전 세계 암호화 트래픽은 2016년 38%, 2017년 50%였으며, 올해 12% 증가할 것으로 보인다. 암호화 트래픽을 이용한 공격은 2016년 19%, 2017년 70%로 집계됐으며, 올해는 무려 268% 증가할 것으로 예상된다.
이는 시스코의 ‘2018 연례 사이버 보안 보고서’에 따른 것으로, 암호화 트래픽을 악용하는 공격 해결이 시급한 과제로 떠올랐다.
이에 따라 웹 보안 기업들은 암호화 트래픽을 복호화하는 전용장비를 출시하면서 이 문제를 해결하고 있지만, 시스코는 복호화하지 않고도 분석할 수 있는 기술을 소개하면서 암호화 트래픽의 새로운 관점을 제안했다.
8일 열린 ‘차세대 보안 비전’ B트랙의 마지막을 장식한 이진현 시스코코리아 차장은 ‘머신러닝 기반 암호화 트래픽 위협 탐지 기술’ 세션을 통해 시스코의 ‘ETA(Encrypted Traffic Analysis)’ 솔루션을 중심으로 암호화 트래픽의 분석 방법을 소개했다.
머신러닝 이용해 멀웨어 학습…탐지 정확도 높여
시스코는 암호화 트래픽에서 암호화되지 않은 메타데이터를 활용하고, 패킷 크기와 타이밍을 통해 트래픽을 식별하며, 인텔리전스를 활용해 의심스러운 통신을 확인하는 방법으로 암호화 트래픽의 위해 여부를 알아낸다. 또한 머신러닝 기술을 이용해 멀웨어를 학습하고 분석해 탐지 정확도를 높인다. 위협 인텔리전스 맵을 활용해 다양한 보안업계의 조사·분석 결과와 평판분석 정보를 활용해 암호화 트래픽의 위협을 찾아낸다.
이진현 차장은 “이 기술은 뱅킹 악성코드 베스타페라(Bestafera)를 탐지하는 탁월한 효과를 보인바 있다. 암호화 트래픽에 숨은 베스타페라의 서명, C2 메시지 등을 찾아 복호화 하지 않고도 탐지하는 성과를 보였다”고 소개했다.
ETA는 시스코의 쓰렛그리드 멀웨어 분석 기술을 기반으로, 머신러닝 기술을 접목해 학습을 진행하면서 지능적으로 악성코드의 특징을 분류하고 룰을 생성하도록 했다. 3년 이상 학습 기간과 안정화를 거치면서 탐지 정확도를 높이고 실시간에 가까운 분석이 가능하게 됐다.
이 차장은 “ETA 분석 정보는 네트워크 데이터와 함께 ‘인지분석(Cognitive Analytics)’ 솔루션에 전송돼 공격 전반을 파악할 수 있게 한다. 분석 정보를 가시화하는 ‘스텔스워치(Stealthwatch)’와 함께 사용되면 더 효과적인 위협 대응이 가능하다”고 덧붙였다.
