국내 최대 사이버위협 대응 인공지능 보안 컨퍼런스 AIS 2023이 11월 2일 한국과학기술회관 국제회의실에서 500여 명의 보안실무자들이 참석한 가운데 성황리에 개최됐다.
데일리시큐가 주최하고 한국인터넷진흥원, 한국정보보호산업협회가 후원한 이번 AIS 2023에서 샌즈랩 이현종 연구원, 케이사인 김창균 연구원은 ‘위협 인텔리전스 분석을 위한 AI 기반의 디지털 증거 강화 기술’(AI-based Digital Evidence Enhancement Technology for Threat Intelligence Analysis)을 주제로 강연을 진행했다.
이날 소개된 DBP 기술은 샌즈랩(대표 김기홍)에서 개발된 Deep Binary Profiler의 약자로, EXE와 DLL과 같은 실행 파일을 대상으로 코드 레벨에서 AI를 활용해 자동으로 위협 정보를 분석하는 기술이다. 이 기술은 위협 인텔리전스 정보를 분석하는 것이 목적이며, 코드 분석가의 수동 분석에 필요한 기술 요구사항과 문제점을 해결하기 위해 개발되었다. 강연 내용을 요약하면 다음과 같다.
DBP의 연구 계기가 무엇인지는 다음과 같은 이유들 때문이다.
첫째, 수동 분석의 한계로 인해 매일 수많은 신규 악성 코드가 생성되는데, 이를 수동으로 분석하는 것은 비현실적이다.
둘째, 악성 코드 분석을 위해 고수준 기술과 분석가의 높은 능력이 필요하며, 이로 인해 고급 인력 비용이 증가한다.
셋째, 반복적인 위협 발생으로 동일한 위협이 계속 발생하며, 이로 인해 분석의 반복이 늘어난다.
넷째, 분석의 주관성으로 분석 결과가 분석가의 능력과 경험에 의존하며, 분석 결과의 일관성과 객관성이 부족하다.
DBP는 이러한 문제를 해결하기 위해 개발되었으며, 위협을 자동으로 분석하고 객관적인 결과를 생성한다. DBP는 분석을 위해서 어셈블리 코드 간의 유사도를 측정해 두 함수가 동일한지, 유사한지, 다른지를 구분하여, 이 함수가 과거에 재사용되었는지를 분석한다.
비정형 데이터인 어셈블리 코드는 유사도 비교를 위해 적절한 수치 벡터로 표현되어야 하며, 저희는 대량의 어셈블리 코드를 학습한 AI 임베딩 모델을 사용한다. 이 모델은 어셈블리 코드의 로직을 표현할 수 있는 적절한 수치 벡터로 변환해준다.
최종적으로, 분석 대상 어셈블리 함수와 과거 악성코드에 정의된 함수를 저장한 데이터베이스와 유사도 비교를 수행함으로써, 함수 재사용 여부를 판단할 수 있다.
DBP는 어셈블리 코드의 유사도 계산을 시작으로 다음과 같은 다양한 분석 기능을 수행할 수 있다.
▲역대 동일 로직 함수의 사용 이력
▲공격 그룹/위협 유형 등에 따른 고유한 함수 식별
▲과거 분석 결과로부터 위협 인텔리전스 정보 상속
▲분석 어셈블리 코드와 분석 정보 출처를 활용한 증거 제시
▲신종/변종 함수의 구분
▲과거 악성코드로부터의 변이도 측정
DBP 분석 결과는 함수별로 다음 3종류의 분석 결과를 내줄 수 있다.
▲함수 데이터베이스에 정보가 없는 경우, 신규 함수
▲특정 공격 그룹, 위협 유형, 공격 기법과 연관된 함수
▲특정 위협 군과 크게 연관이 없는 일반적인 함수
신규 함수로 판단되는 경우 분석 전문가에게 요청되어, 수동 분석 결과를 통해 질 좋은 분석 결과를 생산하고, 함수 데이터베이스에 추가할 수 있다. 이후 변종 악성코드가 입력되었을 때, 분석 정보가 추가되었으므로, DBP에서 분석이 가능해지게 된다.
김현종 연구원은 “DBP 기술은 분석 전문가를 지원하며, 분석 작업을 덜어주고 수동 분석의 효율을 향상시킨다. 또 분석 결과는 함수 별로 분석 정보와 과거 분석 데이터를 포함하며, 이러한 정보를 종합해 공격 그룹, 공격 유형 및 공격 기법과 같은 객관적인 분석 정보를 제공한다”며 2014년 소니 픽처스 해킹 사건에 사용된 악성코드를 구체적인 예시로 들어, DBP를 활용한 분석 사례를 상세하게 소개했다.
이번 AIS 2023 샌즈랩 이현종 연구원, 케이사인 김창균 연구원의 보다 상세한 강연내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★