[공학저널 김하늬 기자] 점차 지능화되는 기술과 함께 사이버공격 또한 진화하고 있다.
개인, 민간을 넘어 국가 기반시설을 향한 대규모 사이버공격, 기존에 눈에 보이던 공격 패턴이 이제는 암호화돼 실체를 알 수 없는 공격으로 이어지는 등 사이버공격이 날로 다양해지고, 수위가 높아지고 있는 것이다.
최근 디지털 혁신과 함께 데이터의 중요성이 높아지면서 정부기관, 출연연을 비롯한 기관들의 데이터 탈취, 기능의 파괴 등 매일 수십억에서 수천억 건이 넘는 사이버공격이 시도되고 있는 상황이다.
사회에 근간이 되는 시설 또는 시스템이 사이버공격에 피해를 입을 경우, 재산 상의 피해에 그치는 것이 아니라 사회적 혼란을 야기하거나 시민들의 안전, 더 나아가 국가 안보에 심각한 위협이 될 수 있어 이에 대응할 보안관제 기술에 대한 관심도 그 어느 때보다 높다.
현재 국내에는 사이버공격에 대비한 사이버안전센터가 국가정보원을 비롯해 총 40여개 가량 운영되고 있으며, 이중 과학기술정보통신부 소속으로 과학기술정보통신부 자체 사이버안전센터와 우정사업부, 그리고 KISTI의 과학기술사이버안전센터가 운영 중이다.
특히 KISTI 과학기술사이버안전센터에서 개발한 KISTIER(키스티어, KISTI Innovative Security Technology Infrastructure and Emergency Response)는 기존 보안관제 분야의 한계를 극복하는 AI 자동화 플랫폼을 제공하고 있어 눈길을 끌고 있다.
키스티어의 핵심은 ‘스스로 학습하는 AI’라고 할 수 있다.
과학기술사이버안전센터가 지난 2016년 개발한 ‘SMARTer(스마터, Security Monitoring Analysis and Response soluTion extended release)’는 수많은 사이버공격 탐지패턴 분석이 가능한 AI 자동분석 시스템으로 주목받았지만, 한계는 있었다.
스마터는 스스로 알고리즘을 만들 수 없는, 즉 주어진 정보로만 문제를 해결하는 ‘준 AI급’ 시스템이었던 것이다.
이에 과학기술사이버안전센터 송중석 팀장(사진)은 지난 2018년부터 주요 연구기관들에서 수집한 사이버공격 트래픽 데이터를 토대로 DB를 구축하기 시작해 2019년 학습을 통해 스스로 알고리즘을 만들어 보안 이벤트를 분석할 수 있는 AI를 도입했다. 기존 스마터의 기능에 스스로 학습하는 AI가 통합된 형태다.
이러한 키스티어는 크게 AI를 활용한 대규모 사이버공격 자동분석 모델·플랫폼과 대규모 사이버공격정보에 대한 직관적·즉시적 분석이 가능한 3종의 가시화 시스템(VizSpacer, VizCosMos, VizPolaris)으로 구성돼 있는 것이 특징이다.
특히 다양한 대규모 원천데이터에 대한 수집·가공부터 최종단계인 AI모델 개발·구축까지의 전 과정을 사용자 요구에 따라 Non-Stop으로 처리하는 방식으로, 보안관제 분야의 사이버위협 데이터에 최적화된 전처리, 특징 추출, 모델 최적화 등 실용기술이 적용된 AI모델을 제공하는 기술이라고 할 수 있다.
송 팀장은 “과학기술사이버안전센터에서는 대규모 사이버공격정보에 대한 실시간 자동분석이 가능한 보안관제 전용 AI 모델 기술을 독자적으로 개발하고 실시간 보안관제·침해대응 분야에 성공적으로 적용함으로써 보안관제 전 과정을 자동화하기 위한 기반 인프라를 갖추고 있다”고 설명했다.
센터는 이를 통해 실제 보안관제 시 신속성·정확성까지 획기적으로 향상되는 효과를 보기도 했다.
현재 과학기술사이버안전센터에서는 일 평균 2000만 건 이상의 대규모 위협정보를 수집·분석하고 있으며, 키스티어의 AI모델을 해당 보안관제 업무에 적용해 전체 위협정보의 90% 이상을 실시간·자동으로 분석해 공격을 탐지하고 있다. 특히 99% 이상의 분석정확도를 확보해 기존 수동분석 중심의 보안관제 체계의 한계점을 극복했다는 평가를 받고 있다.
