2024-03-04 18:05 (월)
샌즈랩, 차세대 위협 인텔리전스 전문 서비스 CTX 런칭
상태바
샌즈랩, 차세대 위협 인텔리전스 전문 서비스 CTX 런칭
  • 길민권 기자
  • 승인 2023.10.31 15:34
이 기사를 공유합니다

인공지능, 빅데이터 기반 기술로 완벽히 새롭게 재설계
malwares.com 업적 요약

2014년 모두가 하지 말라고 반대한 malwares.com을 개발하고 런칭한 샌즈랩은 지난 9년의 시간동안 약 376억건의 위협 데이터를 분석하고 약 22억건의 악성코드를 사용했다. 연간 60억의 매출 또한 발생시킨 샌즈랩의 효자 서비스이자 부가 가치 창출의 핵심 요소이다.

이 malwares.com을 선두에 앞세워 CTI(사이버 위협 인텔리전스) 분야 국내 선두 업체로 올해 2월 코스닥 시장까지 상장할 수 있었다.

또한 샌즈랩은 ESG 경영을 통해 보유한 데이터로 할 수 있는 최선의 사회 공헌을 수행하기도 하였다. 크게 3가지로 분류할 수 있는 샌즈랩의 사회 공헌 요소는 Feed 서비스를 이용한 사이버 공격의 대량 확산 방지, 전문가 수준의 분석 정보 제공, AI 기술 개발에 필요한 대량의 데이터셋 제공 등이다.

CTI 비즈니스에서 가장 많이 듣게 되는 질문

반면 글로벌 수준은 매일 상향되고 있으며 시장이 요구하는 목소리는 점차 많아지고 있다. 시스템이 발전하는 만큼 시대의 변화와 시장의 변화도 동시에 수반되다 보니 기존 malwares.com의 한계점은 지속적으로 발생하고 시장의 변화 요구를 받아들이기 위한 개선이 필요하게 된다.

몇 년에 걸쳐 진행된 이 과정 속에서 샌즈랩은 가장 잘하는 인공지능, 빅데이터 기반 기술로 완벽히 새롭게 재설계한 위협 인텔리전스 전문 서비스 CTX를 만들어내게 되었다.

CTX는 사이버 위협(Cyber Threat)을 뜻하는 약자 CT와 변수 X를 결합해 eXpert, eXchange, conteXt 등 위협의 여러가지 변화들을 내포하는 브랜드로서 한층 업그레이드 되었다.

기존의 malwares.com은 악성코드를 분석해서 나온 정보를 바탕으로 인텔리전스를 구축했다. 여러가지 분석을 통해 추출된 정보를 기반으로 악성/정상 여부와 연관 관계 정보를 생성하여 서비스를 했다면 이제는 악성코드 중심이 아닌 공격자 중심, 즉 위협 인텔리전스 중심의 사회로 전환되었다.

공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC 정보들은 어떤 것들이 있는지 등의 종합적인 내용을 판단할 수 있어야 현재 발생하고 있는 다양한 APT 공격 등을 대응할 수 있게 하기 위해 샌즈랩은 인텔리전스 구조 자체를 새롭게 만들었다.

위협 인텔리전스 보고서의 주요 구성 요소인 공격 국가, 공격 툴, 관련 악성코드, 타겟 국가, 산업군 등의 정보는 물론 특정 공격 그룹의 배후에 있는 국가 정보부터 관련 취약점 정보 침해 지표까지 내용을 정리한 일종의 전체 내용의 컨텍스트 형태로 재구성할 수 있는 것이다. 사이버 보안 위협 자체의 맥락 구성을 통해 공격 그 이면의 다양한 정보를 활용해 대응할 수 있도록 제공되어야 하기 때문이다.

이를 바탕으로 CTX에서 사용하기 위한 데이터셋 형태의 재구성은 단순한 연결고리를 만드는 것뿐만 아니라 각각 최대한의 객관적 사실을 수반하는 지식 그래프 형태로 구성이 되도록 하였다. 단순히 아이피, 도메인, 파일의 관계를 만드는 것에 그치지 않고 왜 이런 연관 관계가 만들어졌는지에 대한 내용을 파악하게 되므로 위협을 해석하고 의미 부여를 하는데 큰 도움이 되기도 하며, 추후 LLM이나 XAI 등 다양한 사이버 보안 분야 인공지능 기술을 개발하는 기반 데이터셋이 되기도 한다.

