AI·빅데이터 만난 사이버보안, 어떻게 바뀌나
2018.12.12 오후 5:35
위협 실시간 대응·보안기술 고도화…'사이버보안 빅데이터 센터' 개소
[아이뉴스24 성지은 기자] 사이버보안에 빅데이터와 인공지능(AI) 기술을 접목하면서 악성 도메인(웹사이트 주소)을 실시간으로 파악하고 대응하는 일이 가능해졌다.

침해사고를 연계 분석해 발빠르게 대처하고 보안위협을 분석하는 알고리즘도 개발할 수 있게 됐다.

이동연 한국인터넷진흥원(KISA) 인텔리전스확산팀장은 12일 KISA 서울청사에서 열린 '사이버보안 빅데이터 센터' 개소식에서 날로 고도화되는 사이버 위협에 효과적으로 대응하는 방안을 소개했다.

센터는 위협정보를 수집·가공해 침해사고에 신속히 대응하고 데이터 기반의 보안기술 연구개발(R&D)을 활성화하기 위해 마련됐다. KISA가 사이버 위협정보 분석‧공유 시스템(C-TAS)로 수집한 위협정보 등을 포함해 총 3억5천만건 위협정보를 보유하고 있다.





방대한 위협정보를 활용할 경우 침해사고에 발빠르게 대응하고, 관련 사고를 연계 분석해 특정 보안 취약점을 개선할 수 있다. 또 사이버보안에 활용할 수 있는 AI 알고리즘 개발도 가능하다.

가령 도메인을 악용한 사이버공격을 판별하고 우선순위를 정해 실시간으로 대응할 수 있다. 도메인(blog.abc.com)은 1차 도메인(com), 2차 도메인(abc), 3차 도메인(blog)로 구성되는데, 해커들은 3차 도메인의 문자열을 비슷하게 바꿔 유사한 도메인(bloq.abc.com)으로 접속을 유도하고 악성코드 유포에 활용하기도 한다.


이동연 팀장은 "2차 도메인 하나에 3차 도메인이 2천200개 이상 발견된 경우도 있었다"며 "이 경우 센터에서 3차 도메인 악용 홈페이지를 파악한 뒤 2차 도메인 소유주에게 경고를 보내고, 고위험군을 판별해 우선순위에 따라 조치할 수 있다"고 설명했다.

대량의 위협정보를 분석한 뒤 여러 침해사고 간 연관관계를 파악하는 일도 가능하다. 예를 들어 특정 보안 취약점을 악용한 악성코드 공격이 기업 A와 B에서 동시 발생했다면, 해당 사고 간 연관관계를 파악하고 위협정보 등을 기반으로 배후에 어떤 해커그룹이 있는지까지 살펴볼 수 있다.



해커들은 도메인 생성 알고리즘(DGA)을 사용해 악성 홈페이지를 만들고 이를 통해 악성코드를 유포하기도 하는데, DGA를 이용한 악성 홈페이지를 AI로 구분하는 일도 가능하다. 센터는 해당 AI 기술을 개발할 수 있는 수백·수천만건의 위협정보를 제공하고, 방대한 데이터로 AI를 학습시켜 알고리즘을 고도화할 수 있게 지원한다.

센터에서는 빅데이터 활용 플랫폼, 이용자별 맞춤형 가상환경, 빅데이터 분석에 필요한 각종 소프트웨어 등을 제공한다. 사용자는 센터에서 데이터를 활용해 각종 응용서비스를 개발할 수 있다.

오용수 과학기술정보통신부 정보보호정책관은 "클라우드 슈밥 세계경제포럼(WEF) 회장은 '디지털 경제에서 사이버보안은 핵심 중추(backbone)'라고 강조했다"면서 "방대한 위협 정보를 수집하고 활용할 수 있도록 지원하겠다"고 말했다.

김석환 KISA 원장은 "해커들도 연대해서 공격을 수행하는 시대"라면서 "방어, 수사, 대응 기관이 연대하고 정보를 공유함으로써 문제를 막을 수 있는 방파제를 쌓을 수 있도록 최선을 다하겠다"고 강조했다.

/성지은기자 buildcastle@inews24.com