2023-02-09 14:10 (목)
[인터뷰] 누리랩-시야인사이트, 중소기업용 AI 기반 클라우드형 XDR 플랫폼 개발...내년 본격 시장 확대
상태바
[인터뷰] 누리랩-시야인사이트, 중소기업용 AI 기반 클라우드형 XDR 플랫폼 개발...내년 본격 시장 확대
  • 길민권 기자
  • 승인 2022.12.08 18:11
이 기사를 공유합니다

보안투자 어려운 중소기업 위해, 자체 CERT 운영 가능토록 클라우드형 AI 분석/대응 제품 내놔
누리랩-시야인사이트, 중소기업 CERT 독립 운영을 위한 클라우드형 AI 기반 XDR' 공동 개발. (사진 좌측부터 누리랩 박정호 대표, 김지훈 센터장, 최원혁 대표, 시야인사이트 임형준 대표, 강홍규 소장, 주경숙 본부장)
누리랩-시야인사이트, 중소기업 CERT 독립 운영을 위한 클라우드형 AI 기반 XDR' 공동 개발. (데일리시큐=사진 좌측부터 누리랩 박정호 대표, 김지훈 센터장, 최원혁 대표, 시야인사이트 임형준 대표, 강홍규 소장, 주경숙 본부장. 인터뷰 종료후 기념촬영)

누리랩(대표 박정호, 최원혁)과 시야인사이트(대표 임형준)가 지난 2021년 3월 정보보호 분야 기술 협력 및 교육 시스템 공동개발을 위한 MOU를 체결하고 올해 KISA ‘AI 보안시제품 개발’ 공동 프로젝트를 성공적으로 마무리했다. 

이번에 누리랩과 시야인사이트가 공동개발한 제품은 ‘중소기업 CERT 독립 운영을 위한 클라우드형 신변종 위협 AI 분석/대응 XDR 플랫폼’으로 AWS와 온프레미스 등 자유로운 형태로 구축이 가능하다. 

중소기업에 대한 보안위협이 지속되고 있지만, 자체 보안전문 인력 운영이나 비용 투자가 어렵다. 따라서 확실하면서도 합리적인 비용으로 자체 CERT 운영이 가능하도록 클라우드형 AI 분석/대응 서비스 모델개발에 양사가 초점을 맞춘 것이다.

이를 위해 보안원천 기술을 갖고 있는 두 회사가 역량을 집결했다. △누리랩은 AI를 이용한 가상환경에서 악성코드 분석과 빅데이터 기반 악성코드 행위 분석 기술을, △시야인사이트는 AI 기반 트래픽 분석 기술을 제품에 적용했다. 

플랫폼 개요

김지훈 누리랩 센터장은 “누리랩은 미노스(MINOSS) 기술을 기반으로 에이전트 개발과 악성코드 분석 서버를 개발했다”며 “특히 암호화 패킷 분석을 위해 SSL 가시화 자동화 엔진도 개발했다. 이를 통해 의미 없는 파일을 제외하고 선별적으로 분리해 추출하기 위해 문서/압축/실행 파일에 대해서만 추출 하도록 구현했다”고 설명했다. 

이어 “중소기업의 한정된 예산으로 구축하기 용이하도록 직접 내부 서버에 설치 할 수 있을 뿐만 아니라 AWS에도 설치가 가능해, 구축 비용 절감에 유리한 쪽으로 선택 가능하다”고 설명했다. 

강홍규 시야인사이트 소장은 “시야인사이트는 자체 개발한 지능형 트래픽 모니터링 시스템 ‘시야 ALTO’ 기술을 활용해 데시보드와 AI 기반 트래픽 분석 기술을 담당했다. 데시보드 화면에서 사이버 안전분야 위기관리 표준매뉴얼에 따른 정상, 관심, 주의, 경계, 심각 수준을 한 눈에 볼 수 있도록 구성했다”고 전하고 “그리고 조직내 모든 네트워크 트래픽을 수집하고 시간별 통계학습 알고리즘을 통해 자체 학습에 의한 판단과 학습 기반의 설정된 임계치를 통해 수집데이터를 비교해 비정상 트래픽을 탐지할 수 있도록 설계했다”고 말했다. 