샌즈랩의 인텔리전스를 생성하는 주요 핵심 기술 2가지, 바이너리(실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술과 문서파일(비실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술은 각각 2021, 2022년 산업통상자원부로부터 신기술을 인증을 받게 되며 재구성을 하는데 큰 역할을 수행하였다.

관련 기술들은 얼마 전 런던에서 개최된 VB2023에서 잠재력을 충분히 확인했음은 물론이며 향후 발표하게 될 두바이의 AVAR 등 글로벌 컨퍼런스에서도 두각을 나타낼 것으로 샌즈랩 측은 기대하고 있다.

샌즈랩의 CTX는 경제적인 인텔리전스를 만들어 보자라는 컨셉에서 개발 배경이 시작되었다.

보통 각 인텔리전스에서 수집하고 분석한 정보와 역량에 따라 각기 다른 해석 정보를 제공하고 있다. 이것이 현대에 들어서는 오히려 분석가들의 혼란을 야기하게 되었다. 이에 샌즈랩은 인텔리전스에서 나온 정보를 대량으로 모아 신뢰할 수 있는 영역의 데이터만 인공지능을 통해 고르는 작업으로 특정 부분에 집중되어 있다는 것을 연구로 확인하였다.

샌즈랩은 이 데이터들을 조합하였을 때 각 인텔리전스 사이트에서 제공하는 전체가 필요한게 아니라 각각의 가장 잘하는 부분의 인텔리전스의 데이터만 취합하여 제공한다면 한번에 위협을 식별하고 판단할 수 있는 경제적인 인텔리전스가 될 것이라 판단하였다.

CTX의 경제적 인텔리전스 정보 제공 과정

이로써 인텔리전스의 키 정보를 입력하게 되면 내부적으로 자동 연동해 함께 크로스로 확인하고자 하는 정보를 같이 취합하고 제공하여 별도 취합 과정과 연동 과정 없이 바로 보고하고 확인할 수 있는 정보를 생성하여 제공할 수 있도록 하고 있다. 현재 바이러스토탈(VirusTotal), 에일리언볼트(Alien Vault), 크리미널아이피(Criminal IP) 등 국내외에서 많이 사용하고 있는 위협 인텔리전스들과 연동되도록 준비 중이다.

사이버 보안 분야에 차세대 인공지능 기술을 개발하기 위해서는 데이터셋이 반드시 수반되어야 한다. 좋은 데이터셋이 있어야 좋은 인공지능 모델을 개발할 수 있으나 중소기업 또는 스타트업, 대기업도 마찬가지로 초기에 이러한 데이터셋을 대량으로 확보하기는 쉽지 않다.

자체적으로 데이터셋을 구축하려면 특징을 고려한 다양한 속성값을 기반한 메타데이터를 생성할 수 있어야 하지만 관련된 노하우가 없거나 특정 메타데이터를 추출하기 위한 분석기가 없다면 쉽지 않다. 이에 샌즈랩은 그간의 노하우를 담아 수집하고 분석한 데이터들 중 양질의 데이터만 별도 선별, 인공지능에 활용할 수 있도록 제공한다.

샌즈랩이 제공하는 데이터셋은 다양한 파일 타입별로 구성되며 인공지능뿐만 아니라 기관 및 기업 내에 BMT 용도로도 활용이 가능하다. 개인이나 기업을 특정할 수 있는 정보는 모두 비식별화 처리를 하였으며 이 과정에서 AI 학습에 지장을 주지 않는 형태로 재처리돼 CTX 인프라 내에서 완전 자동화되어 매월 신규 샘플들로 업데이트되어 제공된다.

CTX 공식 오픈 예정일 및 공식 웹사이트 주소

◆국내 최대 인공지능 보안 컨퍼런스 AIS 2023 개최(11월2일/7시간 보안교육 이수)

-주최: 데일리시큐

-일시: 2023년 11월 2일 오전9시~오후5시

-장소: 한국과학기술회관 지하1층 국제회의실

-참석대상: 공공, 금융, 기업 개인정보보호 및 정보보안 책임자·실무자만 가능

(현업 정보보안 실무 종사자가 아니면 참석 불가)

-강연내용: 인공지능(AI) 활용 사이버위협과 대응기술 공유

-참가비: 무료 (점심식사와 주차권은 제공하지 않습니다.)

-보안교육이수: 참관객에 7시간 보안교육 이수증 발급

-등록절차: 사전등록 후 참석승인문자 및 메일 수령자만 참석 가능

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★