[데이터넷] 스미싱에 가장 많이 사용된 키워드는 ‘택배’였으며, 주로 사용된 문자 메시지는 ‘[WEB발신]【XX통운】고객님 1월01일 택배 배송불가 도로명불일치’였다. 두번째로 많은 키워드는 ‘결혼’이었으며 ‘꽃처럼예쁘게잘살겠습니다 일시 ○○월○○일 오후 ○시 장소:○○○○○’였다.
이는 사이버 보안 빅데이터를 이용해 스미싱 공격에 악용되는 키워드를 시각화 분석한 결과다. 여기에 사용된 데이터는 지난해 개소한 사이버보안 빅데이터센터에서 제공한 것이다. 센터는 국내 주요 기관과 민간 보안 기업들이 협력해 구축하고 있는 보안 인텔리전스 ‘C-TAS’의 정보와 한국인터넷진흥원이 탐지한 정보를 축적해 침해대응체계를 고도화하기 위해 설립됐다.
센터는 9월 현재 정형·비정형 데이터 5억3000만건이 수집돼 있으며, 악성 IP 주소와 도메인, 악성코드, 취약점 등이 집약돼 있다. KISA는 이 데이터를 이용해 침해사고 대응 역량을 강화하며, 산·학·연 위협 빅데이터와 분석 플랫폼을 제공해 제품 개발과 연구를 지원하고 있다. 민간분야 침해대응체계 고도화를 지원하고, 산·학·연 대상 빅데이터 활용 사례를 공유한다.
수집하는 데이터는 C-TAS 회원사와 KISA 운영시스템, 공공분야, 국내외 보안업체, 인터넷공개정보, 전 세계 오픈소스 인텔리전스 네트워크를 통해 오픈된 정보 등이며, 수집된 정보는 AI를 이용해 분석을 용이하게 할 계획이다.
이 데이터를 활용한 또 다른 사례로, 국내 악성코드 유포 관련 취약점 동향을 분석한 것이 있다. 지난해 주로 사용된 취약점이 올해 공격에는 덜 사용됐으며, 지난해 발견된 취약점은 올해 활발하게 사용됐다. 따라서 올해 발견된 취약점이 활발하게 유포될 것으로 예상돼 대응책을 마련하고 있다.
딥러닝을 이용한 악성 도메인 예측도 주목할 만한 사례다. 악성코드가 공격자로부터 명령을 전달받는 C&C를 차단하기 위해 기존에는 해당 도메인을 DNS 싱크홀에 적용하거나 ISP를 통해 차단했다. 이 방법은 도메인 생성 알고리즘(DGA)을 이용해 C&C를 자동으로 생성하는 경우 막을 수 없었다. 그래서 딥러닝 기술을 이용해 수백만개의 정상 및 DGA 도메인을 사전에 학습하고 악성 도메인을 예측해 99% 가량의 정탐률을 기록했다.
침해대응 업무에 활용할 수 있는 악성코드 분류도 사이버 보안 빅데이터를 이용한다. AI를 이용해 악성코드를 분류하고 분석하며, 지능형 침해사고 종합 분석 플랫폼에서 사고를 미리 탐지할 수 있다.
임진수 KISA 사이버보안빅데이터센터장은 “센터는 내년까지 단계적으로 AI 시스템을 구축해 빅데이터 분석 효율성을 높이고 있다. 침해대응센터가 갖고 있는 여러 시스템 중 AI를 적용할 수 있는 시스템을 선정해 구축하고 있으며, 분석 정확도를 높이기 위한 검증 작업을 진행하고 있다”며 “사이버 보안 빅데이터 활용을 강화하기 위해 다양한 홍보활동과 교육 활동을 진행하고 있으며, 활용 아이디어를 소개하는 대회도 예정하고 있다”고 말했다.
