[한국의 AI 보안 기술] 지니언스, 머신러닝 EDR ‘지니안 인사이츠 E’

사이버위협 환경이 빠르게 진화, 확산되고 있다. 이에 대응하기 위해 인공지능(AI) 기술을 접목해 더 나은 사이버보안 기술과 서비스를 제공하려는 보안업계의 움직임이 가속화되고 있다. 머신러닝, 딥러닝 기술을 발빠르게 적용해 현재 상용화한 국내 지능형 보안 솔루션과 서비스를 순차적으로 다룬다.

첫 주인공은 지니언스의 엔드포인트 탐지·대응(EDR) 솔루션인 ‘지니안 인사이츠 E’다.

<관련기사> 사이버보안 솔루션·서비스 한계, AI 기술로 넘는다

머신러닝 EDR, 지능형위협 탐지·선제대응하고 컴플라이언스 준수까지

지니언스(대표 이동범)의 ‘지니안 인사이츠 E’는 국내 시장에서 가장 먼저 개발, 출시된 엔드포인트 탐지·대응(EDR) 솔루션이다. 10여 년 간 네트워크접근제어(NAC) 솔루션을 제공하며 내부망 보안 분야에서 쌓은 노하우를 녹여내, 엔드포인트(단말)에서 발생하는 지능화된 보안위협을 빠르고 효과적으로 탐지해 대응하는데 특화된 보안 플랫폼을 개발했다.

2016년 처음 출시한 뒤 올 초 출시한 업그레이드 버전에 자체 개발한 상용 머신러닝 엔진을 탑재했다. 신·변종 악성코드 위협을 보다 빠르고 정교하게 탐지하고 대응하기 위한 조치다.

EDR은 단말과 사용자의 행위를 모니터링해 이상행위를 탐지하고 위협을 조사, 대응할 수 있게 하는 솔루션이다. 지능형 위협을 사전에 탐지, 예방할 뿐 아니라 사후 감사 증적(Audit)도 수행할 수 있다. 지능형지속위협(APT)와 랜섬웨어 등이 엔드포인트에서 수행하는 악성 행위를 파악하고 이상징후를 탐지해 조직 내부에 침투한 위협을 발견하고 대응할 수 있도록 지원한다.

‘지니안 인사이츠 E’는 지능형위협을 탐지하기 위한 방식으로 머신러닝 엔진을 포함한 다단계 탐지 방식을 지원한다.

침해지표(IOC, Indicators of Compromise)를 기반으로 먼저 알려진 위협을 걸러낸 뒤 머신러닝 엔진으로 빠르게 알려지지 않은 위협을 탐지한다.

지니언스는 초기에 1000여개의 특징을 추출해 정교하게 학습된 모델을 적용했다. 이후 머신러닝 엔진을 계속 고도화하고 있다. 악성코드와 정상코드를 구분하기 위해 1500여개의 특징을 사용해 딥러닝을 기반으로 다양한 학습 방법도 적용하고 있다. 기반이 되는 악성코드와 위협 지표는 하루 기준 수십만개에 달한다.

다양한 학습모델 가운데 최적화된 모델을 탑재해 탐지율을 높이고 오탐률을 감소해 실제 악성코드로 인한 보안위협을 제거하는데 역할을 톡톡히 수행할 것으로 회사측은 기대하고 있다.

고객사에 따라 야라(YARA) 룰(Rule) 기반 위협 탐지·심층 조사 기능도 추가 적용할 수 있도록 지원해, 변종 악성코드 탐지율을 더욱 높일 수 있게 했다.

다단계 탐지 방식을 통해 일단 위협이 탐지되면 경고 알림 기능을 제공한다. 또한 위험 파일 삭제, 프로세스 종료, 그리고 문제가 된 엔드포인트를 격리하거나 네트워크를 차단할 수 있다. NAC 에이전트, 정책서버와 연동해 실질적인 위협 대응 조치를 수행할 수 있는 것이 ‘지니안 인사이츠 E’의 특징이다.

이대효 지니언스 연구기획실 실장은 “‘지니안 인사이츠 E’는 보안담당자들과 보안운영자들의 업무 생산성을 높이고 불필요한 업무상 누수는 방지할 수 있도록 개발된 제품”이라며 “수작업보다 빨리 위협을 인지할 수 있게 해줄 뿐만 아니라 실질적인 대응조치로 연결되는 ‘액셔너블 리스폰스(Actionable Response)’가 가능하도록 NAC와 긴밀하게 협업하는 구조로 설계했다”고 특징을 설명했다.

오탐지 최소화, 보안담당자 사용관리 환경 개선에 주력

‘지니안 인사이츠 E’는 IOC와 머신러닝 엔진 등으로 악성인지 정상인지 즉각 판단 내리기 힘든 파일은 ‘악성의심’으로 분류해 제공한다. 오탐지 가능성도 있는 파일들이다.

AI 기술을 적용한 보안 제품을 두고 가장 우려되는 문제는 바로 이 오탐지다. 정상파일을 악성파일로 판단하게 되면 심각한 피해를 입힐 수 있다.

수많은 악성의심 파일을 제시해 사용자들에게 판단을 요구하는 경우도 오히려 업무에 부담을 주고 더욱 불편하게 만들 수 있다.

때문에 지니언스 역시 오탐지를 최소화하는 동시에 보안관리자가 실제 관리가능한 수준으로 탐지역량을 최적화하는 것에 주안점을 뒀다. 특히 정상파일을 악성으로 탐지하는 과탐지 문제를 개선하는데 공을 들였다.

