폐쇄망 PC가 인터넷에 연결됐는지 찾는 기술이 나왔다.
국가·공공기관은 인터넷에 연결된 PC와 별도로 망분리 환경에서 업무용 PC를 쓴다. 최근 국방부 해킹 사건 역시 폐쇄망 PC를 인터넷과 연결해 보안 규정을 위반하면서 악성코드가 내부로 확산했다.
워치아이시스템(대표 최해술)은 망혼용을 잡아내는 기술을 선보였다. 회사가 개발한 차세대 보안이벤트관리(SIEM) 솔루션 `로그 인사이트(Log Insight)`는 다양한 탐지와 분석 규칙(룰셋)을 구현했다.
로그 인사이트에 망혼용 탐지 룰셋 디자인을 적용하면 폐쇄망 PC가 인터넷에 연결됐는지 실시간으로 찾아낸다. 망분리 PC가 인터넷과 연결되면 보안 위협이 증가한다. 주요 기밀을 관리하거나 제어시스템을 운용하는 망에 악성코드가 감염된다.
로그 인사이트는 로그데이터를 시그니처로 만든다. 분포도와 포트, 출발과 목적 IP를 분석한다. 특정 IP대역에서 일어나는 로그 시그니처 등을 다양한 룰셋 디자인으로 구현한다.
워치아이시스템은 2000개 이상 현장에서 검증된 룰렛 디자인을 데이터베이스(DB)로 만들었다.
최해술 대표는 “로그 인사이트는 머신러닝 개념을 접목해 내부 보안 위배 행위와 해킹 위협을 잡아낸다”면서 “이미 공공기관 한 곳에 설치해 망혼용을 잡아냈다”고 설명했다.
주요 공공기관과 제어시스템(ICS) 운용 기관은 업무망이나 제어망을 폐쇄망으로 운영하면서 별도 보안 솔루션을 설치하지 않는 곳이 많다. 보안 취약점이 자주 발견되는 한컴오피스, 어도비 플래시 등 상용 SW 업데이트도 이뤄지지 않는 것으로 알려졌다. 이 때문에 폐쇄망이 인터넷망과 연결되면 악성코드가 쉽게 감염된다.
김인순 보안 전문기자 insoon@etnews.com