2024-03-29 09:00 (금)
[BlackHat Asia 2017 핫이슈] 사일런스, 인공지능-머신러닝 기반 안티바이러스 혁신 주도 “Set & Forget”
상태바
[BlackHat Asia 2017 핫이슈] 사일런스, 인공지능-머신러닝 기반 안티바이러스 혁신 주도 “Set & Forget”
  • 길민권 기자
  • 승인 2017.04.04 00:48
이 기사를 공유합니다

“기존에 볼 수 없었던 방식으로 멀웨어, 랜섬웨어 99% 탐지하고 차단까지”

▲ 블랙햇 아시아(BlackHat Asia) 2017에서 사일런스(Cylance) APEC 프리세일즈 기술총괄 그렉 싱(Greg Singh)이 사일런스프로텍트(CylancePROTECT) 기술에 대해 설명하고 있다. [데일리시큐=싱가포르]
▲블랙햇 아시아(BlackHat Asia) 2017에서 사일런스(Cylance) APAC 프리세일즈 기술총괄 그렉 싱(Greg Singh)이 사일런스프로텍트(CylancePROTECT) 기술에 대해 설명하고 있다. [데일리시큐=싱가포르]

3월 28일부터 31일까지 싱가포르 마리나 베이 샌즈에서 전세계 해킹 보안 전문가 및 글로벌 보안기업 관계자들이 대거 참석한 가운데 블랙햇 아시아(BlackHat Asia) 2017이 개최됐다.

40여개 글로벌 보안 기업이 참가한 전시회 장에는 벤더사들의 기술을 발표하는 컨퍼런스 세션도 마련됐다. 가장 많은 참관객의 관심을 끈 기업을 인터뷰해야 겠다고 생각하고 컨퍼런스를 참관했다. 그 중 최근 핫이슈인 인공지능-머신러닝 기반 안티바이러스(AV) 기술을 소개한 ‘사일런스(Cylance)’ 발표 시간에 가장 많은 질문이 쏟아졌고 참관객들의 관심도 뜨거웠다.

발표 후, 사일런스 직원들과 인터뷰를 진행키로 결정했다. 다소 길지만 그들이 말하는 인공지능과 머신러닝을 적용한 안티바이러스가 다른 벤더에서 말하는 그것과 무엇이 다른지 그들의 이야기를 그대로 전달하기로 했다. 인터뷰에 참가한 사일런스 직원은 총 3명, APAC 프리세일즈 기술총괄 그렉 싱(Greg Singh), APAC 지역총괄 앙 반(Ang Ban), APAC 마케팅 총괄 훼이 오(Hwei Oh)가 참석했다. 인터뷰 통역에는 권영목 파고네트웍스(PAGO Networks) 대표가 도움을 줬다. 다음은 사일런스와 인터뷰 내용이다.

◇사일런스(Cylance)를 한국 독자들에게 소개한다면

사일런스(Cylance)는 인공지능, 알고리즘 과학 및 머신러닝 기술을 사이버 보안에 적용하고 기업, 정부 및 최종 사용자가 어려운 보안 문제를 사전에 해결하는 방식을 개선한 최초의 회사다. 특히 획기적인 예측 분석 프로세스를 사용해 단순히 블랙리스트 또는 화이트리스트 기반의 방식으로 위협을 식별하는 것이 아니라, 무엇이 안전하고 위협인지를 신속하고 정확하게 식별한다. 정교한 인공지능과 머신러닝 기술을 결합해 침입자의 성향 및 사고방식을 독창적으로 이해함으로써 지능적인 위협을 사전에 예측하고 예방할 수 있는 기술과 서비스를 제공하고 있다.

설립자는 스튜어트 맥클러(Stuart McClure)와 라이언 퍼머(Ryan Permeh)다. 스튜어트는 맥아피와 인텔시큐리티의 글로벌 CTO를 역임했으며 글로벌 베스트 셀러 도서인 <Hacking Exposed> 시리즈의의 저자로도 유명하다. 라이언은 맥아피와 인텔시큐리티의 수석 과학자를 역임했으며 사일런스의 수학 아키텍처와 보안에 대한 새로운 접근 방식에 대한 핵심 두뇌 역할을 담당하고 있다. 두 설립자는 Cisco, Sourcefire, Google 및 McAfee와 같은 보안 기업으로부터 최고의 과학 및 전문가를 사일런스로 영입했다. 사일런스의 고문 이사회에는 DHS, FBI 및 CIA에 있는 유명 인사와 대형 기업의 주요 임원진들이 포진해 있다.

