전기전자/정보통신

NTT기술저널_2017.02. 특집 요약 (p6~9)

확산되는 위협과 사업기회에 대응하는
Security R&D에 대한 대처

[보안] [사이버 공격] [연구개발방침]
Kazuhiko Okubo / NTT Secure Platform 연구소 소장

보안에 취약한 기기를 포함하는 다수의 디바이스가 인터넷에 접속되는 IoT 시대에서는, 지금까지 안전하게 여겨져 왔던 인프라 설비 등의 새로운 영역에 대한 위협이 급속하게 확산되고 있다. 한편, 다양한 정보를 활용한 새로운 사업기회도 생겨나고 있다. 본고에서는 이와 같은 환경 변화를 노린 새로운 위협에 대한 대응과 비즈니스의 경쟁력 강화라는 양면에서, NTT Security R&D의 대처 방침을 소개한다.

-- Security를 둘러싼 환경 변화 --
2020년까지 530억 개의 다종다양한 디바이스가 인터넷에 접속할 것으로 예측되는 등, IoT시대가 눈 앞까지 다가와 있으며 일부는 이미 실현되었다. 예를 들면, IoT시스템이나 클라우드 상에서 교환∙축적하는 다종다양한 정보를 활용함으로써, 공장의 생산성 향상, 자동차의 자율주행, 개인화된 Recommendation Service, 전력수요 효율화를 목표로 하는 스마트시티 등 새로운 비즈니스가 전개되기 시작하였다.

IoT시스템이나 클라우드 상에는 방대한 양의 다양한 정보가 축적되어 있으며, 그들을 유효하게 활용할 수 있다면 새로운 사업기회가 창출될 것으로 기대되고 있다. 이를 위해서는 이들 정보 속의 민감한 데이터(개인정보나 기업의 기밀 정보 등)도 포함하여 안전하게 활용할 수 있도록 하기 위한 보안 기술의 실현이 비즈니스 확대의 중요한 열쇠가 되고 있다.

한편, 보안 상의 문제가 되는 것은 IoT디바이스 처리능력이나 제조비용 등의 이유로 PC 등에서 사용되고 있는 기존의 보안 대책을 채용하지 않은 채 보안 상 취약한 IoT디바이스가 다수 인터넷에 접속되는 것이다. 이와 같은 IoT디바이스의 경우는 쉽게 탈취당하여 Bot화할 우려가 있다. 또한 DDoS(Distributed Denial of Service) 공격 등 사이버 공격이 대규모화∙고묘화할 요인이 되는 것이 우려되고 있다. 예를 들면, 어느 장소에서 발생한 광역정전 사건이, 실은 Bot화한 IoT디바이스로부터의 사이버 공격이었다고 상정할 수도 있다. 실제로 감시 카메라나 네트워크 TV의 탈취에 관한 실례가 보고되고 있다. 2016년 10월, 미국을 중심으로 다수의 Web 사이트가 접속 불가능한 사태가 발생하였지만, 이것도 IoT기기를 탈취하는 멀웨어(Malware)「Mirai」에 의한 DDoS공격이 아닐까라고 보고 있다.

이와 같은 사이버 공격을 방어하기 위해서는, IoT디바이스가 Bot화 등의 이상 동작을 했을 경우에는 정상적인 IoT디바이스의 접속은 유지하면서 이상한 디바이스 만을 네트워크로부터 단절하는 등의 대책이 중요해 진다.

-- NTT Secure Platform 연구소의 연구개발 --
NTT Secure Platform 연구소에서는 NTT그룹이 제공하는 클라우드 서비스나 커뮤니케이션 서비스의 안심∙안전에 공헌하기 위한 연구 개발로서,「세계 최첨단의 Security 기술의 창출」및「Security 기술을 활용한 총합적인 Security 강화」의 방침 하에서, 작금의 Security를 둘러싼 환경 변화에 대응하여 크게 3개의 Security R&D의 방향성을 정하고 있다. 3개의 방향성은 ①격화∙교묘화하는 사이버 공격에 대한 대항, ②IoT의 진전 등에 따른 새로운 위협에 대한 대응, ③데이터 교환∙축적∙활용 시의 Security 향상이다. 이러한 3개의 방향성을 바탕으로, 세계 최첨단의 암호기술이나 사이버공격 대책 기술을 핵심역량으로서, 이론부터 product know how의 제공, 운용지원까지 폭넓은 연구개발을 시행하고 있다.

