샌즈랩의 인공지능, 빅데이터 기반 기술로 새롭게 재설계한 서비스...11월 15일 오픈
시장의 요구 적극 반영...더욱 경제적인 인텔리전스
위협의 여러 변화를 내포하는 ‘X’를 결합, 인텔리전스 브랜드로 탈바꿈

[보안뉴스 박은주 기자] 사이버 위협 인텔리전스 전문 기업 샌즈랩(대표 김기홍)의 멀웨어닷컴이 인공지능, 빅데이터 기반 기술로 새롭게 재설계한 위협 인텔리전스 전문 서비스인 ‘CTX’로 탈바꿈했다고 31일 잠실 시그니엘 호텔에서 열린 쇼케이스를 통해 발표했다. 쇼케이스에서 샌즈랩 김기홍 대표와 샌즈랩 연구소 박성은 소장 등 CTX 개발·제작 담당자들이 개발 배경 및 솔루션의 특징에 대한 설명을 진행했다.

샌즈랩은 2014년 주변의 만류에도 불구하고 멀웨어닷컴을 개발 끝에 출시해 지난 9년간 약 376억건의 위협 데이터를 분석하고 약 22억 건의 악성코드를 사용했다. 연간 60억의 매출을 낸 샌즈랩의 핵심서비스이다. 또한, 멀웨어닷컴을 선두에 앞세워 CTI(Cyber Threat Inteligence, 사이버 위협 인텔리전스) 분야 국내 선두 업체로 올해 2월 코스닥 시장에 상장하기도 했다.

더불어 ESG 경영을 통해 샌즈랩이 보유한 데이터로 사회에 공헌하기 위해 노력해 왔다. 크게 △Feed 서비스를 이용한 사이버 공격의 대량 확산 방지 △전문가 수준의 분석 정보 제공 △AI 기술 개발에 필요한 대량의 데이터셋 등을 제공했다.

그러나 글로벌 수준은 향상되고 시스템이 발전하는 만큼 시장과 소비자의 요구도 다양해졌다. 기존 멀웨어닷컴의 서비스로는 시장의 변화를 수용하고 소비자의 요구를 반영하는 데 한계가 있었다. 이에 개선이 필요하다고 판단되어 전면적인 재설계가 진행됐다.

샌즈랩의 인공지능, 빅데이터 기반 기술을 활용해 몇 년간 연구·개발 과정을 거쳐 ‘위협 인텔리전스’ 전문 서비스 CTX를 완성했다고 밝혔다. CTX는 사이버 위협(Cyber Threat)을 뜻하는 약자 CT와 변수 X를 결합해 eXpert, eXchange, conteXt 등 위협의 여러 변화를 내포하는 브랜드로서 한층 업그레이드했다고 소개했다.

완전히 새롭게 구성된 인공지능 기반의 차세대 인텔리전스
기존 멀웨어닷컴은 악성코드를 분석한 정보를 바탕으로 인텔리전스를 구축했다. 여러 분석을 통해 추출된 정보를 기반으로 악성·정상 구분과 연관 관계 정보를 생성해 서비스를 제공했다. CTX는 악성코드 중심이 아닌 ‘공격자 중심’ 즉, 위협 인텔리전스 중심으로 전환됐다.

위협에 대한 종합적인 내용을 판단하고, 현재 발생하는 다양한 APT 공격에 대응하기 위해 인텔리전스 구조 자체를 새롭게 제작했다. 공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC 정보는 무엇인지를 파악할 수 있게 된다.

위협 인텔리전스 보고서는 위협의 전체적인 내용을 컨텍스트(Context) 형태로 재구성할 수 있게 된다. 보고서의 주요 구성 요소인 △공격 국가 △공격 툴 △관련 악성코드 △타깃 국가 △산업군 등의 정보는 물론 △특정 공격 그룹의 배후에 있는 국가 정보 △관련 취약점 정보 침해 지표를 제공한다. 이는 사이버 보안 위협 자체의 맥락 구성을 이해하고, 그 이면의 다양한 정보를 활용해 대응할 수 있도록 제공하기 위함이다.

이를 바탕으로 CTX에서 사용하는 데이터셋은 데이터 연결고리를 만들고, 객관적 사실을 수반하는 지식 그래프 형태로 구성했다. 단순히 IP, 도메인, 파일 관계 만들기에 그치지 않고, 연관 관계를 파악해 위협을 해석하고 위협에 대한 공격 의도, 목적 및 방식을 제공할 수 있는 지식기반의 데이터셋이라고 설명했다. 이 데이터셋은 추후 LLM이나 XAI 등 다양한 사이버 보안 분야 인공지능 기술을 개발하는 기반이 될 전망이다.

