미국 사이버보안 및 인프라 보안국(CISA)은 7월 말, 악성코드 및 디지털 포렌식 분석을 자동화하고 대규모로 처리할 수 있는 오픈소스 플랫폼 ‘토리움(Thorium)’을 공개했다. 이 플랫폼은 미 에너지부 산하 샌디아 국립연구소(Sandia National Laboratories)와의 협업을 통해 개발되었으며, 정부뿐 아니라 민간과 공공 부문 보안 분석가 모두가 활용할 수 있도록 무료로 제공된다.
토리움은 수작업으로 진행되던 분석 과정을 자동화하고, 확장 가능한 구조를 통해 초당 1,700건 이상의 작업을 예약하며 시간당 최대 1천만 개의 파일을 그룹 단위로 처리할 수 있는 성능을 갖췄다. CISA는 이를 통해 사이버 분석가들이 복잡한 위협 환경에 보다 빠르게 대응할 수 있을 것으로 기대하고 있다.
이 플랫폼은 Rust 언어를 중심으로 개발되었으며, JavaScript, SCSS, 셸 스크립트 등의 구성요소가 포함돼 있다. 쿠버네티스 기반 컨테이너 오케스트레이션과 고성능 데이터베이스 ScyllaDB를 활용해 수백만 건의 분석 데이터를 실시간으로 처리할 수 있도록 설계됐다. 또한 Docker 이미지 기반으로 분석 도구를 손쉽게 배포하고, 가상머신이나 베어메탈 환경에서도 유연하게 확장할 수 있도록 했다.
토리움은 REST API를 통해 프로그램 제어가 가능하며, 분석 결과는 태그와 전체 텍스트 검색을 통해 신속하게 확인할 수 있다. 사용자 및 그룹 단위의 접근 권한 관리도 정밀하게 구성돼 있어, 민감한 분석 결과에 대한 보안을 유지할 수 있다. 분석 도구와 결과물은 손쉽게 가져오거나 내보낼 수 있어 기관 간 협업도 용이하다.
실제 적용 사례로는 악성코드 분석, 정적·동적 분석, 디스크 이미지나 메모리 덤프 등 디지털 포렌식 작업, 이메일 분석, 도구 성능 비교 등 광범위한 분석 업무에 활용될 수 있다. 다양한 도구를 병렬로 운영하며, 대용량 샘플을 통한 벤치마크 테스트도 가능하다.
CISA 부국장은 “기존의 분석 도구들을 효과적으로 조직하고 자동화하는 데 어려움이 있었는데, 토리움은 이를 해결할 수 있는 플랫폼”이라고 설명했다. 그는 토리움이 분석가 간 도구와 데이터를 쉽게 공유할 수 있도록 해 협업과 분석 역량을 강화하는 데 큰 도움이 될 것이라고 강조했다.
샌디아 국립연구소 엔지니어는 “토리움은 단순히 분석 전문가에게만 국한된 플랫폼이 아니라, 다양한 기술 수준의 보안 분석가들이 사용할 수 있도록 설계되었다”며, 분석 도구를 반복적으로 재사용하고 효율적으로 관리할 수 있다는 점을 장점으로 들었다.
토리움은 깃허브를 통해 공개되었으며, 설치를 위해서는 쿠버네티스 클러스터, 객체 또는 블록 스토리지, 도커 환경 등이 필요하다. 기본적인 컨테이너 및 클러스터 관리 역량이 요구되며, 설정과 운영에는 일정 수준의 기술 숙련도가 필요하다.
전문가들은 토리움이 기존 보안 운영센터(SOC)나 포렌식 팀의 반복 작업을 줄이고, 자동화된 워크플로우를 통해 대응 속도와 분석 정확도를 높일 수 있다고 평가했다. 다만, 설치와 설정에 기술적 장벽이 있을 수 있으며, 도구 통합과 권한 관리에 주의를 기울이지 않으면 보안 사고로 이어질 수 있다는 점도 지적됐다.
결과적으로 토리움은 오픈소스 커뮤니티와 협업을 통해 지속적으로 발전할 수 있는 유연한 구조를 갖춘 플랫폼이다. CISA는 향후 전 세계 사이버 보안 전문가들이 토리움을 기반으로 분석 역량을 공유하고, 도구 생태계를 함께 발전시켜 나가길 기대하고 있다. Thorium은 위협 분석의 효율성을 높이고, 사이버 방어 전략의 전환점을 마련할 수 있는 강력한 오픈소스 도구로 주목받고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[헬로티 TOP 10] 7월 글로벌 머신비전 시장이 주목한 신제품 TOP 10](https://www.hellot.net/data/photos/20250831/art_17541403066701_859517.jpg?iqs=0.8933831641206786)
