사이버 범죄 대항한 새로운 예방 시스템, 블랙포레스트

인터넷에서 정보 수집 후 대조 및 비교 통해 의미부여

정보 제공까지는 하지만 실제로 방어를 수행하지는 않아

적을 알고 나를 알면 백전백승이다. 보통 이 말을 인용할 때는 '나 자신을 잘 알아야 한다'는 것에 초점을 둔다. 하지만 전쟁 중 나 자신에 대해 알아가는 건 어디까지나 적을 알고 있다는 전제 하에서나 가능한 ‘두 번째’ 할 일이다. 적을 안다는 것에 대한 중요성은 실제 전쟁터나 사이버 전쟁터에서나 변함이 없다.

 

▲ 아프니까 청승이다.

조지아 기술연구기관(Georgia Tech Research Institute)의 개발진들은 바로 이런 생각의 위에 새로운 사이버 정보 수집 시스템을 만들었고 블랙포레스트(BlackForest)라고 명명했다. 이 블랙포레스트는 기업들과 조직들이 여러 가지 다양한 사이버 공격에 맞서 힘을 합할 수 있도록 돕는다.

블랙포레스트는 먼저 인터넷 여러 곳에서부터 다양한 정보를 모은다. 여기에는 해커 포럼 등 멀웨어 제작자들이 자주 방문하거나 모여드는 곳이 포함된다. 그런 후 블랙포레스트는 이 정보들을 한 데 모으고 연결해 기업들이나 조직체들에게 유의미한 것으로 만들어 알려준다. 혹은 최소한 기업들이나 조직체들이 공격에 대한 실마리를 잡을 수 있게 해준다.

사용자들은 핵심 단어와 정보 출처를 제공받도록 되어 있다고 조지아 기술연구기관의 연구원인 크리스토퍼 스모크(Christopher Smoak) 씨는 설명한다. “블랙포레스트는 조각 조각의 정보들을 여러 곳에서부터 모은 후 그것들을 연결해 하나의 커다란 그림을 만듭니다. 분석가들은 인터페이스를 통해 이 그림을 수정할 수도 있습니다. 또한 이 시스템에는 자동화 분석 메커니즘이 장착되어 있어 기초적인 집단화, 분류, 상호연결 등의 기능을 수행합니다.”

예를 들어 어떤 사용자 이름에 대한 정보를 얻었다고 했을 때 블랙포레스트는 그 사용자 이름이 또 어디에 등장하는지를 찾아낸다. “그렇게 함으로써 그 사용자가 어떤 활동을 했는지가 드러납니다. 어떤 툴을 사용했고 어디에 관심이 있으며 어떤 정보를 어떻게 유통했는지를 알아내는 것이죠. 그 사람이 신용카드 정보를 어디에 업로드한 이력이라도 발견되면 이는 하나의 위협 정보가 되는 것입니다. 그러면 이 사람의 포스팅이나 대화 내용을 가지고 보다 구체적인 공격 정보를 파악할 수도 있습니다.”

또 다른 예로, 누군가 소셜 미디어를 통해 디도스 공격을 계획하고 있다고 했을 때 블랙포레스트 시스템은 공격 규모, 누가 이 공격에 참여하고 누가 계획하는지를 파악할 수도 있다. 이런 정보가 있다면 많은 사이버 범죄를 예방할 수도 있을 것으로 보인다.

기업이나 조직 입장에선 자신들이 운영 혹은 저장하고 있는 정보가 새나가고 있는지도 블랙포레스트를 통해 파악할 수 있다. “인터넷 공간에 있으면 안 될 나만의 정보가 돌아다니고 있다면 그것 역시 블랙포레스트가 감지할 수 있습니다. 뭔가 가치 있는 걸 소유하고 있다면 그 업체나 조직은 무조건 공격 대상입니다. 물론 공격자가 매번 해킹이나 침투에 성공하는 건 아닙니다. 하지만 그렇다고 해서 기업 내 모든 컴퓨터가 깨끗하다고 볼 수도 없는 겁니다. 그러니 나의 정보가 어디에서 어떻게 유통되고 있는지 살펴보는 것도 중요한 일입니다.”

스모크 씨는 한 가상의 업체를 예로 들었다. “한 회사가 있다고 했을 때 블랙포레스트는 오픈소스 데이터를 먼저 감시해서 이 회사와 관련된 레퍼런스가 있는지를 파악합니다. 이렇게 분석한 레퍼런스들은 또 다른 곳에서부터 수집한 정보들과 자동으로 비교 및 대조됩니다. 그런 과정 중에 잘 알려진 위협 요소와 연결고리가 발견되면 그 위협 요소에 대해 더 조사해 잠재 위협의 가능성은 무엇인지, 어떤 방법을 통해 공격이 들어올 가능성이 높은지도 분석하는 게 가능합니다.”

조지아 기술연구기관은 아피아리(Apiary)와 팔랑스(Phalanx)라는 기업 및 정부용 멀웨어 방어 애플리케이션을 이미 개발해 보급하고 있다. 그렇다면 이 둘과 블랙포레스트는 어떻게 다를까? “블랙포레스트는 예방에 더 초점을 맞춘 기능을 가지고 있습니다. 해킹에 대한 가장 이상적인 대처는 예방이라고 생각하거든요. 물론 블랙포레스트는 예방에 필요한 정보를 제공하는 것이지 방어 자체를 해결해주는 건 아닙니다.”