해커들의 침투 자체는 막을 수 없어...해법은 머무르는 시간 단축해야
악성코드와 관련없어 포착 어려움...미국, 정부기관 및 대학 등 협력해 대책 모색
해커의 '행동 패턴' 인지가 관건...한국, ‘정보보증’ 개념부터 도입돼야 추진 가능
(시큐리티팩트=김한경 총괄 에디터)
최근 보안업계에서 회자되는 노우먼 프로젝트(Gnomon Project)는 침투에 성공한 해커가 머무르는 시간을 줄이자는 내용의 프로젝트로서, 미국 방위고등연구계획국(DARPA)이 조지아 공과대학과 함께 추진하고 있다.
노우먼 프로젝트에 따르면, 사이버보안에서 가장 큰 문제 중 하나는 해커의 ‘체류 지속시간’이다. 공격자들은 침투에 성공하면 시스템이나 네트워크에 최대한 오래 머무르며 자신이 하고 싶은 행동을 한다. 현재 공격자들은 최소 24시간에서 6개월까지 머무르는 것으로 알려져 있다.
이 프로젝트는 DARPA가 4년 동안 1280만 달러를 지원하고, 조지아 공과대학이 연구를 진행하는데, “해커의 침투 자체는 막을 수 없다”는 전제하에 침투에 성공한 해커를 최대한 빨리 잡아내는 방법을 모색하고 있다. 그래서 네트워크에 연결된 장비에서 해커의 행동 특성을 관찰하고 수상한 현상이 발견되면 곧바로 알려 전문가나 시스템이 조치하도록 만든다.
즉 이 프로젝트는 악성코드를 찾아내는 활동을 하는 것이 아니라 행동 패턴에 기반을 둔 탐지를 한다. 조지아 공과대학 연구원인 마노스 안토나카키스(Manos Antonakakis)는 “최근 공격자조차 악성코드에 대한 의존도를 낮추고 있어, 악성코드 탐지를 미래형 연구 과제로 잡기는 적절치 않았다”며 “행동 패턴에 기반을 둔 탐지 전략이 유효하다”고 말했다.
안토나카키스는 “보안 업계나 전문가들이 공격에 사용된 도구의 샘플을 얻어내는 시기는 이미 해커들이 수개월 간 공격을 진행한 이후”라고 설명한다. 그는 “작년 연구 결과 302,953개의 악성코드가 최소 2주에서 수개월 간 활동했으며, 그 이후에야 보안 업계가 분석을 시작한다”고 말했다. 이렇게 탐지와 분석에 걸리는 시간이 길수록 공격자가 얻어갈 것은 많다.
노우먼 프로젝트는 해커가 침투한 후 이뤄지는 단기 및 장기 행동의 특성을 규정하는 모델 구축에 관심을 집중하고 있다. 하지만 해커의 악성 행동이 규정되고 탐지된다고 해서 일이 끝나는 건 아니다. 보안 전문가들은 이 데이터를 바탕으로 조치를 취해야 한다.
이에 대해 안토나카키스는 “노우먼 프로젝트의 목표는 3~4년 내에 공격을 더 어렵게 만드는 것”이라고 말했다. “공격이 더 복잡하고 어려워지면 비용이 많이 들고 실수할 가능성도 높아져 함부로 공격할 수 없다”는 것이다. 결국 공격 빈도가 줄어들게 된다. 이 프로젝트에는 대형 통신사 두 곳도 참여해 도움을 주고 있다.
이제 한국도 “해커의 침투를 막을 수 없다”는 전제하에 사이버보안을 생각해야 한다. 이를 위해 미국이 사용하는 ‘정보보증’의 개념이 우선 도입 되어야 한다. 정보보증은 기존의 정보보호 개념에 해킹 공격을 받은 후 ‘복구하는 능력’이 포함된다. 즉 막는 것보다 빠른 복구가 중시된다.
이런 개념이 받아들여져야 한국도 ‘노우먼 프로젝트’ 같은 기획을 할 수 있다. 이미 앞서가는 한국 보안업체 중에는 이 프로젝트와 유사한 개념의 제품까지 개발했다. 개발자는 화이트해커 출신이어서 “해커의 심리를 이용해 제품을 개발했다”고 한다.
이 제품은 해커가 침투하면 무슨 행동을 하는지 모두 관찰 가능하고 원하는 자료는 해커가 가져갈 수 있지만 진짜가 아닌 가짜 정보를 가져가게 된다. 이 때 해커에게 제공되는 가짜 정보를 추적하면 해커가 어디서 왔는지도 밝힐 수 있다고 한다. 이 제품은 특히 암호화폐 거래소와 블록체인 업계로부터 주목을 받고 있다.
DARPA가 추진하는 노우먼 프로젝트의 결과가 어떻게 나타날지는 아직 모르지만, 기본 개념은 최고의 보안전문가들이 구상하는 방향과 일치함으로 상당한 진전이 있을 것으로 보이며, 한국도 조만간 과학기술정보통신부나 국방부 주관으로 이런 프로젝트가 추진돼야 한다는 주장이 설득력을 얻고 있다.
광운대 방위사업학과 외래교수 (공학박사)
광운대 방위사업연구소 초빙연구위원
한국안보협업연구소 사이버안보센터장
한국방위산업학회/사이버군협회 이사
前 美 조지타운대 비즈니스스쿨 객원연구원
ⓒ 시큐리티팩트 & securityfact.co.kr 무단전재-재배포금지