3개의 Security R&D의 방향성 중,「격화∙교묘화하는 사이버 공격에 대한 대항」과「IoT의 진전 등에 따른 새로운 위협에 대한 대응」은, 사이버 공격의 위협에 대항하기 위한 이른바「지키는 기술」로, NTT그룹의 네트워크 기반을 포함하는 중요 인프라 등의 방어력 향상에 대한 공헌을 목표하고 있다. 한편,「데이터 교환∙축적∙활용 시의 Security 향상」은, IoT를 활용한 클라우드∙네트워크 서비스, 개인정보 활용 등의 법인 용 비즈니스에 있어서 사업회사 상품의 부가가치를 높이기 위한 이른바「공격의 기술」을 목표로 연구개발을 추진하고 있다.

■격화∙교묘화하는 사이버 공격에 대한 대항
NTT Secure Platform 연구소에서는 점차 격화∙교묘화되는 국내외의 사이버 공격에 대항하기 위해, 세계 최첨단의 사이버 공격 감지, 수집, 해석기술을 핵으로, 사업회사와의 제휴를 긴밀히 하면서 경쟁력이 있는 독자기술과 Security Intelligence의 창출을 위한 연구 개발을 시도하고 있다.

멀웨어 감염을 일으키는 악성 사이트의 URL이나 공격에 사용되는 IP주소를 수집하여 블랙리스트를 만드는 기술에 대한 연구 개발의 경우는, 액세스하는 측의 Web 브라우저 환경에 따라 거동을 변화시키는 악성 사이트에 대해 다양한 Web 브라우저 환경을 에뮬레이트(Emulate)하는 정보수집 기술이나 Web 어플리케이션의 취약성에 대한 공격에 대응한 정보수집 기술에 대처하고 있다. 또한, 그들 성과를 종합한 Honey Pot을 운영하고 있다. 그리고 Honey Pot으로 포획한 멀웨어의 거동을 인터넷에 접속하여 분석하는 멀웨어 동적 해석 기술 외에, User Traffic으로부터의 악성 HTTP 통신을 감지하는 기술, 도메인이나 IP주소의 악성도를 평가하는 기술 등, 선진적인 멀웨어 대책 기술에 근거하는 Security Intelligence의 Coverage확대와 정밀도 향상을 위한 대처를 시행하고 있다.

또한, Security 로그 분석 기술의 연구 개발에서는, 매년 교묘화되어 사전 방어가 곤란해지고 있는 사이버 공격에 대항하기 위해, 통신 로그의 상관 분석이나 고정밀도의 분석 룰 자동추출에 의한 미지 멀웨어 감지 기술, Zero day 공격을 고정밀도로 감지 가능한 Parameter Profiling 기술 등에 대처하고 있다.

이들 기술은 NTT그룹 전체의 Security Operation 강화를 목적으로 한 SIEM(Security Information and Event Management) 기반의 구축, 더불어 NTT그룹에 있어서 법인용 보안 서비스 MSS(Managed Security Service)의 전개를 지원하고 있다.

이들 연구 개발과 함께, NTT그룹의 대표 CSIRT(Computer Security Incident Response Team)인 NTT-CERT를 운영하고 있다. 지주 및 사업회사 내에서 발생한 Incident에 대한 각종 Incident Handling이나 Incident의 원인 구명과 영향 분석을 목적으로 한 Forensic 조사, 사이버 공격에 대한 그룹 대응력 강화를 위한 그룹 간 연계조정 등도 실시하고 있다.

■IoT 진전 등에 따른 새로운 위협에 대한 대응
다종∙다수의 디바이스가 네트워크에 접속하는 환경에 있어서 상정되는, 디바이스의 취약성 침해에 의한 Bot화 등의 Incident에 대비하여, 지켜야 할 자산의 라이프 사이클 전반에서의 리스크에 대한 예견 및 관리를 철저히 하기 위해, 안전한 시스템을 위한 설계∙구축∙운용에 관여하는 Security 기술 확립을 위한 연구 개발을 시행하고 있다.

