인섹시큐리티(대표 김종광)는 인공지능(AI) 엔진 기반 악성코드 정밀 분석 솔루션 ‘조샌드박스 머신러닝(Joe Sandbox ML)’을 출시하고 국내 공급에 나선다고 3일 밝혔다.

글로벌 악성코드 분석 전문기업인 조시큐리티는 머신러닝과 AI 기술을 일명 샌드박스로 통하는 가상화 위협 분석 솔루션에 적용했다.

회사측에 따르면, 조샌드박스 ML은 악성 PE, PDF, ELF, hwp 파일을 비롯해 .doc, .ppt, .xls, .docx, .pptx, .xlsx 등의 마이크로소프트 오피스 악성 파일을 탐지한다. 알려지지 않은 악성 파일 탐지를 위한 시그니처 업데이트가 필요치 않다.

플러그인 형태로 ‘조샌드박스 데스크톱(Joe Sandbox Desktop)’, ‘컴플리트(Complete)’, ‘얼티밋(Ultimate)’, 클라우드(Cloud)’와 연동, 동적 분석으로 탐지 불가능한 영역을 보완해 전체 환경에 대한 탐지 기능을 강화하는 것이 특징이다.

조샌드박스 제품군에는 메모리 덤프파일에서 실행 파일을 재구성할 수 있는 지능형 엔진이 탑재돼 각종 샘플 등 멀웨어를 통해 생성되거나 다운로드 된 모든 파일 및 압축 해제된 형태(unpack)의 실행 파일에 대한 종합적인 분석을 지원한다.

이러한 파일들의 악성 여부 판단 결과는 동적 실행을 통해 위협 점수가 매겨지며, 사용자에게 이 점수와 최종 결과가 제공된다.

조샌드박스 ML은 동적 실행 중에 악의적인 행동을 보이거나 실행하지 않는 멀웨어 샘플을 탐지하는 데 유용하다. 추가 Dll, 구성파일 등과 같이 종속성을 가진 멀웨어 샘플과 커맨드 라인을 필요로 하는 해킹 툴 등이다.

또한 재구성 후 압축해제 실행파일에서 구동하므로 난독화층이 제거된 상태에서 탐지율을 크게 높일 수 있다.

동적 분석은 동작에 기초한 위협을 감지하고 패킹 및 코드 난독화에 대해 탄력적으로 대응한다. 그러나 멀웨어는 실행을 지연시키거나 방해해 동적 분석을 회피할 수 있다. 명령·제어(C&C) 서버가 다운되었거나 인터넷에서 더 이상 다운로드를 받을 수 없는 경우 멀웨어가 실행되지 않을 수도 있다. 운영체제 또는 프레임워크 버전 때문에 작동하지 않을 수도 있다. 이러한 샘플들은 정적 탐지의 주요 타깃이 된다.

인섹시큐리티 김종광 대표는 “조샌드박스 ML은 오탐율을 낮추고 멀웨어 탐지 효율성을 크게 높일 수 있도록 설계됐다. 샘플에서 악의적인 행동이 발견되지 않는 경우에도 AI 엔진 기반의 정적 분석을 통해 이를 탐지하며, 다른 ML 엔진이 PE 파일만을 지원하는 반면에 조샌드박스의 경우 PDF, 아래한글, 오피스 문서, ELF 파일 등 폭넓은 파일 유형을 지원한다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network