소포스 “딥러닝 기술로 ‘예측적 보안’ 구현”…차세대 엔드포인트 보안 시장 공략

글로벌 보안업체인 소포스(한국지사장 김봉근)가 딥러닝 기술과 엔드포인트 탐지 대응(EDR) 기술을 탑재한 차세대 엔드포인트 보안 솔루션인 ‘인터셉트X(interceptX)’를 공개했다.

‘인터셉트X’는 지난 30여년간 안티바이러스(백신) 사업과 네트워크 보안 사업을 벌이며 축적해온 사이버위협 인텔리전스와 작년 초 인수한 인빈시아 기술을 적용한 인공지능(AI) 기반 보안 솔루션이다. 소포스는 이 제품을 주축으로 국내 차세대 엔드포인트 보안 시장 공략에 본격 나선다.

소포스는 사람의 뇌를 모방한 신경망 기술을 적용해 의사결정을 내릴 수 있는 딥러닝 기술을 활용하는 ‘인터셉트X’로 기존 시그니처 기반 백신 제품은 물론 머신러닝 기술을 탑재한 수준의 차세대 엔드포인트 보안 제품들과도 차별성을 부각하고 나섰다.

랜섬웨어와 제로데이 취약점을 이용한 익스플로잇 공격을 포함해 새로운 위협을 더욱 빠르고 정확하게 탐지, 대응하는 것은 물론 선제적인 ‘예측적 보안(Predictive Security)’을 구현할 수 있다는 게 그 골자다.

수밋 밴잘(Sumit Bansal) 아세안 및 한국지역 총괄이사는 31일 국내 기자들에게 ‘인터셉트X’를 소개하면서 “이제는 (사후) 대응 수준에서 벗어나 미리 위협을 예측해 선제적 보안을 수행해 사이버범죄가 일어나기 전에 차단할 수 있어야 한다”라고 강조하며 “‘인터셉트X’는 딥러닝 기술로 예측적 보안 기능을 구현해 멀웨어가 들어오기 전에 예측해 감염되기 전에 차단할 수 있게 한다”고 밝혔다.

“딥러닝 기술, 머신러닝보다 높은 위협 탐지 정확성 제공”

소포스에 따르면, ‘딥러닝’은 머신러닝 기술에서 가장 진화된 형태로 관찰 가능한 모든 위협 환경을 학습할 수 있는 확장형 탐지 모델을 제공한다. 또한 수억 개의 샘플을 처리할 수 있어 전통적인 머신러닝에 비해 훨씬 적은 오탐지율과 빠른 속도로 더욱 정확한 예측이 가능하다.

전통적인 머신러닝 모델은 보안 위협 전문 분석가가 주관적이고 인간적인 요소를 추가해 모델을 교육할 속성을 선택하는 데에 의존한다. 데이터가 더 많이 추가될수록 복잡해지고, 모델 크기가 기가비트 수준에 이르면 다루기 번거롭고 느려진다. 관리자가 어느 것이 멀웨어(악성코드)이고 어느 것이 합법적인 소프트웨어인지 판단할 때 심각한 오탐지율을 보여 IT 생산성을 저하시키는 경우도 있다

반면에 딥러닝 신경망은 경험에 기반한 학습을 통해 관찰된 행동과 멀웨어 간의 상관관계를 생성하도록 고안됐다. 이러한 상관관계는 기존 및 제로데이 멀웨어에 대해 정확도를 높이고 오탐지율을 낮추는 결과를 가져온다.

ESG(Enterprise Strategy Group) 랩 분석 결과, 이 신경망 모델은 쉽게 확장이 가능하고 더 많은 데이터가 입력될수록 모델이 더욱 스마트해진다. 따라서 관리 또는 시스템 성능 저하 없이 적극적인 탐지가 가능하다.

밴잘 총괄이사는 “딥러닝은 인간의 뇌, 신경망을 모방하기 때문에 머신러닝처럼 사람이 수동으로 데이터 피드를 주고 엔진에 계속 좋은 파일과 나쁜 파일을 알려주고 의사결정을 내리도록 할 필요가 없다. 지난 30여년간 축적한 위협 데이터 전체 샘플을 제공해 스스로 학습해 보안 엔진이 스스로 결정을 내리는 방식을 이용한다”라면서 “매일 40만개의 멀웨어 변종이 발생하고 있는 상황에서 데이터 규모는 매우 중요한데, 샘플 데이터 규모의 제약을 받는 머신러닝에 비해 딥러닝은 활용되는 샘플과 데이터가 훨씬 많고 방대한 양을 한 번에 돌릴 수 있다”고 설명했다.

