엔드포인트 보안 기술, 빠른 진화…AI 기반 솔루션 ‘주목’

안티바이러스(AV, 백신)에서 출발한 엔드포인트 보안 기술이 빠르게 진화하고 있다.

나날이 양산되고 있는 수많은 신·변종 악성코드와 지능화된 위협을 막기 위해 가장 최근 부각된 차세대 엔드포인트 보안 솔루션은 ‘EDR(엔드포인트 탐지·대응)’이다. 이 EDR 솔루션이 시장에 소개된 지 얼마 안됐지만, 인공지능(AI) 기술을 활용하는 엔드포인트 보안 솔루션까지 등장했다.

이 분야 선두주자는 ‘사일런스(Cylance)’라는 2013년 미국에서 설립된 신생기업이다. AI와 머신러닝 기술만으로 위협을 탐지하고 보호하는 ‘사일런스 프로텍트(Cylance Protect)’라는 제품을 출시해 공급을 시작한 지 2년이 안됐지만 1000여개 고객사를 확보했다.

사일런스는 올해 초 가트너가 발간한 엔드포인트 보호 플랫폼 분야 가트너 매직쿼드런트 ‘비저너리’에 등장했다. 최근에는 1억달러 규모 투자를 유치하기도 했다.

최근 전세계적으로 많은 사용자들에게 피해를 입히고 있는 랜섬웨어가 기승을 부리면서 성장가도를 달리고 있는 사일런스는 글로벌 시장으로 사세를 확장하고 있다. 호주·뉴질랜드 지역을 전략기지로 삼아 아시아태평양 시장에 진출했다. 최근에는 히타치솔루션, 모텍스(MOTEX)와 협력을 체결해 일본 시장을 적극 공략하고 있다.

사본 -Bryan Gale최근 싱가포르에서 만난 사일런스의 브라이언 게일 제품마케팅 부사장은 “우리는 AI, 머신러닝 기술을 활용해 사이버공격을 예측해 차단한다. 악성코드가 엔드포인트에서 실행되기 전에 탐지하며, 통제하고 보호한다”고 소개했다.

그에 따르면 ‘사일런스 프로텍트’는 AI 기술을 이용해 악성코드가 가진 고유의 특징, 즉 DNA를 분석해 악성 여부를 판단하는 방식을 사용한다. 위협이 실행되기 전에 파일에 점수를 부여해 악성 여부에 대한 등급을 매긴다. 그에 따라 구동 여부를 결정한다.

게일 부사장은 “기본적으로 수학적인 알고리즘을 사용해 인간의 DNA와 마찬가지로 매우 빠르게 분석한다. 아마존 기반의 대규모 클라우드 클러스터를 기반으로 기계학습 모델을 훈련하고 최적화한다”고 설명했다.

사이런스1이 제품은 시그니처 기반의 AV 엔진을 사용하지 않는다. 사람이 개입해 분석할 필요도 없고 업데이트도 하지 않는다. 때문에 인터넷에 항상 연결돼 있지 않아도 된다. 휴리스틱 행동분석 기술, 가상화 기반의 샌드박스도 사용하지 않는다.

엔드포인트에 설치된 에이전트는 악성코드가 엔드포인트에서 실행되기 전에 파일 내 기능과 특징을 기반으로 평가해 악성 및 구동 여부를 판단하고 결정을 내린다.

에이전트는 경량화돼 있다. 회사측에 따르면, 에이전트는 평균 1%의 CPU만 사용한다. 메모리 풋프린트는 35메가바이트(MB)다. 디스크 사이즈는 40~60MB 정도다. 에이전트 업데이트에 따라 차이가 난다.

탐지된 악성코드는 클라우드 기반 관리콘솔로 보내 위협 분석 내용을 보안담당자나 분석가들이 살펴볼 수 있도록 지원한다.

사이런스2오·탐지 우려와 관련해 게일 부사장은 “정확성이 높다고 평가받고 있다”며 “업계 표준에 비해 오·탐지율은 확실히 낮다”고 말했다. 그는 “물론 머신러닝도 실수할 수 있다”고 전제하고 “사일런스는 엔드포인트 보안에 AI와 머신러닝만으로 위협을 탐지하고 보호하는 유일한 솔루션이다. 핵심 지적재산권은 머신러닝 기술이다. 우리는 데이터사이언스팀을 보유하고 있다. 과학자가 아닌 보안 전문가, 수학자, 통계학자들로 구성된다”고 덧붙였다.

게일 부사장은 “많은 사람들이 우리에게 한 첫 코멘트는 ‘믿지 못하겠다’는 것이었다”는 경험담을 소개하면서 “고객들에게 우리 주장을 믿지 말고 직접 테스트해 보라고 권하고 있는 이유다. 우리가 이른바 ‘언빌리버블 투어(Unbelivable Tour)’라고 부르는 행사를 하고 있는 이유이기도 하다. 전세계에서 사람들을 초청해 실제 악성코드가 담겨있는 USB 스틱을 주고 테스트할 수 있도록 제공하고 있다”고 말했다.

사일런스는 엔드포인트 보안 기술이 AV에서부터 시작해 호스트 기반 침입방지시스템(HIPS)과 안티익스프로이테이션(Anti-exploitation), 샌드박싱, 아이솔레이션, EDR를 거쳐 AI까지 진화하고 있다고 제시했다.

보안 진화각 기술의 한계점도 짚었다. 게일 부사장은 “안티바이러스는 사람이 정기적으로 시그니처를 만들어내야 한다는 점에서 보안위협과 악성코드가 출현하는 속도를 따라잡지 못했다”며 “이에 따라 안티익스프로이테이션 분야로 넘어가면서 침입을 방지하기 위한 HIPS가 생겨났다. HIPS는 익스플로잇과 취약점·메모리 기반 공격 등을 막는데 효과적이었지만 이들 제품은 악성코드를 탐지·차단하지 못한다는 한계가 있다”고 설명했다.

이어 “하이퍼바이저 기반의 아이솔레이션 솔루션은 시장에서 큰 관심을 받지 못했다”며 “하이퍼바이저와 하드웨어 기반 아이솔레이션 솔루션을 뛰어넘은 EDR은 혁신적이지만 많은 업체들이 ‘보호(Protection)’를 포기했다. 랜섬웨어같은 악성코드는 실행되면 시스템에 엄청난 손상을 초래할 수 있어 공격을 빠르게 탐지해 약화시킬 수 있는 툴을 제공해야 한다”고 지적했다.

게일 부사장은 “사일런스는 보안의 미래가 머신러닝이나 AI를 활용해 자동화하고 자체적으로 결정을 내릴 수 있도록 하는데 달려있다고 믿는다”며 “사람의 수작업이나 시그니처가 없어도, 제3자 인텔리전스로 클라우드를 들여다보지 않아도 된다는 의미다. 네트워크에서 연결이 완전히 끊어져도 마치 네트워크에 연결된 것과 같은 효과를 볼 수 있다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다