샌즈랩, 런던 VB2023 행사서 AI 기반 사이버위협 분석·대응 기술 발표
사이버위협 인텔리전스 업체 샌즈랩(대표 김기홍)이 자사가 개발한 인공지능 기술과 이 기술 개발 경험을 글로벌 안티바이러스 평가기관 ‘바이러스블러틴(VirusBulletin)’이 주최하는 국제 컨퍼런스 ‘VB2023‘에서 발표한다.
VB2023 행사는 오는 10월 영국 런던에서 개최된다. 세계 주요 보안 업체들과 다양한 분야의 보안 전문가들이 모여 사이버 보안 관련 기술, 위협 인텔리전스, 공격자 추적, 사이버 범죄 등에 대한 다양한 주제를 대상으로 발표하고 토론하는 행사다. 한국에서는 샌즈랩 외에도 한국인터넷진흥원, 안랩, 에스더블유랩(S2W Labs) 등의 사이버보안 전문기관과 업체 발표가 예정되어 있다.
샌즈랩이 발표하는 TIPS(Threat Intelligence Practitioners’ Summit) 트랙은 글로벌 사이버 위협 연합(CTA)에서 CTI 전문 업체들을 대상으로 관련 경험과 핵심 기술을 발표하기 위해서 만든 특별 트랙이다. 한국에서는 이번에 샌즈랩의 발표가 최초라고 회사측은 설명했다.
사이버 위협 인텔리전스는 매일 발생하는 다양한 위협들을 자동으로 분석하고 추적해 공격 그룹과 공격 기법을 세부적으로 분류하고 분석하는 기술이다. 과거에는 이러한 작업이 고급 기술자에게만 가능했으며 서로 다른 경험적 지식에 기반한 다양한 해석과 객관성을 보장하기 어려운 문제가 있었다.
이번에 발표하는 샌즈랩의 DBP(Deep Binary Profiler) 기술은 실행 가능한 악성코드 파일을 분해해 기능별로 정보를 분리하고, 마이터 어택(MITRE ATT&CK)에서 정의한 공격 그룹과 공격 기법(T-ID)을 자동으로 식별해낼 수 있는 AI 기술이다. 이를 통해 알려지지 않은 새로운 악성코드가 침투했을 때 과거 데이터로 관련성을 추적하고, 자동으로 식별해 그에 관련된 분석 정보를 근거와 함께 제공할 수 있는 것이 이 기술의 핵심이다. 사이버보안 분야에 AI를 적용해 사람의 개입 없이 신속하고 효율적으로 사이버위협을 대응할 수 있고 관련한 대응 정보를 생성하는데 필요한 근거 정보를 제공해 준다.
또한 DBP 기술은 코드 간의 유사성 및 변이 정도를 정량화해 악성코드, 공격 그룹, 공격 기법의 진화를 유추하는 것이 가능하다. 코드의 다양한 특징 정보를 벡터화해 기존에 구축된 데이터셋과 비교함으로써, 디지털 증거 자료로서 증명력을 강화한다. 이로써 기존의 한계점을 극복하고, 잘못된 분석 정보를 제공해 오히려 혼란을 가중시키는 문제까지 방지할 수 있다.
샌즈랩은 이러한 내용을 기반으로 TIPS 트랙의 올해 주제인 ‘커뮤니티 효과(The Community Effect)’에 맞춰 메시지를 전달한다는 방침이다. 회사측은 “커뮤니티의 다양한 분석을 객관적 사실에 근거해 재정립할 수 있고, 이를 통해 사이버위협에 대한 다양한 해석으로 인한 시간 손실을 최소화해 커뮤니티 능력을 극대화할 수 있어 위협 대응에 소모되는 사회적 손실을 최소화할 수 있다는 메시지를 전달할 예정”이라고 밝혔다.
김기홍 샌즈랩 대표는 “그동안 일부 전문가들의 개인적 경험을 토대로 분석한 정보만으로는 객관성이 부족했고 디지털 증명력을 확보하는데 어려움이 많았다”며 “DBP기술은 한국에서 신기술 인증(NET)을 받고 관련 특허를 30개 이상 등록받았으며, 미국에서도 특허를 10개 이상 출원한 차세대 핵심 기술이다. 글로벌 시장에 소개하고 전세계 다양한 분석가들과 의견을 나누어 샌즈랩의 기술과 한국의 사이버 보안 기술을 글로벌하게 진출시키는데 중요한 기점으로 활용할 것”이라고 말했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network