인터넷
해킹 위험도 분석 악성코드 지수 나왔다
뉴스종합| 2012-01-05 06:43
선관위 디도스 공격, SK커뮤니케이션ㆍ넥슨 회원정보 유출, 농협 전산망 오류 등 지난해 전국을 뒤흔든 해킹 사건을 보면 공격 과정, 방법, 대상, 행위 등이 다 달랐다. 이에 어떤 악성코드가 더 위험한지, 각 공격에 대한 대응은 어떻게 해야 하는지 명확히 규정하기 어렵다는 지적이 따랐다.

이를 해결하기 위해 해킹이 발생하면 즉각 악성코드 분석에 들어가 그 유형과 위험도를 측정하는 시스템이 개발됐다. 한국인터넷진흥원(이하 KISA)는 쏟아지는 악성코드를 비교분석하기 위해 이를 정량화 한 ‘악성코드 위험지수’를 만들었다고 5일 밝혔다.

KISA는 다양한 형태로 나타나는 악성코드의 위험도를 측정하는 것은 물론, 이를 변종 형태로 파생될 악성코드를 예측하는 데도 활용할 방침이다.

악성코드 위험지수는 ▷악성코드가 시스템에 설치되는 감염경로(1.5) ▷해당 악성코드를 실행하는 실행주체(1.5) ▷악성행위를 수행하는 공격대상(3) ▷사용자에게 피해를 입히는 공격행위(4) 등 크게 네 가지 항목의 경중을 따져 측정된다. 공격대상과 행위에 따라 유출ㆍ손상되는 정보의 가치가 달라져 이 두 항목이 차지하는 비중이 상대적으로 높다.

여기에 전파채널 개수와 악성코드의 자가보호능력, 잠재위험 정도에 가중치를 붙여 KISA의 MTAS(악성코드 위험분석 도구)를 통해 위험지수를 도출한다. 실제 지난해 청와대, 외통부, 국정원 등을 해킹한 3ㆍ4 디도스 공격은 이 같은 방식으로 위험지수가 254.7을 기록했다.

지수를 놓고 위험도 경중을 가리는 기준은 추후 설정할 계획이다. KISA 관계자는 “올해부터 샘플에 적용한 뒤 각 그룹별로 분석을 거쳐 위험도별로 등급을 나눌 방침”이라고 설명했다. 


변종 형태의 악성코드를 예측하는 것은 현존하는 악성코드의 성향 및 목적을 7가지로 분류하는 것부터 시작한다. 7가지 그룹은 정보탈취형, 과금유발형, 시스템파괴형, 모듈형, 원격제어형, 유해가능형, 혼란야기형 등으로 정리됐다. 이에 악성코드를 위험지수 분석 툴에 대입해 7가지 그룹과의 일치율을 계산한 뒤 일치율이 높은 3가지 그룹 중심으로 예측에 들어간다. 가령 해당 악성코드가 정보탈취형 55%, 시스템파괴형 25%, 유해가능형 20%로 나왔다면 세 방향 위주로 변종 악성코드가 나타날 가능성이 높은 셈이다. KISA 관계자는 “악성코드가 특정 한 그룹과의 일치율이 70%를 넘어가면 이 그룹을 벗어나는 변종 악성코드가 나타날 가능성은 적다”고 설명했다.

정태일 기자/killpass@heraldcorp.com


랭킹뉴스