[디지털데일리 최민지기자] AI스페라 이진석 엔진개발팀장이 지난 6일 서울 삼성동 그랜드 인터컨티넨탈 파르나스에서 열린 국내 첫 ASM·CTI 전문 컨퍼런스 'CIPC 2025'에서 크리미널 IP에서 제공하고 있는 주요 정보 수집과 관리 방법을 소개했다.

이 팀장은 '크리미널IP(Criminal IP)'가 다양한 소스로부터 보안 위협 정보를 수집하고 체계적으로 관리하는 방식을 설명했다. 크리미널 IP는 AI스페라의 핵심 위협 인텔리전스 플랫폼으로, 전 세계의 보안 위협을 자동으로 탐지하고 분석해 기업의 사이버 방어를 강화하는 데 활용된다.

특히 ▲도메인과 IP 주소 정보 ▲소프트웨어 취약점(CVE) 관련 정보 ▲클라우드 서비스 뒤에 숨겨진 원본 서버 IP인 '리얼IP' 정보의 수집과 관리 과정을 중점적으로 알렸다.

이진석 팀장은에 따르면 크리미널IP가 국제 인터넷주소관리기구(ICANN)의 중앙집중식 영역 파일 접근 서비스(CZDS)를 활용해 전 세계 최상위 도메인(TLD) 영역 파일을 확보하고 있다. 이를 통해 닷컴(.com) 도메인 기준 약 1억 5000만개 이상 도메인 목록을 구축했다.

도메인과 연결된 IP 주소를 파악하기 위해, AI스페라는 두 가지 업데이트 트랙으로 시스템을 운영하고 있다. 우선 영역 파일을 정기적으로 다운로드해 신규·삭제 도메인을 확인, 이후 이미 확보한 도메인에 대해 지속적으로 도메인 이름 시스템(DNS) 조회를 수행하는 방식이다. 방대한 양의 도메인 정보를 효율적으로 처리하기 위해 AI스페라는 고속 DNS 조회 시스템을 자체 개발했으며, 관계형 데이터베이스와 키-값 스토어를 병행 사용해 최적화된 데이터 구조를 구축했다.

이 팀장은 소프트웨어 취약점 정보 관리에 대해 CVE와 CPE 데이터 특성과 수집 과정을 설명했다. CVE는 현재 약 28만개가 등록돼 있으며 지속적으로 업데이트된다. 그러나 특정 제품과 버전에 해당하는 취약점을 찾으려면 CVE 데이터베이스와 CPE 사전을 함께 분석해야 한다. 이는 CVE가 CPE 이름 일치 기준을 통해 작성되기 때문이다.

크리미널IP는 이러한 복잡한 연관 관계를 해결하기 위해 공식 CVE 데이터베이스와 CPE 사전에서 정보를 주기적으로 수집하고, 발생 가능한 모든 경우의 수를 미리 계산해 키-값 스토어에 저장함으로써 고속 조회가 가능한 자체 데이터베이스를 구축했다. 이를 통해 사용자는 호스트의 열린 포트를 통해 식별된 소프트웨어와 버전에 연관된 취약점을 신속하게 확인할 수 있다.

이 팀장은 클라우드플레어나 콘텐츠전송네트워크(CDN)과 같은 서비스를 이용해 원본 서버를 숨기는 웹사이트의 실제 IP 주소를 찾아내는 리얼IP 기능에 대해서도 언급했다. 크리미널IP는 자체 개발한 포트 스캐너를 통해 IP 전체 대역에서 애플리케이션 레이어 응답 내용, TLS 인증서, TLS 핑거프린트 등을 수집한다. 수집 데이터를 도메인 목록과 대조 분석해 클라우드 서비스 뒤에 숨겨진 실제 원본 서버의 IP 주소를 식별하는 방식이다. 해당 기술은 AI스페라의 특허 기술로 같은 컨퍼런스에서 발표한 김휘강 교수의 설명처럼 불법 콘텐츠 유통 사이트의 실제 서버를 추적하는 데도 활용되고 있다.

이진석 팀장은 "데이터 수집과 관리는 위협 인텔리전스의 핵심이다. 크리미널 IP는 도메인, 취약점, 리얼 IP 등 다양한 정보를 자동화된 시스템으로 수집하고 최적화된 구조로 저장함으로써 사용자가 필요한 정보를 신속하게 조회할 수 있도록 설계했다”며 “앞으로도 사이버 보안 분야에서 더욱 정확하고 포괄적인 데이터를 제공하기 위해 기술을 고도화하겠다"고 말했다.