솔루션

네이버 지키는 ‘봉구’, 클라우드 플랫폼에도 적용

최민지

[디지털데일리 최민지기자] 2011년 3월, 미국의 보안전문업체 RSA는 지능형지속위협(APT) 공격을 받아 인증 기술 관련 정보를 도난당했다. 당시 유출된 정보 중 하나인 시큐어ID 토큰은 미국 최대 군수산업체에서 중요 정보 관리를 위해 사용하고 있었다. 군수산업체 내부에 침투하기 위한 목적으로 RSA를 공격한 것이라는 주장이 제기된 바 있다.

이처럼 사이버공격자들은 흔히 우회공격을 통해 진짜 타깃에게 접근한다. 실제, 일반 사용자를 통해 국내 최대 포털인 네이버를 공격하는 일은 비일비재하다. 네이버는 이러한 위험성에 대비하기 위해 ‘봉구(Bong9)’ 프로젝트를 실시, 2011년부터 도입하기 시작했다.

봉구는 수집된 데이터를 분석장비로 배포하고, 여기서 추출된 정보를 차단장비로 반영시키는 협업체계를 이루는 시스템이다. 현재 봉구는 네이버 자사 내부시스템을 비롯해 클라우드 플랫폼, 고객 서비스 등에 적용돼 있다.

봉구에서 수집하는 인터넷주소(URL)·파일은 하루에 500만~1000만개에 달한다. 이 중 의심되는 URL 등은 일주일에 약 230만개며, 이 가운데 400여개는 악성 파일 및 URL로 판단된다. 실제로 이 중 70~80여개는 네이버를 타깃하거나 제로데이 공격에 사용되는 파일이다.

봉구는 수집·분석·차단 모듈을 각각 3개씩, 총 9개로 구성됐다. 이 외에도 수색시스템을 갖추고 있다. 수색시스템은 사용자들이 다운로드해 PC에 설치하는 공개 소프트웨어, 자동 업데이트와 배포 기능을 갖춘 동영상플레이어·압축 프로그램 등의 소프트웨어를 실행해본 후 악의적 행동을 하는지 판단한다.

네이버가 봉구에서 자체적으로 개발한 부분은 PC에 다운로드된 파일을 수집하는 모듈과 아미고(Amigo)·SUM 등 분석모듈이다.

분석영역은 파이도프(Pydope), 아미고, SUM으로 꾸려져 있다. 파이도프는 정적분석기로, 악성으로 판단되는 URL 등을 고른다. 머신러닝도 적용돼 있다. 아미고는 임직원이 방문한 사이트를 찾아 사이트에서 이뤄진 행위들을 가상머신을 통해 실행하면서 어떤 악성행위를 하는지 본다.

SUM의 경우, 파일이 들어오면 우선 클린셋DB를 거치게 한다. 여기서 100% 악의적 파일이 아니라고 하면 통과되고, 그렇지 않을 경우 정적분석기로 넘어간다. 파일 이름, 스크립트 정보 등을 수집하는 것. 이후 멀티 스캔을 거치고 가상환경 내에서 실제 어떤 행위를 하는지 동적분석기로 확인한다.

장노륜 네이버 비즈니스플랫폼 시큐리티플랫폼 부장 지난 20일 열린 클라우드 보안 컨퍼런스 ‘CLOUDSEC 2017’를 통해 “파이도프와 아미고는 뉴스, 카페, 블로그 등 네이버 서비스에 올라오는 링크, 사이트들을 전수검수한다”며 “사내에 적용될 뿐 아니라 실제 고객서비스에도 이용하고 있다”고 말했다.

이어 “악성으로 판단한 URL은 3개월 간 차단된다”며 “악성활동을 하는 URL의 평균 기간을 3개월로 판단했고, 이 기간이 지나도 다시 봉구 시스템을 통해 악성행위를 잡을 수 있기 때문에 큰 문제는 없다”고 덧붙였다.

한편, 파이도프·SUM 등은 네이버 클라우드 플랫폼에서도 사용 가능하다. 아미고를 상품화한 ‘사이트 세이퍼’는 네이버 클라우드 플랫폼을 통해 선보였으며, 구축한 사이트 내 악성코드 유포 여부를 확인할 수 있다. SUM에 해당하는 ‘파일 세이퍼’는 고객 서비스에서 제공하는 파일과 아웃링크의 악성 여부를 검사한다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널