이 실장은 “초기에 위협을 ‘이벤트’ 기반으로 관리하다보니 동일한 악성코드도 중복 탐지되는 왜곡된 결과가 나타나, 이를 상태 기반으로 전환했다”라면서 “현재는 위협을 식별해 확인 후 조치가 완료되는 프로세스로 동작한다. 고객사가 점차 늘어나면서 요구사항을 적극 반영해, 보안담당자들이 운영하기 쉽고 위협을 처리하고 대응하는데 용이한 방식으로 크게 개선했다”고 강조했다.

‘지니안 인사이츠 E’는 사용자들이 악성과 정상을 정의할 수 있도록 하는 기능과 탐지된 파일을 지니언스로 보내 공유하거나 예외처리할 수 있는 기능도 지원해 오탐지율을 줄일 수 있는 장치를 제공하고 있다.

또한 지니언스는 새로운 악성코드를 탐지할 수 있도록 데이터셋에 반영하는 동시에 정기적으로 학습모델을 업데이트하고 있다.

앞으로 ‘지니안 인사이츠 E’에 행위 기반 위협 탐지 기능도 추가할 계획이다. 시스템상에서 일어나는 행위를 모니터링해 공격 징후나 이상행위를 탐지하는 기술을 적용한다. 이 역시도 과탐 문제를 최소화하기 위해 정교한 룰을 만드는데 주력하고 있다.

실제 시장에서 느끼는 머신러닝 보안 기술 신뢰성에 대해 이 실장은 “머신러닝, 딥러닝 AI 기술은 올해 초까지만 해도 실제 사용 관점에서 ‘환상’이라거나 ‘실망스럽다’는 반응이 많았으나 이제는 빠르게 상용화 단계에 접어들었고, 알려지지 않은 악성코드를 잡는데 효과가 있다는 인식이 생겨나고 있다”라면서 “요즘에는 두드러지게 유즈케이스(활용사례) 요청이 많아지고 있다”라면서 실제 고객사에 도입한 사례를 5가지 유형으로 제공하고 있다고 말했다.

머신러닝 EDR의 5가지 대표 활용사례

지니언스는 EDR 솔루션을 ▲지능형 위협탐지 ▲가시성 확보 ▲위협 선제대응 ▲컴플라이언스(증적) ▲전사금지(Global Ban)에 대표적으로 활용할 수 있다는 점을 제시하고 있다.

안티바이러스(백신) 제품을 사용 중이지만 변종 랜섬웨어 감염 사고를 막지 못한 기업에서 머신러닝을 탑재한 EDR 제품으로 관련 악성코드를 사전에 탐지, 대응할 수 있다는 것을 확인해 도입으로 이어진 사례가 있다.

망분리(폐쇄망) 환경을 운영하는 한 기업도 EDR 도입 전에는 철저한 관리를 자신했지만 EDR 제품 도입 후에 폐쇄망 내부에서 게임, 메신저, 크랙(crack) 등 비인가 애플리케이션이 동작하고 있다는 것을 새롭게 확인한 경우도 있다. 이같은 내부망 가시성 확보 기능으로 사용자, IP 등을 확인해 통보하고 비인가 애플리케이션을 삭제 조치할 수 있었다.

또 다른 사례로는 감염사고 발생 조사 중 감염자의 반복행위를 확인, 인터넷 익스플로러에서 TV다시보기 사이트로 접속되고 있는 것을 발견한 경우다. EDR의 이벤트 분석 및 상세정보를 이용해 해당 웹사이트에서 플래시(flash) 관련 취약점을 이용한 악성코드 배포사실을 확인해 접속을 차단했다.

EDR의 컴플라이언스 준수 기능으로 사내에서 금지된 불법 소프트웨어나 비업무 소프트웨어 사용 규정을 어긴 사용자를 탐지해 경고와 네트워크 사용 제한 조치를 실시할 수 있다. 사용자(직원) 반발시에는 소프트웨어 사용 내용을 증거로 제시해 비인가 소프트웨어 삭제를 유도할 수 있었다.

이와 함께 기업에서 운영 중인 침입방지시스템(IPS)에 내부망에서 외부 악성 IP로의 접속을 감지, 해당 단말을 조사해 악성 실행파일을 확인한 뒤 전사조사를 거쳐 동일한 파일을 보유한 사용자를 추가로 탐지, 삭제 조치해 자칫 발생할 수 있는 위협 피해 확산을 선제 방어할 수 있었다.

이 실장은 “‘지니안 인사이츠 E’에 백신보다 빠른 IOC 업데이트와 고도화된 머신러닝 기술을 적용했으며, 하반기 중 행위 기반(UEBA) 위협 탐지 기능도 탑재돼 알려진 위협과 알려지지 않은 위협, 파일 기반 악성코드와 파일리스 악성코드까지 탐지, 대응이 확장될 예정”이라고 밝혔다.

이어 그는 “현재 20곳에 달하는 레퍼런스를 확보했고, 올해 금융, 엔터프라이즈, 공공 등 다양한 시장에서 테스트와 개념검증(POC)이 더욱 활발하게 진행되고 있다”고 전했다.

이동범 지니언스 대표는 “하루에도 수십만개의 변종, 신종 악성코드가 등장하는 가운데 학습모델로 알려지지 않은 위협의 악성 여부를 판별하는 머신러닝 기술 적용은 이제 선택이 아닌 필수”라면서 “‘지니안 인사이츠 E’ 출시 이후 금융기관과 공사 등 다양한 고객사를 확보하며 EDR 시장 개척을 주도해온만큼 신규 고객 확보 등 국내 시장 확대에 박차를 가할 것”이라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network