◇사일런스의 인공지능과 머신러닝을 활용한 솔루션 소개를 부탁한다

▲ 사일런스(Cylance) APEC 프리세일즈 기술총괄 그렉 싱(Greg Singh)
▲사일런스(Cylance) APAC 프리세일즈 기술총괄 그렉 싱(Greg Singh)

'사일런스프로텍트(CylancePROTECT)'는 인공 지능을 활용해 악성코드가 실시간으로 엔드포인트에서 실행되는 것을 탐지하고 차단함으로써 고객사의 안티바이러스(AV)가 할 수 있는 일과 해야 할 일을 완전히 새롭게 재정의한다. 특히 사후 시그니쳐 생성 기술 및 샌드박스 기술을 사용하는 대신 특허 출원중인 머신러닝 기술을 사용해 멀웨어 식별에 수학적 접근을 접목시킴으로써 새로운 멀웨어, 바이러스, 봇 및 Un-known 미래 변종을 쓸모 없게 만든다.

사일런스는 APT 및 악성 프로그램이 조직의 엔드포인트에서 실행되는 것을 방지하기 위해 가장 정확하고 효율적이며 효과적인 솔루션을 개발했다. 전례가 없는 멀웨어 식별 기능은 알고리즘 과학 및 인공지능의 힘을 활용하는 혁신적인 머신러닝 플랫폼이다.

특히 악성파일인지 정상파일인지를 구분하기 위한 600만개 이상의 특징을 파일들로부터 추출하고 각 벡터를 분석하는 기술을 보유하고 있다. 현재는 약 10페타바이트 상당의 실제 파일들로부터 600만개 이상의 벡터 및 특징들을 추출, 분석 및 학습하는 과정을 거쳐서 악성 및 정상 파일들을 구분해 내는 프로세스를 직접 수행하는 인공지능 및 머신러닝 기술을 적용하고 있다. 이 분야에서 독보적인 기술이다.

◇'사일런스프로텍트'와 다른 벤더의 기술에 차별점은 무엇인가

사일런스프로텍트에 적용된 인공지능-머신러닝(이하 AI-ML) 기술이 다른 기술과 차별화되는 첫번째 포인트는 ‘수학 모델링 (Math Model)’ 기반의 인공지능 추출, 분석 및 학습하는 기술 프로세스라고 할 수 있다. 이 기술이 사일런스의 코어 핵심 기술이다. 현재 시장에 나와 있는 AI-ML 기술은 각 벤더만의 기술을 채택해 이제 시작하는 단계이며, 여전히 시그니쳐 기반의 기술을 함께 사용해야만 하는 기술을 적용하고 있다는 점이 다른다.

두번째 차별화 포인트는 실제 신규 파일이 발견되는 즉시, 600만개 이상의 벡터 및 특징들을 추출하고 분석할 수 있는 기술을 기반으로 즉시 악성 및 정상 파일을 구분해 낼 수 있는 기반을 제공할 수 있다는 점이다. 한편 현재 시장에 나와 있는 다른 AI-ML 기반의 제품들은 수백 개에서 수천 개 정도의 벡터 및 특징들을 추출해 내고 이를 기반으로 악성-정상 파일들을 구분해 내고 있는데 그치고 있다.

이러한 두가지 요소가 현재 시장에서 사일런스가 인정받고 증명되고 있는 가장 큰 AI-ML 기술의 차별화 포인트다.

◇사일런스프로텍트의 또 다른 특징이 있다면

이 솔루션은 99% 이상의 알려진 혹은 알려지지 않은 멀웨어 및 악성스크립트 방어 효율성을 달성하고 있다. 한편 시그니쳐 기반의 AV는 평균 50~60%에 그친다. 또 최소한의 엔드포인트 시스템 자원 사용율(1~3%의 CPU 사용율과 40~60 MB의 메모리 사용량)과 밀리세컨드 단위의 탁월한 속도로 공격 탐지 및 방어가 가능하고 위협을 방어하기 위한 온라인 연결 및 클라우드 기반의 분석도 필요가 없다는 점이다.

