사일런스 “진화하는 공격, AI로 대응한다”
상태바
사일런스 “진화하는 공격, AI로 대응한다”
  • 김선애 기자
  • 승인 2018.01.22 14:45
  • 댓글 0
이 기사를 공유합니다

고도의 머신러닝 기술이용해 신종 위협 정확하게 탐지…총판 웨스트콘 통해 국내 영업 성과 가시화

실행파일 형태의 신종 악성코드를 이용하는 APT 공격은 이미 ‘전통적인 패턴’이 되었다. 공격자들은 파일 없는 형태의 악성코드나 혹은 악성코드 없이 취약점 이용하거나 정상 소프트웨어의 정상 기능을 이용해 침투한다. 소프트웨어 공급망을 이용해 공격 탐지 시스템을 무력화한다. 이 같은 공격 방식은 안티바이러스는 물론이고 샌드박스 솔루션도 탐지하기 어렵다.

새롭고 다양한 공격기법을 사용하는 공격자에 대응하기 위해 떠오르는 기술이 ‘머신러닝’이다. 머신러닝을 이용하면 시스템이 스스로 공격을 학습하면서 지능적인 공격을 탐지한다. 머신러닝을 이용한 공격 탐지 시스템은 역분석이 어렵기 때문에 공격자가 이를 우회하는 방법을 찾기 어렵다.

이 때문에 머신러닝을 새로운 공격 도구 탐지에 사용하는 트렌드가 확산되고 있으며, 그 선두에 선 기업이 사일런스이다.

사일런스 국내 총판인 웨스트콘코리아의 양근우 지사장은 “전통적인 안티바이러스(AV)로 지능형 공격을 방어할 수 없게 되자 통합 엔드포인트 보안 플랫폼(EPP)과 엔드포인트 침해 탐지 및 대응(EDR)이라는 새로운 솔루션이 등장했다. 그러나 EPP는 기존 AV의 한계를 넘지 못하며, EDR은 AV를 보완하는 역할에 그치고 있다”며 “사일런스는 인공지능 기술을 결합한 차세대 엔드포인트 보안 플랫폼으로, 그 어떤 새로운 변종 멀웨어도 실시간으로 파악하고 차단할 수 있다”고 설명했다.

▲사일런스 머신러닝 프로세스

270만개 공격 요소 학습해 새로운 공격 차단

EPP와 EDR은 실시간으로 변종 멀웨어를 탐지하는데 한계를 갖고 있다. EPP는 기존 AV 엔진과 평판분석, 휴리스틱 분석, 클라우드 기반 위협 인텔리전스 등 다수의 엔진을 통합해 복잡한 분석 과정을 거치고 있다. 탐지 성능을 획기적으로 개선했다 해도 멀웨어 탐지율은 40~50%에 그치는 것으로 분석된다.

EDR은 엔드포인트에 남아있는 공격 흔적을 찾아 피해 확산을 차단하고 분석하며, 실시간 차단보다 침해 탐지와 대응에 초점이 맞춰져 있다. 엔드포인트에서 직접 분석하지 못하고 클라우드나 별도의 서버에서 분석해 실시간 대응에 적합하지 않다.

사일런스는 머신러닝 기술을 이용해 270만개의 악의적 공격에 사용된 속성을 확보해 학습했다. 이를 바탕으로 의심스러운 샘플에 악의적인 요소가 있는지 파악하고 점수를 매겨 보안 대응 우선순위를 결정할 수 있도록 한다. 공격자가 사일런스 분석 시스템 탐지를 우회하려면 2700조개에 이르는 속성 조합으로 공격을 시도해야 한다. 사일런스 우회 공격이 불가능에 가깝다는 뜻이다.

2015년 설치 버전으로 2017년 워너크라이 막아

EPP와 EDR이 클라우드 위협 인텔리전스과 연결돼 실시간 신변종 멀웨어 정보를 받아야 하는 것과 달리 사일런스는 시그니처를 받지 않기 때문에 오프라인 상태로도 운영 가능하다. 다만 클라우드에서 탐지 기준을 내려 받아야 하기 때문에 처음 설치할 때는 인터넷 연결이 필요하다.

보다 정확한 탐지를 위해 정기적으로 클라우드에서 새로운 정보를 내려 받을 수 있지만, 폐쇄망 환경과 같은 경우 한 번 설치한 후 인터넷에 연결하지 않아도 새로운 공격을 탐지할 수 있다.

실제로 사일런스 고객 중 한 곳은 2015년 설치한 후 클라우드 연결하지 않은 상태를 유지했는데도 지난해 워너크라이 랜섬웨어를 사일런스가 자동으로 차단하는 경험을 했다. 악성행위를 학습해 온 사일런스가 워너크라이 공격 시도를 차단한 것이다.

사일런스는 1분기 내에 오프라인 설치형 솔루션을 새롭게 출시할 예정으로, 인터넷 연결이 허용되지 않은 민감한 시설에도 설치될 수 있도록 할 계획이다.

구민우 웨스트콘 상무는 “사일런스는 고급수학분석 기술을 사용해 시그니처 없이도 100밀리세컨드 내에 악성 여부를 판단하고 경고할 수 있다. 새로운 멀웨어 변종도 순간적으로 분석하고 차단할 수 있다”며 “엔드포인트 리소스 사용은 1% 내외, 메모리 점유율은 매우 가벼운 EPP 솔루션의 10%에 불과하다. 작고 가벼우며 빠른 성능으로 악성 여부를 탐지하기 때문에 안티바이러스를 대체할 차세대 보안 솔루션으로 자리매김 하고 있다. 국내 대기업, 대형 유통사, 종합병원 등에서 사용하고 있으며, 글로벌 대기업과 제조사 등 여러 분야에서 도입을 검토하고 있다”고 말했다.

한편 웨스트콘은 사일런스와 포어스카우트, 팔로알토네트웍스 등 글로벌 보안 솔루션을 공급하는 글로벌 유통기업으로, 여러 국내 유통회사들과 파트너십을 체결하면서 영업망을 강화하고 있다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.