예측 블랙리스트로 네트워크 공격 예상

SRI 인터내셔널과 SANS의 연구자들이 7월 28일부터 8월 1일까지 미국 산호세에서 진행되는 'USENIX 시큐리티 심포지엄(Security Symposium)'에서 피해자 네트워크와 공격자의 선호도를 연관시켜 블랙리스트 추가 우선 순위를 정하는 기술에 관한 논문(‘Highly Predictive Blacklisting’)을 발표했다.

“예측 블랙리스트”로 불리는 이 기술로 네트워크 소유자들은 다른 네트워크에 대한 공격자들의 선호도를 분석해 자신의 네트워크에 대한 공격을 예상할 수 있다.

연구자들은 알려진 공격자가 선호한 피해자들을 매치함으로써 다른 대규모의 글로벌 리스트나 로컬에 초점을 맞춘 리스트들보다 더 뛰어난 네트워크별 블랙리스트를 개발했다고 논문을 통해 설명했다.

이들은 구글의 페이지랭크 시스템과 개념적으로 유사한 시스템을 이용해 공격자의 대상 선택을 연관짓기 위해 2007년 4월, DShield.org에 예측 블랙리스트(highly predictive blacklist) 서비스를 배포했고 서비스 참여자들이 제공한 방화벽 로그를 사용해 연구를 진행했다.

이들은 블랙리스트를 작성하기 위해 우선 참여자가 제출한 로그 중 지정되지 않은 또는 비인가된 IP 주소, 웹 크롤러, 타임아웃 세션으로부터의 트래픽을 포함, 신뢰할 수 없는 경고를 모두 찾아냈다. 그 후 모든 참여자들에 대한 공격 우선순위를 정하기 위해 검색 능력 기반(relevance-based) 랭킹을 사용해 동일한 IP 주소의 공격을 받은 네트워크 소유자들을 그룹으로 묶었다.

끝으로 시스템이 알려진 맬웨어 증식 경향과 매치되는 패턴들에 관한 우선순위를 정한다.

▲블랙리스팅 시스템 아키텍처 (출처:Highly Predictive Blacklisting)

논문을 통해 이들은 이 서비스를 양질의 블랙리스트 생성의 새로운 방향을 향한 최초의 실험적인 단계로 본다며 이 서비스가 안전한 협력 데이터 공유 분야에 동기를 부여하는데 도움이 되는 새로운 논쟁을 제공할 것으로 생각한다고 밝혔다.

[김동빈 기자(foregin@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)