첨단 사이버공격, 인공지능(AI)으로 막는다

'인공지능(AI) 접목'이 사이버 보안 업계 화두로 떠올랐다. 기하급수적으로 늘어나는 악성코드와 사이버 공격을 처리하는 대안으로 주목된다. IBM과 시만텍, 트렌드마이크로, 카스퍼스키랩 등 글로벌 기업이 보안솔루션에 머신러닝을 적용한다. 국내 보안기업 머신러닝 개발 작업도 숨가쁘다. 백신과 관제 기업은 머신러닝 엔진을 만들고 자체 제품에 적용했다.

안랩(대표 권치중)은 2년 동안 독자 연구로 머신러닝 시스템을 개발·운영 중이다. 기계적으로 생성된 규칙을 활용하고 머신이 부족한 부분은 사람이 지식을 더하는 시스템이다. 안랩 머신러닝 시스템은 13억4000개 파일을 샘플링 없이 전수 학습했다. 지금도 진화 중이다.

안랩 머신러인 시스템 개요도(자료:안랩 홈페이지)
안랩 머신러인 시스템 개요도(자료:안랩 홈페이지)

안랩은 지능형 위협 대응 솔루션 '안랩 MDS 에이전트'에 머신러닝 엔진을 적용했다. MDS에이전트는 PC 내부에 악성코드가 의심되는 파일을 찾아 분석 서버에 전송한다. 안랩은 MDS 의심파일 수집 기능을 강화하기 위해 머신러닝 적용 프로젝트를 추진했다. 안랩 머신러닝 시스템은 복잡하고 수집하기 어려운 행위정보 대신 파일 크기, 헤더 정보, 특정위치 바이트 값 등 파일 기본 자료를 수집한다. 파일당 총 155개 정적 정보를 추출한다.

세인트시큐리티(대표 김기홍)는 AI 기반 차세대 안티바이러스 '맥스'를 개발했다. 글로벌 PC보안 시장은 차세대엔드포인트(NEDR)로 전환 중이다. 알려진 악성코드 샘플 데이터베이스(DB)를 쌓아 PC를 검색하던 기법에서 알려지지 않은 위협을 자동 차단하는 형태로 변화했다.

세인트시큐리티 AI기반 백신 '맥스'
세인트시큐리티 AI기반 백신 '맥스'

세인트시큐리티는 악성코드를 탐지하는 '인공지능 평가 점수 알고리즘(AI 스코어)'을 개발했다. AI스코어는 파일별로 빅데이터에 기반한 프로파일링 정보와 정적, 행위 분석 등을 더해 계산된다. 세인트시큐리티 머신러닝 시스템은 파일명, 행위, 문자열, PE정보, API호출정보 등 PC로 유입된 파일이 가진 메타데이터를 학습한다.

김기홍 대표는 “맥스는 SE랩 시험에서 알려지지 않은 악성코드까지 잡아내며 만점을 받았다”면서 “맥스는 하루 100만개 이상 악성코드가 수집되는 클라우드 기반 악성코드 자동분석 플랫폼 '멀웨어스닷컴' 데이터를 학습한다”고 설명했다.

보안 관제시스템 AI 적용도 한창이다.

SK인포섹(대표 안희철)은 서울대 윤성로·백윤흥 교수팀과 AI 엔진 개발을 시작했다. SK인포섹 '시큐디움'은 보안 이벤트를 빠르게 분석하는 빅데이터 엔진이다. 보안관제는 악성코드 등 사전에 공격으로 정의한 규칙을 토대로 위협을 식별한다. AI엔진은 보안관제 일련 과정을 자동으로 처리한다.

김용훈 SK인포섹 R&BD센터장은 “시큐디움 엔진에서 제공하는 유효한 데이터를 스스로 학습해 위협 탐지, 분석, 대응을 자동화할 계획”이라면서 “SK인포섹과 서울대는 연내 규칙으로 탐지하지 못하는 공격을 식별하는 AI엔진을 실무에 적용한다”고 말했다.

SK인포섹 통합보안관제센터.(자료:SK인포섹)
SK인포섹 통합보안관제센터.(자료:SK인포섹)

이글루시큐리티(대표 이득춘)는 위협 정보를 직관적으로 인지하는 분석 플랫폼 '스파이더 TM'에서 의심스러운 이벤트만 집중 분석하는 작업을 자동화한다. 이중 정상 이벤트만 걸러내는 머신러닝 알고리즘을 올해 적용한다.

이글루시큐리티 통합보안관제센터.
이글루시큐리티 통합보안관제센터.

김인순 보안 전문기자 insoon@etnews.com