ETRI, 실시간 네트워크 침입자 역추적 기술 세계 최초로 개발

- 해커 침입으로 인한 기밀정보 유출, 경제적 손실 예방에 큰 기대,
10월 23일 오후 2시 서울 정보통신연구진흥원 교육장에서 기술이전 -

다수의 경유지를 거쳐 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적할 수 있는 ‘네트워크 침입자 역추적 기술’이 국내 연구진에 의하여 개발되었다.
한국전자통신연구원(ETRI, http://www.etri.re.kr) 사이버테러기술분석팀(팀장 서동일)은 정보통신부의 ‘고성능 네트워크 정보보호 시스템 개발’ 사업의 일환으로, 다수의 경유 시스템을 거쳐 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 ‘네트워크 침입자 역추적 기술’을 개발하였다.
전문가의 시스템 분석 과정을 거쳐 일일이 추적 정보를 수집하던 기존의 수동적인 역추적 방식에서 벗어나, 해킹 즉시 역추적 시스템이 이를 감지해 자동적으로 해커의 공격 연결(Connection)에 특정 역추적 정보를 삽입하여 해커의 위치를 스스로 추적해내는 기술로서, 실시간으로 해커의 실제 위치를 파악할 수 있게 하는 세계 최초의 기술이다.
본 기술은 10월 23일 오후 2시 서울 정보통신연구진흥원 교육장에서 개최되는 기술이전 설명회를 통해 기술이전에 나선다.

● 전문가의 로그(접속흔적) 분석에 의존했던 기존의 수동적인 역추적 기술

역추적 기술이란 공격 시스템의 위치와 실제 해킹을 시도하는 해커의 위치가 서로 다르더라도, 실제 해커의 위치 즉, 공격의 근원지를 추적할 수 있는 기술을 의미한다.
특히 기업, 정부 등의 통신망에서 중요 기밀을 빼내는 유형의 해킹에 대해서는 해킹 경로로 사용된 시스템을 가까운 것부터 하나씩 찾아내는 ‘TCP(전송제어 프로토콜, Transmission Control Protocol) 연결 역추적 기술’이 사용된다. 기존의 연결 역추적 방법은 전문가에 의해 수동적으로 해커의 흔적을 따라가는 방식으로, 많은 인력과 시간이 소요되며, 역추적의 성공 가능성 역시 매우 희박하였다.
오직 시스템 상에 존재하는 로그(접속흔적) 기록에만 의존하여 진행되기 때문에, 해킹 경로로 악용된 시스템들 중 이러한 기록을 남기지 않는 것이 하나라도 있을 경우 추적이 끊기기 때문이다.

● 현재의 인터넷 환경에 적용이 가능한 능동적인 침입자 역추적 기술

TCP 연결을 유지하면서 시도되는 침입의 근원지를 추적하기 위한 ‘네트워크 침입자 역추적 시스템’은 해킹을 시도하는 해커의 실제 위치를 찾기 위해 많은 인력과 시간이 소요되는 기존 기법의 단점을 극복하여 해커가 여러 시스템들을 경유하여 특정 시스템을 공격하더라도 신속하고 정확하게 실제 해커의 위치를 추적할 수 있는 새로운 장을 열었다.
특히 기존에 설치되어 있던 각종 정보 보호 시스템(침입탐지시스템, 침입차단시스템)과의 연동을 통해 정보 수집과 역추적이 가능하도록 구성되어 있어, 현재의 인터넷 환경에 쉽게 적용이 가능하다.

● 개발 결과의 의미 및 시장 전망

전반적인 인터넷 보급의 확산과 네트워크를 통한 기업 활동 증가 등의 요인으로, 각종 침해 사고의 발생은 지속적으로 증가하고 수법 역시 교묘해지고 있다.
‘네트워크 침입자 역추적 기술’은 해커의 해킹 시도에 대한 신속한 추적이 가능하도록 하여, 해킹 시도회수 자체를 감소시킴은 물론 침해 사고를 통한 경제적인 손실 역시 크게 감소시킬 것으로 예상된다.
연구책임자인 서동일 ETRI 사이버테러기술분석팀장은, “침입차단시스템과 통합 관리 보안시스템(ESM, Enterprise Security Management) 등에 본 기술이 적용되면 동종의 타 보안 시스템에 비해 뛰어난 기술적 우위를 갖게 되어 국내․외 시장을 활발히 공략할 수 있게 될 것”이라고 말했다.