이어 그는 “신경망을 흉내내는 AI 기술인 딥러닝이 더욱 빠르고 정확하며 예측적인 결과를 가져올 수 있다”라고 재차 강조하면서 “물론 소포스랩 분석가들이 엔진의 정확성을 높일 수 있도록 계속 학습시키고 있기도 하다. 머신러닝 엔진은 며칠에 한 번씩 업데이트해야 하지만 딥러닝 엔진은 6주에 한 번만 업데이트하면 된다는 것도 장점”이라고 덧붙였다.

소포스는 딥러닝 엔진이 시그니처 기반 엔진은 물론 머신러닝 엔진에 비해 탐지 정확성이 높다는 것을 검증하기 위해 제3자 기관에 의뢰해 6주간 실제 테스트한 결과도 소개했다.

밴잘 총괄이사는 “시그니처 기반 엔진은 50~55%의 오탐지(False Positive)율을 보였고, 딥러닝은 정확성이 100%에 근접한 결과를 얻었다. 머신러닝은 100개의 멀웨어 가운데 오탐지율(FP)이 1개(1/100)가 나오는데 딥러닝은 1만개 멀웨어 가운데 하나(1/10000)가 나왔다”고 말했다.

공격자들의 신원도용 방지, EDR 포렌식 분석 기술도 제공

‘인터셉트X’는 파일 보호, 디스크와 부트 레코드 보호, 메모리 보호 기능을 제공한다. 안티랜섬웨어와 익스플로잇 차단 외에도 신원도용 방지 기술도 지원한다.

멀웨어 방지 기능이 향상되면서 합법적인 사용자를 가장해 시스템과 네트워크에서 이동하기 위해 공격자들이 시도하는 자격 증명 절도를 노린 동작을 감지·차단한다.

클라우드 기반 관리 플랫폼인 ‘소포스 센트럴(Sophos Central)’에서는 EDR 기능을 지원하는 RCA(Root Cause Analysis) 포렌식 분석 결과도 볼 수 있다.

탐지·차단된 특정 위협이 들어와 감염된 경로를 나타내는 RCA 기능으로 기업 보안관리자는 침해 원인을 파악해 향후 새로운 보안 정책 수립과 직원 보안교육에 활용할 수도 있다.

‘인터셉트X’는 타사 시그니처 기반 기존 엔드포인트 보안 솔루션과 함께 설치해 하나의 플랫폼에서 관리할 수 있다. 소포스의 시그니처 기반 백신인 ‘소포스 센트럴 엔드포인트 프로텍션’과 함께 사용하면 하나의 에이전트로 통합 설치해 하나의 클라우드 기반 콘솔에서 관리할 수 있도록 제공한다.

이번에 출시한 ‘인터셉트X’는 글로벌 시장에는 지난 2016년 9월에 처음 출시해 수만개 기업 조직에서 사용하고 있다. 소포스는 이번에 딥러닝 기술을 통합해 고도화된 버전을 선보였다.

새로운 ‘인터셉트X’의 용량은 20메가바이트(MB) 미만이며, 한국어가 지원된다.

이번에 ‘인터셉트X’를 출시하면서 소포스는 국내에서도 엔드포인트 보안 사업을 본격 시작한다.

소포스 한국지사는 지난해 설립돼 다우데이타, 시큐리티트러스트, 넥스이노를 총판으로 두고 있다.

김봉근 소포스 한국지사장은 “소포스는 통합보안 솔루션(UTM)과 엔드포인트 보안, 암호화 솔루션으로 가트너 매직 쿼드런트 리더에 등재돼 있다”라면서 “소포스는 엔드포인트 보안을 비롯해 다양한 엔드유저 기반 보안 솔루션과 네트워크 보안 솔루션을 공급하고 있으며, 모든 제품군이 묶여 서로 통신하는 ‘싱크로나이즈드 시큐리티’를 구현해 효과적으로 위협을 탐지·차단하도록 구현하고 있다”고 말했다.

소포스는 1985년 영국 옥스퍼드에서 설립돼 백신 사업으로 시작한 통합보안 솔루션 기업이다. 전세계 1억명의 사용자와 29만개 고객사, 3000명의 직원을 두고 있다. 지난해 매출액은 7000억원 규모다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network