또 이번 제품에 적용된 악성코드 샘플 수집 및 AI학습 기술 구현을 위해서 △OSINT를 이용한 악성코드 샘플 수집과 △기존 백신을 이용한 악성코드 위치/함수 식별, △CAPA를 이용한 악성코드 함수의 의미 해석(정적 분석) △AI 애뮬레이터를 이용한 함수의 의미 해석(동적 분석) △악성코드 함수에서 OPCode 추출 후 VDCNN(Very Deep CNN) 알고리즘을 이용한 학습 △악성코드 함수의 의미, 유사도 등을 활용해 새로운 악성코드 함수에 대한 기능 유추 △다량의 변종 악성코드에 대해 Generic 한 진단 패턴을 자동으로 생성/업데이트하는 기술이 적용됐다. 

한편 클라이언트 에이전트는 파일 및 프로세스 등을 모니터링 할 수 있는 필터 드라이버 구현이 완료됐다. 더불어 정책 기반으로 필요한 행위를 정의하면 해당 행위를 모니터링 하고, 의심 파일 또는 프로세스 등에 대한 정보를 서버에 전송한다. 또 현재 다량의 문서파일 변조 행위(랜섬웨어), 문서 편집기 등의 프로세스에서 실행파일 생성, 유사 프로세스 생성(악성코드의 주요 행위) 등의 행위를 모니터링할 수 있다. 

Mitre ATT&CK에 대응한 행위가 발견되면 해당 내용과 행위 주체 프로세스에 대한 내용을 서버로 전달하고 서버로부터 전달 받은 패턴을 기반으로 악성코드의 실행을 차단하고, 차단된 로그를 서버로 전달한다. 품질 향상을 위해 오진을 최소화 하기 위한 정책 파일을 적용하고 시스템 프로세스에서 접속 혹은 오픈하는 TCP/IP 포트에 대한 모니터링 기능도 제공하는 것이 특징이다. 

이러한 양사의 핵심 기술력을 통합해 올해 3월부터 제품개발에 매진했고 그 결과 국내외 AI보안제품 가운데 우수한 성장 가능성과 기술력을 인정받게 된 것이다. 

최원혁 누리랩 대표와 임형준 시야인사이트 대표는 “각 분야 핵심역량을 갖고 있는 두 회사가 개발한 이번 제품은 기존 외산 제품보다 경쟁력이 뛰어나다. 영세한 중소기업용으로 특화된 제품이지만 대기업과 네트워크 기업에서도 관심을 보이고 있다”며 “SSL 가시화를 통한 내부망 감시와 애뮬레이터, 유사도 기반 악성코드 탐지 및 유추 그리고 OSINT, MITRE ATT&CK 등 외부 위협 정보 연계를 통해 효과적인 사이버 위협 감시가 가능하다. 이러한 클라우드형 AI 분석/대응 서비스 구축으로 소규모 기업에서도 효과적인 비용으로 자체 CERT를 운영해 보안이 튼튼한 중소기업들이 확대되길 기대한다”고 강조했다. 

박정호 누리랩 대표는 “중소기업 보안 강화를 위해 이런 제품 도입이 활성화될 수 있도록 정부에서 바우처 사업으로 지원해 주길 바란다. 또 보다 정교하게 사용자 UI 등도 개발할 필요성이 있어서 내년 고도화 과제 선정에 채택되길 희망하고 있다”고 말했다. 

◆누리랩, 차별화된 악성코드 분석 기술로 경쟁력 있는 제품 라인업 구축 계획

미노스 특장점
미노스 특장점

누리랩은 2015년 3월 설립, 디지털 포렌식과 AI·빅데이터를 활용한 악성코드 분석에서 기술력을 인정받고 있는 기업이다. 디지털 포렌식 수사도구, 안티 바이러스 백신 엔진, 리버싱 기술(악성코드 취약점 점검, 파일 무결성 검증 등)을 서비스 하고 있으며, 2020년 AI와 빅데이터 이용 악성코드 분석 플랫폼 미노스(MINOSS)를 출시해 탐지 속도와 시그니처 생성을 통한 분석 서비스에서 핵심 역량을 보유하고 있다. 

