ETRI, 세계 최초 네트워크상 악성코드 탐지기술 개발

[산업일보]
DDoS(서비스거부) 공격의 수단으로 사용되는 PC의 좀비화와 개인정보 유출을 주도하고 있는 악성코드의 전파를 원천적으로 방지할 수 있는 기술이 개발됐다.

한국전자통신연구원(ETRI)는 세계 최초로 네트워크를 통해 유입되는 바이러스, 웜, 트로이 목마 등의 악성 변종코드를 실시간으로 탐지ㆍ분석ㆍ관리해 원천적으로 네트워크 공격을 방지할 수 있는 네트워크상의 ‘악성 코드 탐지ㆍ기술’을 개발했다고 29일 밝혔다.

이번 연구는 안철수연구소, 나우콤, 케이벨㈜와 공동으로 진행하고 있으며, 이외에도 몇 개의 업체와 상용화를 위한 업무 협의가 진행되고 있다.

이 기술은 네트워크상에 송수신되는 패킷에 포함된 실행 파일을 재조합해 세분화된 악성코드 인지 기술을 적용함으로써 공격의 정형화된 탐지 규칙 및 트래픽의 이상 상황 여부에 구애받지 않고 네트워크에 전파되는 알려지지 않은 공격을 조기에 탐지하고 대응할 수 있다.

또한 이 기술은 탐지된 공격의 정확도를 높이기 위한 10개 이상의 검증 프로세스를 통해 공격 연관성 분석기반의 확인 과정을 거치고 있어 우수한 정확도를 자랑한다.

공격을 탐지하는 프로세스에는 복수개의 패킷에 분산 전달되는 실행코드에 대한 탐지 알고리즘과 다형변형(Polymorphic) 공격기법의 탐지 알고리즘 등 고난이도의 탐지분석 알고리즘이 작동하고 있어서 기존의 보안장비가 발견하지 못하는 신ㆍ변종 공격을 효과적으로 탐지할 수 있다.

현재 이 시스템은 ETRI 백본, 서울시 정보통신망, 국내 4대 관문국 중 한곳의 허니넷, 정부통합전산센터, 1개 기업 사내망 및 1개 대학 등의 6곳에서 시험 운용 중에 있다.

오진태 ETRI 보안게이트웨이연구팀장은 “새로 개발된 시스템은 개인과 기업망에 유입되는 악성코드와 내부의 감염된 서버들에서 발생하는 신ㆍ변종 악성코드를 실시간 탐지ㆍ대응해 보다 완성도 높은 보안체계 구축에 일조할 수 있을 것으로 기대된다”고 말했다.

한편, ETRI는 현재 실시간 악성 코드 탐지 기술과 관련해 국내외에 특허 30여건을 출원 및 등록하고 있으며, 한국 IDC에 따르면 국내 정보보안 시장 규모는 2011년 8천150억원에 이를 것으로 예상되고 있다.