구체적으로는 시스템이나 네트워크 상의 기기를 Security의 관점에서 통합관리 및 제어를 함으로써 사이버 공격 방어력을 향상시키기 위해, ①시스템 도입 후의 Incident의 제어를 위한, 시스템의 기획∙설계 단계에서의 리스크 관리나 Security by Design의 추진, ②암호 기술이나 Security Chip을 활용하여, 접속 기기의 라이프 사이클 전체에 있어서 진정성∙완전성 확인 기술, ③신구 설비가 혼재하는 환경에 있어서도 Traffic이나 기기의 상태∙거동을 감시하여, 피해의 미연 방지∙극소화에 투자하는 네트워크 전체의 건전성 확인 기술, ④각종 IoT디바이스로부터의 센서 정보를 활용한 부정 행동 감지 기술, ⑤네트워크에 대한 다종 공격을 자동 감지하여, Security Appliances 등을 적절하게 제어함으로써 보안 수준의 유지 및 조기 회복을 실현하는 Security Orchestration기술, 에 도전하고 있다.

또한, 다양한 네트워크에 접속되는 IoT시대의 디바이스는 PC나 스마트폰과 마찬가지로 다양한 보안 위협에 노출되면서 그 대책을 강구할 필요가 있다. 중에서도, IoT시대의 상징적인 기술로서 자동차의 자율주행기술이 주목을 받고 있지만, 그 실현에는 자동차의 고도제어 시스템에서의 사이버 보안 대책기술이 반드시 필요하다. 실제로 네트워크 경유로 부정하게 조작되는 자동차에 대한 사이버 공격이 문제가 되고 있으며, NTT Secure Platform 연구소에서도 자동차 네트워크에 접속될 때의 위협과 대책 검토를 추진하고 있다.

이들 시도에 대한 상세한 내용에 대해서는, 본지의 특집기사『안전한 중요 인프라를 실현하는 Architecture』『자동차의 사이버 공격 대책기술』에서 소개한다.

■데이터 교환∙축적∙활용 시의 Secure 향상
안심∙안전한 정보기술 기반을 실현하기 위해, 세계 최첨단의 암호기술을 핵으로 하여 그 기초가 되는 암호 이론 연구를 통해, 데이터를 안전하게 확보하기 위한 암호 시스템화 기술이나 암호의 안전한 이용∙운용기술에 도전하고 있다.

2015년 9월에 개정된 개인정보보호법의 성립 후, 개인정보나 기업의 기밀 데이터의 활용에 대한 관심이 급속하게 높아지고 있다. 그러나 그 한편으로 안건에 대응한 법적 요건의 정리나, 적법하고 유용한 데이터의 가공처리 방법의 도출이 과제가 되었으며, 기대만큼은 기밀 데이터의 활용이 진행되지 않았다. NTT Secure Platform 연구소에서는 운용적으로는 Security Privacy의 법적 리스크 평가제도나 데이터∙용도에 다른 기밀 데이터 활용에 대한 컨설팅, 기술적으로는 익명화 기술 및 비밀계산 등의 안전한 데이터 활용 기술을 제공하고 있으며, 사업회사의 보안 상품의 부가가치 향상에 공헌하고 있다.

또한, 기업에서 발생하는 거듭되는 정보누출이나 국가 권력의 개입으로 인해 서비스 사업자나 인증업체에 대한 신뢰가 흔들리고 있다. 그리고 서버에 대한 보안이나 관리자의 도덕성에 대한 의존도가 낮은 데이터보호∙통신보호 방식의 필요성이 현재화되고 있다. 이와 같은 과제에 대해, 서버로부터의 정보 누출이 있었던 경우라도 통신의 비밀을 지킬 수 있는 안전한 Business Chat의 개발, 안전성을 유지하면서도 서버에서의 패스워드 관리가 불필요한 인증 방식의 개발 등을 시도하고 있다.

이들 시도 및 도전에 대한 상세한 내용에 대해서는 본지의 특별기사『서버로부터의 누설∙도청을 방지하는 암호 Business Chat』『개인정보보호법 개정 포인트와 개인정보 활용을 위한 익명가공』에서 소개한다.

-- 향후 전망 --
NTT Secure Platform 연구소에서는 계속하여 세계 최첨단의 암호기술이나 사이버 공격대책 기술을 핵심역량으로서, 이론부터 product know how의 제공, 운용 지원까지를 커버하는 연구개발을 추진하여, NTT그룹이 제공하는 클라우드 서비스나 커뮤니케이션 서비스의 안심∙안전에 공헌해 나갈 것이다.

  -- 끝 --