과학기술사이버안전센터 송중석 박사 인터뷰

안녕하세요, 과학기술사이버안전센터 송중석입니다. 

저는 인공지능과 네트워크 보안, 보안관제 등을 연구하고 있고 이번에 소개할 사이버공격 실시간 추적 가시화 시스템을 개발했습니다.

■ 사이버 공격 실시간 추적 가시화 시스템이란

(영상2 0:02:13~17) 사이버 공격 실시간 추적 가시화 시스템이란 대규모 사이버위협 정보를 가시화함으로써 보안관제 전문 인력에게 직관적인 정보를 제공하는 시스템입니다.

(인터뷰 화면) 이 시스템은 특히 국가 안보를 위해 사용되는데요 국가 사이버 보안장비인 TMS(침해위협관리시스템) IDS·IPS(침입탐지 방지시스템) 등이 탐지한 보안 로그를 실시간 처리합니다.

이를 토대로 공격을 의심하게 하는 이상 행위를 탐지하고, 이상 행위와 공격자 간 상관관계 등을 자동으로 가시화해 사이버 공격 근원지와 유발지를 실시간으로 탐지하고 역추적할 수 있습니다. 

■ 증가하는 사이버 공격과 기존 시스템의 한계

(인터뷰 화면) 일평균 수만 건의 보안이벤트가 발생합니다. 저희 과학기술사이버안전센터가 추적하기로는 일일 약 1-2천 만 건의 보안이벤트가 발생하고 있고요, 사이버 공격은 가히 폭발적으로 증가하고 있다고 말할 수 있습니다.

(보안관제요원 근무화면) 그런데 기존의 사이버 공격 추적 시스템은 이렇게 대량의 이벤트를 다루기 어렵습니다. 게다가 추적 정보를 통계값이나 표·그래프 등으로 제시하기 때문에 보안관제 요원들이 단편적인 텍스트 정보만을 다뤄야 해서 보안 업무가 비효율적인 측면이 있었습니다. 해킹과 같은 침해위협은 우발적이고 다양한 형태로 발생하는 점을 고려하면 실용적이지 않은 거죠.

(인터뷰 화면) 즉, 기존의 시스템은 비교적 출현 빈도가 높은 특정 보안 이슈만을 다루거나 보안관제 신속성을 떨어뜨리는 문제가 컸습니다.

■ 본 시스템의 필요성과 활용가치

(박사님 설명하시는 모습 등) 그러나 본 사이버 공격 실시간 추적 가시화 시스템은 텍스트 정보 분석환경에서는 불가능한 종합적이고 직관적인 분석환경을 제공합니다. 이로써 기존의 시스템으로는 탐지 불가능한 신・변종 사이버위협을 탐지할 것으로 기대하고 있습니다.

(영상3 00:25~) 또 이상 행위를 3차원 그래픽으로 가시화한 정보로 제공하고

축적되어 있는 보안 분석 정보들과의 상관관계를 분석해 제공함으로써 (센터 근무하는 모습 등) 보안관제 인력이 보다 높은 수준으로 사이버위협 탐지업무를 수행하도록 지원합니다.

(영상2 0:02:18~25) 나아가 궁극적으로는 국가 공공 보안관제 체계에 대한 침해시도를 신속하게 탐지하고 대응하는 데 활용되어 국가 사이버안보를 강화할 것으로 기대하고 있습니다.

■ 시스템의 주요 구성 원리

본 시스템은 공격받는 주요 IP를 중심으로 정보를 가시화하는 “내・외부 공격자 가시화 시스템”과 전체 IP의 관계성을 중심으로 가시화하는 “공격자 상관정보 가시화 시스템”의 기술로 구성됩니다.

내・외부 공격자 가시화 시스템은 24시간으로 실시간으로 추적분석해 공격 행위를 시각화하는 기술이며

공격자 상관정보 가시화 시스템은 공격 이벤트별 추이, 공격자별 상관관계를 분석한 후 약 100만 개의 IP 정보를 3차원으로 가시화하는 기술입니다.

(인터뷰화면) 최신 사이버 공격에 신속하게 대응하기 위해서는 정보를 종합적으로 이해할 수 있는 수단 마련이 필요하다고 생각했습니다. 

이 시스템은 위험도가 높은 IP 선별, IP별 행위 정보의 정의, 정의된 행위정보의 장기간 표현 등의 아이디어가 적용돼 신유형의 위협에 신속히 대응하고 종합적인 분석 정보를 제공합니다.

■ 시스템 활용 현황과 계획

(영상1 00:22~ → 파란네모박스들 크게 동그라미 치고 ‘61개 공공·연구기관’ 이라 표기) 

KISTI 과학기술사이버안전센터는 본 시스템을 활용해 61개 공공・연구기관으로부터 수집되는 정보를 가시화하고 있으며, 

보안관제 전문인력들이 발견된 특이점에 대해 상세히 분석하고 있습니다. 

또 정보보안 전문업체가 본 시스템을 기술이전 받아 자체 솔루션 개발에 활용하고 있습니다. 

(수상 현수막) 지금도 여러 기관으로부터 문의를 받고 있고 실용성을 기대하는 답변을 많이 들어요. 그래서 보람을 많이 느끼고 있습니다.

(인터뷰화면) 앞으로는 보다 많은 신・변종 사이버위협 탐지를 목표로 내부 알고리즘을 개선하고 추가 방법론을 적용할 예정이며, 기술이전 등 기술 확산을 적극적으로 해나갈 계획입니다. 

■ 앞으로의 목표

(센터 현판) 과학기술사이버안전센터는 보안관제 서비스와 연구개발을 동시에 수행하는 국내 유일의 연구센터입니다. (인터뷰화면) 이러한 과학기술사이버안전센터만의 특성과 역량을 잘 활용해 국내를 넘어 세계 최고의 정보보호 기술을 개발하고 싶고요, 이를 산업계와 국가정보 보호 체계에 적용·활용함으로써 안전한 연구 환경, 안전한 사이버 환경 구축에 기여하겠습니다.