시만텍이 인공지능을 적용한 표적공격 분석 기술 '시만텍 표적공격 애널리틱스(TAA)'를 발표했다. 시만텍 전문 분석팀이 주요 사이버 공격 분석 시 사용한 위협 탐지 기술과 머신러닝을 결합했다. 사이버 공격 그룹 기법을 집중 학습해 대응력을 제공한다.
시만텍 인터넷 보안 위협 보고서(ISTR) 제 23호에 따르면 표적공격 그룹 수가 증가했다. 보안 시스템에서 생성되는 수많은 보안경고 가운데 표적공격은 신속하게 탐지되지 않는다. 이 사이 공격자는 시스템에 접근해 중요한 데이터를 확보한다.
시만텍 TAA는 지능형위협보호(ATP) 솔루션에서 제공한다. 그룹별 공격기법에 특화돼 엔드포인트탐지대응(EDR) 솔루션 성능을 향상시켰다. 기존 EDR에서 파일 해쉬값, 악성코드 유포 도메인, 레지스트리 값, 프로세스 이름 등 침해지표 정보로 기업 내부 해킹을 파악했다.
시만텍 TAA는 침해지표 기반 공격 탐지는 물론, 공격자가 사용하는 침투 방법, 측면 이동 시 사용하는 명령어 등 전문 분석팀이 축적한 인텔리전스 정보를 머신러닝과 결합해 자동으로 공격을 탐지한다.
시만텍 표적공격 전문 분석팀은 스턱스넷(Stuxnet), 레긴(Regin), 라자루스(Lazarus)를 발견하고, 스위프트(SWIFT) 공격과 워너크라이(WannaCry) 공격 사이의 연관성을 밝혀냈다. 머신러닝을 연구하는 시만텍 보안 데이터 과학자 팀과 협력해 TTA를 개발했다.
시만텍 TAA는 클라우드 기반 기술이다. 수시로 분석 재학습과 업데이트를 제공해 새로운 공격 방법에 적응한다. 윤광택 시만텍코리아 CTO는 “시만텍은 글로벌 인텔리전스 네트워크(GIN)를 기반으로 방대한 위협 인텔리전스를 구축했다”면서 “공격그룹의 분석으로 확보한 고유 특징과 속성 정보를 머신러닝과 결합해 표적공격에 특화된 TAA 기술을 선보인다”고 말했다. 이어 “일반 기업에서도 시만텍 전문 분석팀의 고난도 표적공격 분석 기술을 솔루션으로 이용할 수 있다”고 덧붙였다. 시만텍 ATP 솔루션 사용 기업은 별도 추가 구입 없이 시만텍 TAA 기술을 쓸 수 있다.
김인순 보안 전문기자 insoon@etnews.com