국내 첫 인공지능(AI) 안티바이러스(백신)이 나왔다.

세인트시큐리티(대표 김기홍)는 29일 기자간담회를 열고 머신러닝 엔진을 장착한 AI 백신 ‘맥스(MAX)’를 국내외 시장에 동시 출시한다고 밝혔다.

‘맥스’는 세인트시큐리티가 2014년 4월부터 시작한 사이버위협 인텔리전스 플랫품인 ‘멀웨어스닷컴(malwares.com)’에 축적돼 있는 위협 정보와 결합해 머신러닝 엔진을 바탕으로 악성코드를 탐지, 제거 또는 격리하는 AI 백신이다. 기존 시그니처 기반 백신과는 달리 주기적인 패턴 업데이트가 필요 없다.

지난해 초 ‘맥스’ 엔진을 개발해 베타버전을 공개한 지 1년여 만에 정식 제품을 내놨다. 베타 서비스 기간 동안 지속적인 개선을 거쳐 안정화시킨 AI 백신 개인용 제품이다. 개인들에게는 무료로 제공한다.

세인트시큐리티는 지속적인 안정화와 중앙관리시스템 개발, 공통평가기준(CC)인증까지 마치게 될 올 연말쯤 기업용 백신 제품을 선보일 계획이다. 이 시점부터 국내외 백신 제품들과 본격 경쟁하게 될 것으로 보인다.

그동안 백신은 시그니처, 즉 패턴 DB를 얼마나 많이 보유하고 있느냐가 성능을 좌우하는 지표였다. 신·변종 악성코드가 등장하면 패턴 업데이트를 실시해 탐지·대응하는 방식을 유지했다.

‘맥스’는 별도의 패턴 업데이트가 필요 없다. 맥스의 머신러닝 엔진은 세인트시큐리티의 클라우드 기반 악성코드 자동 분석 플랫폼 ‘멀웨스닷컴’의 위협 정보를 바탕으로 학습되는 한편, 실시간 대응한다.

멀웨어스닷컴이 ‘맥스’의 두뇌 역할을 한다. 멀웨어스닷컴은 하루 평균 500만개 이상의 파일을 자동 수집·분석한다. 10억개의 악성코드 샘플과 20억개에 달하는 프로파일링 정보를 보유하고 있다. 3월 현재 멀웨어스닷컴이 보유한 위협 데이터 수는 총 28억개다.

멀웨어스닷컴으로 한국을 포함한 아시아 지역에서 가장 큰 인텔리전스를 확보한 세인트시큐리티는 수집·분석한 데이터를 ‘맥스’에 학습시켜 악성코드 탐지 성능을 최대치로 끌어 올렸다는 게 회사측 설명이다.

김기홍 세인트시큐리티 대표는 “1990년대부터 적용해온 악성코드 탐지 방식을 사용하는 기존 백신과는 완전히 다른 기술로 도전장을 내민다”라며 “글로벌 수준의 탐지율과 성능으로 전세계 보안 시장을 선도하겠다”고 포부를 밝혔다.

세인트시큐리티는 머신러닝 기반 백신이 가진 오탐지 문제를 해결하는데 가장 공을 들였다. 김 대표는 “오탐지 이슈 가운데 악성코드를 탐지하지 못하는 미탐보다는 정상파일을 악성으로 탐지하는 과탐이 많다는 것이 더 문제”라며 “머신러닝 백신 엔진의 최대 단점인 과탐 문제를 개선시키는데 많은 공을 들였다”고 강조했다.

AI 백신이 탐지한 악성파일을 확률이나 점수로 표시해 조치 여부를 사용자들에게 판단하게 만들어 부담을 주거나 불편하게 만들지 않도록 하는데도 신경 썼다. 이와 관련해 김 대표는 “악성인지 정상인지 애매한 악성코드를 사용자들에게 판단하도록 넘기는 것이 아니라 보안업체가 책임지고 판단해야 한다”고 지적했다. 그는 “‘맥스’는 사용자에게 물어보는 과정을 없애 악성 여부를 판단해준다”라면서 “검역소 기능을 제공해 원복도 가능할 수 있게 했고, 오탐 신고 기능도 제공한다”고 설명했다.

세인트시큐리티는 이날 간담회 현장에서 바이러스토탈에 올라와있는 최신 악성코드 샘플 100개를 다운로드해 탐지결과를 보여주는 데모를 시연했다. 패턴 업데이트가 없는 AI 백신 ‘맥스’ 는 100개 샘플을 모두 악성으로 탐지했다.

‘맥스’의 주요 기능은 ▲머신러닝 엔진 기반 악성코드 탐지 ▲파일·프로세스 실시간 탐지·보호 멀웨어스닷컴이 보유한 ▲침해지표(IOC) 등 데이터 참조·역공유 ▲악성코드 프로파일링 정보 제공 등이 있다. 엔진도 초경량화했다.

김 대표는 “‘맥스’는 패턴이 없기 때문에 엔진을 초경량화 하는데 유리하다”라면서 “설치 후 업데이트가 거의 필요치 않기 때문에 최근 사이버공격에서 백신 업데이트·중앙관리서버가 악용되는 사고 가능성이 크게 줄어드는 이점도 제공한다”고 부각하기도 했다.

맥스는 영국 SE랩스(SELabs) 테스트에서 탐지율 100%로 만점을 받았다. 맥스는 현재 세계적인 공인테스트 기관인 AV컴패러티브(AV-Comparative) 엔터프라이즈 부문 인증 테스트 진행 중이다.

세인트시큐리티는 이날 멀웨어스닷컴에서 수집한 방대한 데이터를 기반으로 하는 ‘악성 URL 피드 서비스’도 선보였다. 멀웨어스닷컴에서 실시간으로 수집·분석한 정보에서 URL 관련 정보를 취합해 매시간 사용자들에게 제공하는 서비스이다.

김승언 세인트시큐리티 악성코드분석팀장은 “URL이 하루 1000만개씩 계속 유입되고 있고 이 가운데 80%는 신종으로 집계되고 있다”라면서 “단시간에 악성코드를 유포한 뒤 신속하게 사라지는 경우가 많기 때문에 멀웨어스닷컴에 수집된 URL을 분석해 현재 활동하고 있는 악성 유포·배포·경유지 관련 세부 정보를 쉽게 전달한다”고 말했다.

‘악성 URL 피드 서비스’는 현재 베타서비스 중이다. 오는 4월 20일 이후 전세계 출시될 예정이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network