또한 키스티어는 AI 자동화 플랫폼뿐만 아니라, 텍스트 중심의 분석체계의 한계점을 극복하고 AI가 탐지한 사이버공격을 실시간·추적 가시화를 통해 사이버공격 발생 여부를 직관적·즉시적으로 판단할 수 있다는 점에서 눈길을 끌고 있다.
이는 3종 가시화 시스템(VizSpacer, VizCosMos, VizPolaris)이 뒷받침하고 있다.
우선 VizSpacer(비즈스페이서, Vizualization of Security events potential attacks and root causes for emergence response)는 개별 IP 주소에 대한 공격행위를 실시간·통계적으로 가시화해 사이버공격 근원지·발원지와 사이버공격 구조를 다각적·직관적으로 분석할 수 있는 시스템이다.
비즈스페이서는 보안관제 업무의 최종목표인 공격자와 피해자 시스템(감염시스템)을 ‘특정’할 수 있는 것이 기존 가시화 기술과의 가장 큰 차이점이라고 할 수 있다.
비즈스페이서가 개별 IP 주소에 대한 공격행위 분석이 목적인 반면 VizCosMos(비즈코스모스, Vizualization of Correlation of security events and Monitoring of sophisticated attacks)는 전체 IP 주소에 대한 공격행위, 공격그룹·공격체계 등 이상행위를 유추·탐지하는 것을 목표로 개발된 시스템이다.
이를 위해 대규모 위협정보에 대한 시간관계·상관관계 분석·가시화 방법론을 적용함으로써 의심 IP의 장기간 행위, 모든 IP 간 상관관계를 가시화해 보안장비가 탐지한 모든 IP의 이상행위를 판단할 수 있는 것이 장점이다.
VizPolaris(비즈폴라리스, Vizualization of Firewall Policy and Log for Advanced Real-time Intrusion Surveillance)는 보안 장비에 설정된 접근정책을 수집·분석해 정책의 실효성/유효성, 정책 간 상관관계를 가시화해주기 때문에 보안장비 전체의 다양한 문제점을 직관적으로 인지하고 효율적인 관리·보완이 가능한 시스템이다.
개별 IP 주소·전체 IP 주소에 대한 다양한 보안로그를 시계열로 수집·분석해 IP별 위험도, 주기/비주기성, 중·장기에 걸친 네트워크 행위를 가시화함으로써 특정 IP주소와 관련된 공격행위와 내부 시스템 전체에 대한 다양한 형태의 이상행위를 효율적으로 심층 추적 분석할 수 있다.
KISTI 과학기술사이버안전센터는 키스티어를 통해 현재까지 국내 특허 8건과 해외 특허 2건을 등록·출원해 정보보호 분야 원천기술을 확보했으며, 사이버공격 지능형 가시화 기술에 대한 시제품을 제작해 정보보안·AI 소프트웨어 전문 기업에 기술이전을 수행했다.
송 팀장은 “키스티어는 AI를 중심으로 하는 차세대 정보보호 기술·플랫폼이며, 과학기술사이버안전센터의 보안관제·침해대응 업무의 효율성 극대화를 위해 많은 기여를 하고 있다”며 “향후에는 키스티어에도 XAI 기술을 적용해 키스티어가 탐지·분석해 발견한 사이버공격에 대해 판단의 근거를 설명할 수 있는 기능을 추가할 계획”이라고 말했다.
한편, 많은 보안 전문가들은 기존의 보안 기술이 눈에 보이는 사이버공격과의 싸움이었다면, 앞으로는 눈에 보이지 않는 사이버공격과의 싸움을 준비해야 한다고 전망하고 있다.
이에 국가의 핵심연구정보와 정보통신 인프라를 보호하고 ICT 기반의 안전한 대국민 서비스를 실현하기 위해 눈에 보이지 않는 암호화된 사이버공격에 대응할 수 있는 범국가적 정보보호 체계 구축이 시급하다는 것이 송 팀장의 의견이다.
송 팀장은 “KISTI는 과학기술사이버안전센터를 중심으로 다양한 분야 암호화된 채널에서 발생하는 사이버위협에 대응하기 위한 범국가적 정보보호 기술을 개발하고 각 분야의 실제 관제센터에 적용할 것”이라며 “드론, 자율주행자동차, 무인택배, 스마트시티, 스마트그리드 등 4차산업혁명 시대의 핵심 서비스·인프라에서 발생할 수 있는 침해사고를 미연에 방지하고 대국민 피해를 최소화할 수 있도록 기술 개발에 힘쓸 것”이라고 전했다.