즉 전문가에 의한 휴먼 기반 분석이나 시장에서 경쟁하고 있는 제품과는 달리, 사일런스머신러닝은 정확성을 기반으로 작동해 기존 및 이전에는 볼 수 없었던 방식으로 멀웨어의 99%를 예방할 수 있다.

◇사일런스의 AI-ML 기술…좀더 상세히 설명해 달라

사일런스 인공지능은 통계적으로 비슷한 파일 블록을 분석해 악성 파일을 식별한다. 이는 관찰, 패턴 인식 및 예측 분석을 통해 수행한다. 이 접근 방법은 정교한 수학 모델을 기반으로 악성 코드를 식별함으로써 전통적인 멀웨어 시그니쳐, 경험적인 휴리스틱 또는 행위 기반의 보안 방식에 비해, 엔드포인트 보호에서 괄목할 만한 보안 방법론을 제공한다. 시그니쳐 기반 대응 방식 대신, 위협이 실시간으로 자동 차단되는 방식이다.

현재 시장에 나와 있는 다른 머신러닝을 사용한다고 주장하는 기업의 솔루션은 자세히 살펴보면 여전히 악성코드 또는 악의적인 페이로드에 의해 침입되어야 하는 사용자 희생을 필요로 한다.

첫 번째 사일런스 머신러닝 모델은 2년 전에 릴리즈되었다. 최근 테스트를 거쳐 2016년에 제로데이 위협이 발생하지 않도록 하는 데에 최고의 효율성을 확보한 상태다. 이는 고객에게 어떤 의미가 될까? 2년이라는 개발 및 조정 과정을 통해서 사일런스 수학 모델의 지속적인 혁신 과정은 아직 세상에 알려지지 않은 제로데이 위협을 예측, 방지하고 고객을 보호하도록 도울 것이다. 알려진 파일과 알려지지 않은 파일 모두에 대해 작동하며 위협이 실제로 생성되기 전에 차단된다.

특히 사일런스는 클라우드 기반에 의존해 멀웨어를 분석하는 방식이 아니다. 사용자가 온라인이든 오프라인이든, 사용자는 엔드포인트에서 확실히 보호된다. 사일런스 머신러닝 모델은 클라우드에 연결할 필요가 없으며, 엔드포인트의 리소스 성능에 미치는 영향을 최소화하면서 작동한다.

◇최근 백신(AV)이 사전 차단을 하기도 하지만, 감염된 이후에 치료하는 방식이 대부분이다. 사일런스는 어떤 차별점이 있나

▲ 사일런스(Cylance) APEC 지역총괄 앙 반(Ang Ban)
▲사일런스(Cylance) APAC 지역총괄 반 앙(Ban Ang)

사일런스의 가장 핵심 기술은 ‘사전 실행 단계에서의 차단(Pre-Excution Prevention)’이다. 샌드박스 기술을 살펴보자. 어떤 멀웨어는 샌드박스가 어떤 특징을 가진 샌드박스 기반인지를 인지하는 기능을 가져, 우회하거나 또는 악성코드가 이미 실행된 이후에 행위 기반으로 악성 행위인지를 파악해 낸다. 즉, 사후 실행 이후 차단(Post-Execution Prevention) 이다. 사일런스는 신규 파일이 발견되는 즉시, 파일 특성 추출 및 AI-ML 기반의 수학적 모델링 기법을 사용하며, 파일이 실행되기 이전에 악성-정상 여부를 판단한다. 그리고 사일런스는 샌드박스가 아니며, 실제 사용되는 다양한 환경의 엔드포인트에서 직접 기술이 적용돼, 샌드박스처럼 다양한 환경을 사전에 준비할 필요가 없다.