‘미노스’ 악성코드 분석 플랫폼은 악성코드 유사도 측정 기반으로 악성코드를 탐지해주는 시스템이다. 공격에 사용됐던 악성코드 데이터를 토대로 악성코드 유사도를 측정해 초당 20개 이상의 악성코드를 탐지하고 악성코드의 변종 히스토리까지 파악할 수 있다.

CDR 솔루션 '루페' 특징
CDR 솔루션 '루페' 특징

박정호 대표는 “미노스 기술을 다양한 분야에 접목하려고 시도하고 있다. 올해는 국방분야 에서 미노스의 유사도 기반 악성코드 탐지 기술에 관심을 보이고 있고 보안이 강화된 메타버스 보안 기술 개발에도 주력하고 있다. 관련해서 이미 국내 대형 쇼핑몰에 도입된 바 있다”며 “올해 매출은 21억 이상이다. R&D와 솔루션사업에 균형을 맞추기 위해 채널파트너쉽 강화에 주력하고 있으며 솔루션에서 경쟁력있는 라인업을 구축하기 위해 노력하고 있다. 특히 문서무해화솔루션(CDR) ‘루페(Lupe)’를 중심으로 이 분야에서 경쟁력 있는 기업으로 도약을 계획하고 있으며 AI, 랜섬웨어, 비대면 관련 연구개발도 집중할 것”이라고 전했다.

◆시야인사이트, AI 데이터 모니터링 기술로 OT보안과 구급수요예측 사업으로까지 확장 

시야 ALTO
시야 ALTO

시야인사이트는 2015년 1월 설립한 지능형 데이터 모니터링 전문기업으로 최근에는 AI 학습 기술을 적용한 추천 시스템과 포스트 코로나 시대에 대응하는 비대면 원격 업무시스템, 코로나 예측 시뮬레이션 등의 지능형 기술 개발을 선보이는 IT 전문기업이다.

주력제품은 △빅데이터 플랫폼 기술 ‘시야 MilkyWay’, △네트워크 트래픽 수집 기술 ‘시야 ALTO’, △지능형 예측 및 추천 기술 ‘시야 Foresight’, △정보보호 포털 업무 플랫폼 ‘시야 History’ △데이터 기반 구급재난 안전 플랫폼 ‘세이브 피플’ 등이다. 

특히 ‘시야 ALTO’는 웹서비스 네트워크 품질 및 위협을 모니터링해 관리자가 이상발생 원인을 파악할 수 있도록 서비스 네트워크 플패킷 캡쳐, 웹서비스 기준 주요 데이터 모니터링, 서비스 네트워크 상태 및 위협 시각화 기능을 제공한다.

시야인사이트 재난예측플랫폼 '세이브피플'
시야인사이트 재난예측플랫폼 '세이브피플'

임형준 대표는 “시야인사이트는 SI 개발이 주력이지만, 올해 국내 대형 반도체 제조 기업에 OT보안 관련 관제솔루션을 개발해 납품했다. 기업들이 다양한 보안솔루션을 도입해 사용하고 있지만 이를 제대로 활용하지 못하고 있다는 점에 착안해 관련 모니터링 시스템을 개발한 것이다. 이외에도 ‘세이브피플’ 플랫폼을 통해 독거노인 및 취약계층 케어와 이번 이태원 참사와 같은 밀집지역 예측 및 화재 예측 등 재난사고를 미리 예측하고 예방할 수 있는 구급수요 예측 분야에도 주력하고 있다”고 소개했다. 

누리랩과 시야인사이트는 내년 고도화 사업을 통해 ‘중소기업 CERT 독립 운영을 위한 클라우드형 신변종 위협 AI 분석/대응 XDR 플랫폼’을 본격적으로 시장에 출시할 예정이며, 원척 핵심 기술을 기반으로 한 경쟁력 있는 솔루션 라인업 구축과 파트너 확대를 통해 새로운 도약을 준비하고 있다. 

★정보보안 대표 미디어 데일리시큐!