샌즈랩의 인텔리전스를 생성하는 주요 핵심 기술 2가지 △바이너리(실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술 △문서파일(비실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술은 각각 2021, 2022년 산업통상자원부로부터 신기술을 인증 받았다. 이는 멀웨어닷컴을 CTX로 재구성하는 데 큰 역할을 했다고 밝혔다.

관련 기술들은 10월 초 런던에서 개최돈 국제 콘퍼런스 ‘VB2023’에서 잠재력을 충분히 확인했다. 향후 발표하게 될 두바이의 AVAR 등 글로벌 콘퍼런스에서도 두각을 나타낼 것으로 기대하고 있다.

시장 요구 사항을 반영한 경제적인 인텔리전스
인텔리전스 서비스는 비싸다는 인식이 있다. 단순히 안티바이러스를 구매하거나 보안 솔루션을 구매하는 것보다 가격이 높고 활용이 쉽지 않아 시장 확장의 한계가 있다. 따라서 샌즈랩의 CTX는 ‘경제적인 인텔리전스를 만들어 보자’는 콘셉으로 개발됐다.

보통 각각의 인텔리전스에서 수집하고 분석한 정보와 역량에 따라 각기 다른 해석을 제공한다. 최근에는 수많은 정보가 제공되어 오히려 분석가들의 혼란을 불러오게 됐다. 샌즈랩은 연구를 통해 인텔리전스를 한데 모아 신뢰할 수 있는 영역의 데이터만 인공지능을 통해 선별하고, 특정 데이터에 집중됐다는 것을 확인했다.

결국 각각의 인텔리전스 사이트에서 제공하는 전체 데이터에서 가장 잘하는 부분의 인텔리전스 데이터만 취합해 제공한다면, 한 번에 위협을 식별하고 판단할 수 있는 경제적인 인텔리전스가 될 것으로 판단했다는 게 샌즈랩 측의 설명이다.


이로서 인텔리전스의 키 정보를 입력하게 되면 내부적으로 자동 연동해 함께 크로스로 확인하고자 하는 정보를 같이 취합하고 제공하여 별도 취합 과정과 연동 과정 없이 바로 보고하고 확인할 수 있는 정보를 생성하여 제공할 수 있도록 하고 있다. 현재 바이러스토탈(VirusTotal), 에일리언볼트(Alien Vault), 크리미널아이피(Criminal IP) 등 국내외에서 많이 사용하고 있는 위협 인텔리전스들과 연동되도록 준비 중이다.

미래를 준비하는 기반이 되는 인텔리전스
사이버 보안 분야에 차세대 인공지능 기술을 개발하기 위해서는 데이터셋이 반드시 수반되어야 한다. 양질의 데이터셋이 있어야 좋은 인공지능 모델을 개발할 수 있다. 다만, 중소기업 또는 스타트업, 대기업도 사업 초기에 이러한 데이터셋을 대량으로 확보하기는 쉽지 않다.

자체적으로 데이터셋을 구축하려면 특징을 고려한 다양한 속성값에 기반한 메타데이터를 생성할 수 있어야 한다. 그러나 관련 노하우가 없거나 특정 메타데이터를 추출하기 위한 분석기가 없다면 쉽지 않다. 이에 샌즈랩은 그간의 기술을 담아 수집하고 분석한 데이터 중 양질의 데이터만 별도 선별, 인공지능에 활용할 수 있도록 제공한다.

샌즈랩이 제공하는 데이터셋은 다양한 파일 타입별로 구성되며 인공지능뿐만 아니라 기관 및 기업 내에 BMT 용도로도 활용할 수 있다. 개인이나 기업을 특정할 수 있는 정보는 모두 비식별화 처리를 했으며 이 과정에서 AI 학습에 지장을 주지 않는 형태로 재처리해 CTX 인프라 내에서 완전히 자동화되어 매월 신규 샘플로 업데이트되어 제공한다.

이러한 데이터셋 판매 형태는 사이버 보안 분야에서 국내에서 한 번도 선보이지 않았던 새로운 형태이다. 다양한 데이터셋을 보유한 샌즈랩은 데이터 그 자체가 상품이 될 수 있는 중요한 기점을 마련할 것으로 기대하고 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>