◇모든 보안담당자는 복잡한 설정을 싫어한다. 간편하게 탐지와 차단이 이루어지길 바라고 있다. 또 너무 많은 얼럿(alert) 때문에 힘들어 한다. 그 때문에 진짜 위협을 놓치는 경우도 있다

그것이 바로 사일런스가 만들어진 이유다. 사일런스의 시장 접근 방법중의 한 부분이 바로 “Set & Forget”이다. 설치하고 잊어버리라는 것이다. 인공지능 기반으로 ‘Prevention’을 제공하겠다는 것이다.

사일런스는 사전 실행 단계에서의 차단(Pre-Execution Prevention) 기능을 사용해 고객 관점에서는 복잡하지 않게 AI-ML 기능을 적용할 수 있다. 기존에 복잡했던 많은 보안 솔루션의 운영 이슈를 해소시킬 수 있다.

‘사일런스 프로텍트’의 정확도는 많은 고객사에서 이미 증명된 만큼 99% 정도의 높은 정확도를 제공한다. 대략 나머지 1%에 대해서는 의심스러운 파일로 분류되는 항목이 있다. 이 1%에 대해서만 고객들이 직접 차단-안전 여부를 판단하고 분류할 수 있는 기반을 제시하고 있다.

고객의 판단을 위해 파일에 대한 상세 속성값, 위협 인텔리전스 플랫폼과의 연동, 사이닝 여부, 해쉬값, 설치위치, 다운로드 배경, 파일제작사, 사이닝에 사용된 인증서 종류, 왜 사일런스가 의심스러운 파일로 판단했는지에 대한 근거 등 실질적인 정보도 제공한다.

한편 최근 신기술로 분류되고 있는 EDR 전문 제품들을 살펴보자. 너무 많은 정보를 제공하고, 모든 것을 보안 관리자가 들여다 보고 결정을 해야 한다. 물론 EDR은 포렌식의 경우에 최적의 솔루션이지만, 결국 포렌식은 사후 대응 방법이라는 것을 잊지 말아야 한다.

◇사일런스의 글로벌 시장 성장속도가 가파르다. 그 이유는 무엇이라고 생각하나

▲ 사일런스(Cylance) APEC 마케팅 총괄 훼이 오(Hwei Oh)
▲사일런스(Cylance) APAC 마케팅 총괄 훼이 오(Hwei Oh)

이런 성장은 명확한 계획, 강력한 경영진의 리더십, 그리고 경영진의 강력한 실행 의지의 조합 때문이다.

사일런스가 제시하는 인공지능 및 머신러닝 기술 그 자체와, 고객의 문제를 근본적으로 해결하기 위해 이 기술이 완벽히 적용된 제품을 제시하고 있다. 실 예로, 병원-의료기관 고객 내부의 랜섬웨어를 처리해야만 하는 복잡한 업무 문제가 IT 보안 담당자의 업무에서 완전히 사라지는 등의 실질적인 사례를 증명했다. 이를 통해 기술과 제품을 바탕으로 실제 적용된 사례가 증명될 때, 상당히 파급력이 있다는 것을 지속적으로 체험하고 있다. 사일런스의 제품을 직접 사용하는 고객 및 파트너는 우리의 가장 강력한 지지자이며 사일런스의 급속한 성장에 큰 역할 및 도움을 주고 있다.

◇사일런스의 APAC과 한국 시장 비즈니스 계획 또는 전략은 무엇인가? 또 한국에는 이미 로컬 AV 벤더가 시장을 선점하고 있으며 외산 솔루션의 공공시장 진입 장벽도 존재한다

사일런스가 인공지능 및 머신러닝을 통해 어떻게 작동하는지에 대해 증명하고 핵심 기술을 이해시켜 나가겠다. 특히 APAC과 한국 시장을 위해, OEM, 총판 및 리셀러 파트너 등의 협업 체제 구축을 통해 비즈니스 계획 실행을 가속화 해 나갈 계획이다. 올바른 채널 관계와 파트너 인프라를 구축하는 것은 APAC과 한국에서 사일런스 성공에 매우 중요한 부분이 될 것이다.

