장 기본이 되는 바탕이다. 2차원 증거값은 바이너리 파일을 검색해 알려진 스트링을 찾아낸다. 그럼으로써 어떤 유형의 위협인지를 판단한다. 특히 네트워크에 적용되는 위협을 탐지할 때 효과적인 것으로 알려져 있다. 또한 이미 잘 알려진 익스플로잇 및 해킹 기법에 두 번 당하지 않도록 하는 데에도 효과적이다.

데이터 유출 방지(DLP) 시스템은 2차원 증거값 시스템 중 비교적 최신이라고 부를 만한 보안 기술로 메시지와 첨부파일을 스캐닝해서 특정 스트링의 유무를 판별하거나 구축 형식(construction format)을 파악한다. 예를 들어 주민등록번호의 구축 형식이라면 nnnnnn-nnnnnnn일 수 있겠고, 생년월일이라면 nnnn-nn-nn가 될 수 있는데, 파일이나 트래픽에 이런 형식의 문자열이나 내용이 있는지를 파악하는 것이다.

다차원 증거값 : 보안업체들은 위협의 방식과 종류가 다양해지고 공격자들의 자신의 공격을 여러 방법으로 감춤에 따라 하이브리드 시스템을 개발하기에 이르렀다. 즉 1차원, 2차원 증거값 탐지 방식을 해커들이 넘어서게 되었다는 것이다. 그래서 한 가지 증거값에 반응을 하는 것이 아니라 다차원적으로 여러 요소들을 살피고 고려하는 탐지 기법들이 나오기 시작했다. 샌드박싱과 네트워크 행동 모니터링 기법 등이 좋은 예다.

증거값 기반 시스템의 특징은 빠르게 위협을 알아채고 그것의 정체를 밝히는 것이다. 이미 가지고 있던 블랙리스트에 비교를 해보든, 스트링 데이터베이스와 매칭을 시켜보든, 네트워크 안에서 이뤄지는 행위들을 모니터링 하든, 아무튼 제때 발견해 올바로 분류해내는 것이 그 존재의의라는 것이다.

이런 증거값 기반 시스템들이 발전하면 할수록 당연히 더 많은 위협들을 빠르고 올바르게 탐지할 수 있게 되었다. 또한 다양한 증거값 기반 시스템을 함께 사용해 생각지도 못한 시너지를 내기도 한다. 그러나 증거값 시스템이 완벽한 건 아니다. 일단 경보가 대단히 많이 발생한다. 경보만 처리하고 분석하는 데에 사실 보안팀이 총력을 기울여야 될 정도라, 다른 일을 할 수가 없다. 증거값 기반 시스템이 ‘좋기는 하나 부담스러운’ 이유다.

또, 이런 증거값 기반 시스템은 다른 면에서도 인력을 반드시 필요로 한다. 새롭게 추가되는 위협에 대해 엔지니어나 보안 전문가가 고유의 증거값을 만들어 붙여야 하기 때문이다. 저 먼 옛날 아담이라는 인물이 동물들에게 최초의 이름을 쭉 붙였다고 하는데, 엔지니어가 위협이 새롭게 등장할 때마다 이런 역할을 해야 한다는 것. 그러므로 해커들이 새로운 위협거리를 만들어내면 낼수록 이런 역할을 해야 하는 전문가가 더 필요하게 된다. 하지만 어디 사람 늘리기가 말처럼 그리 쉬운가.

덕분에 증거값을 기반으로 한 탐지기법은 현존하는 거의 모든 탐지 기법의 핵심과 근간을 이루고 있으나 인력부족으로 인해 위기를 맞고 있다. 그런데 머신 러닝이라는 ‘학습하는 기계’ 기술이 점점 발전하기 시작하면서 새로운 희망이 보이기 시작했다. 다차원 증거값 탐지 방식이 현대의 산물이라면, 곧이어 인공지능 증거값 탐지 기능이 나올 차례다. 마침 경제적인 이유와도 맞물리기 때문에 증거값 탐지 기능 산업은 중흥기를 맞이할 것으로 보인다.

글 : 건터 올만(Gunter Ollmann)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


강명훈 2016.04.01 12:30

경보에만 매달려도 될까 말까지만 현실은 해야 할 다른 일이 너무 많아서. 그나저나 머신러닝이라, 사람에게 쉬운 건 컴퓨터에게 어렵다고 그랬는데


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기