특히 한국 안티바이러스 시장은 로컬 기업들이 사업을 잘 수행하고 있다는 것을 알고 있다. 앞으로 선의의 경쟁사가 될 것으로 예상한다. 올해 초부터 사일런스와 함께 할 수 있는 최적의 채널 파트너사를 선정해 나가고 있으며, 많은 부분에 대한 진전을 보이고 있다. 다만 너무 많은 파트너사를 원하지는 않는다. AI-ML 기술을 이해하고, 사일런스 비즈니스 중심으로 함께 성장하며, 고객사에 정확히 기술과 제품을 전달할 수 있는 채널 파트너를 보유하기 위해 노력하고 있다.

또 미국 본사에서 CC인증을 현재 진행 중에 있다. 더불어 한국의 경우 보안적합성 평가 등의 절차가 있는 것을 알고 있다. 다른 국가에서도 비슷한 경험들이 있다. 향후 사일런스는 케이스 별로 한국 정부 기관 및 금융 기관 등과 적극 협조해 나갈 예정이다. 특히 북한의 사이버 공격에 대한 방어문제도 협업할 용의가 있다.

◇안티바이러스 업데이트 서버를 이용해 사이버공격이 이루어지는 사례가 있었다. 사일런스는 어떻게 대응할 수 있나

사일런스는 시그니쳐 자체를 업데이트 하는 것이 아니다. 사일런스는 수학적 모델링을 업데이트 하는 것이다. 즉, 인공지능 모델링을 업데이트 한다. 모델링 업데이트 주기는 6~9개월에 한 번씩 업데이트한다. 이때 업데이트는 패키지 자체의 업데이트이며, 자체적으로 완전하게 디지털 사이닝 된다. 만약 패키지 자체가 변조될 경우, 설치 또는 업데이트 자체가 실행되지 않는다.

더불어 사일런스의 수학적 모델링을 업데이트 하지 않는다고 해서, 최신 멀웨어나 랜섬웨어 등을 방어하지 못한다는 것이 아니다. 실례로, 2015년 사일런스 제품을 설치한 후 업데이트를 실행하지 않은 기업이 2016년 11월에 생성된 다양한 Un-known 랜섬웨어들을 차단한 사례들을 고객들은 직접 체험하고 있다. 꼭 수학적 모델링 업데이트를 주기적으로 수행하지 않아도 된다는 것을 증명한 사례다.

◇대부분 고객들이 이미 안티바이러스 솔루션을 사용중일텐데, 사일런스 제품을 동시에 사용할 경우 충돌 등의 안정성 이슈는 없나

사일런스는 이미 한국에 있는 공인 파트너 ‘파고네트웍스(PAGO Networks)’(대표 권영목)와 다양한 종류의 보안 에이전트 제품을 동시에 사용할 때 발생할 수 있는 충돌성 테스트를 수행했다. 전혀 문제가 없었고 물론 복수의 안티바이러스 제품들과 공동 설치 테스트도 완료했다.

더불어 한국은 인터넷 뱅킹, 공공기관 및 웹 쇼핑몰에 로그인하거나 결재를 수행할 때, 수많은 엔드포인트 솔루션이 설치되고 실행되는 상황을 본사 차원에서 이미 인지하고 있다. 이에 120여 개의 은행, 보험, 카드, 캐피탈, 상호저축은행, 공공기관, 쇼핑몰에 직접 접속하고, 모든 뱅킹용도의 엔드포인트를 다운로드 하면서 충돌성 테스트를 수행했다. 단 한번의 충돌도 발생하지 않은 결과도 확보했다.

◇사일런스 기술을 도입하는 주요 고객군은

사일런스의 기술과 제품 고객은 전체 산업군을 모두 포함한다. 최근에는 헬스케어(병원, 의료), 공공, 리테일 분야에서 많은 고객층을 추가로 확보 했다. 일반 PC/노트북 뿐만 아니라, ATM, KIOSK, 산업제어 HMI 시스템을 보유한 고객층에서도 지속적인 제품 적용 요청을 해 오고 있다.

사일런스는 방화벽이 차세대 방화벽으로 진화한 것처럼, 안티바이러스 제품이 차세대 안티바이러스 제품군으로 진화해 나가는 것으로 시장에서 받아 들이고 있다. 이로 인해서 산업에 대한 구분 없이 다양한 고객층을 확보해 나가고 있다. 한국 시장에서도 그렇게 될 것으로 확신한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★