2024-03-29 14:50 (금)
[MPIS 2017] 차세대 AV 사일런스 “No 시그니쳐, No 샌드박스, No 행위기반”
상태바
[MPIS 2017] 차세대 AV 사일런스 “No 시그니쳐, No 샌드박스, No 행위기반”
  • 길민권 기자
  • 승인 2017.05.22 16:50
이 기사를 공유합니다

인공지능∙머신러닝 기반 ‘사일런스프로텍트’…전혀 다른 기술로 ‘차단’ 기능 제공

▲ MPIS 2017. 사일런스(CYLANCE) 한국 공인 파트너사인 PAGO Networks(파고네트웍스) 권영목 대표 ‘의료기관 엔드포인트 Un-known 랜섬웨어 방어를 위한 "인공지능 / 머신러닝" 보안 기술 및 실제 사례 소개’ 발표중
▲ MPIS 2017. 사일런스(CYLANCE) 한국 공인 파트너사인 PAGO Networks(파고네트웍스) 권영목 대표 ‘의료기관 엔드포인트 Un-known 랜섬웨어 방어를 위한 "인공지능 / 머신러닝" 보안 기술 및 실제 사례 소개’ 발표중
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2017이 지난 5월 18일 한국과학기술회관 대회의실에서 의료기관 정보보안 실무자 400여 명이 참석한 가운데 성황리에 개최됐다. 이 자리에서 사일런스(CYLANCE) 한국 공인 파트너사인 PAGO Networks(파고네트웍스) 권영목 대표는 ‘의료기관 엔드포인트 Un-known 랜섬웨어 방어를 위한 "인공지능 / 머신러닝" 보안 기술 및 실제 사례 소개’를 주제로 발표를 진행했다. 주요 발표내용은 다음과 같다.

▲ 권영목 대표 발표현장
▲ 권영목 대표 발표현장
◇진화하는 랜섬웨어

보안사고의 유형이 여전히 해킹과 멀웨어를 중심으로 진행되며, 엔드포인트를 직접 타깃팅하는 공격이 여전히 증가하는 추세를 보이고 있다. 멀웨어 중에서 랜섬웨어도 지금까지는 이메일 첨부파일, 웹접속, 취약한 App 사용, 악성링크 클릭 등의 최종 사용자 행위가 개입하는 공격이 대부분을 차지하고 있었지만, 지난 5월12일부터 발생한 워너크라이(WannaCry) 랜섬웨어 사태는 최종 사용자 개입 없이 공격이 진행됐다. 물론 Patient-Zero (최초 감염자)는 피싱메일 등의 방법으로 감염된 것으로 알려지고 있다.

권영목 대표는 워너크라이 랜섬웨어가 전세계를 두려움에 떨게 했던 이유를 아래와 같이 3가지로 요약했다.

△웜 기반 랜섬웨어 (네트워크 배포 및 SMB 취약점을 이용한 자가 확산)
△짧은 시간동안 수백개의 변종 생성
△중요 기반 서비스 셧다운(의료서비스, 철도서비스, 텔레콤서비스 등)

그는 발표현장에서, 1년 전 2016년 5월 모스크바 보안컨퍼런스 참관기를 요약하면서, “타깃 공격이 헬스케어 인프라스트럭쳐로 변경되고 있다는 점과 치명적인 피해 위험성”에 대해서 상기시켜주었다. 또 1년 뒤인 2017년 5월 현재에 워너크라이 랜섬웨어로 인한 영국 NHS(National Health Service)의 환자 치료 중단 및 환자 이송 사태를 통해서 그 위험성을 실감하고 있다는 부분을 전했다.

◇엔드포인트 보안 기술 흐름…‘차단(Prevention)’에 대한 신기술 요구↑

AV(시그니쳐)+ATP(행위기반, 안티익스플로잇, 메모리보호, 초기머신러닝, 샌드박스, 평판조회) 등의 기술로 계속 발전해 오고 있지만, 마지막 10% 영역을 커버할 차단(Prevention) 기술이 미비한 것이 사실이다. 이로 인해 공격자의 체류시간(Dwell-Time)을 최대한 단축시키고 ‘사고 대응(IR, Incident Response)’ 중심의 보안 기술이 부각되고 있다는 점도 설명했다.

하지만 여전히 시장에서는 ‘차단(Prevention)’에 대한 신기술을 요구하고 있으며, 최근 인공지능∙머신러닝을 엔드포인트 보안에 적용한 기술이 시장의 요구사항에 부응하면서 실제 적용 사례를 만들어 나가고 있다고 설명했다.

◇인공지능∙머신러닝 기반 차세대 AV(안티바이러스)의 위력

▲ 인공지능∙머신러닝 기반 차세대 AV ‘사일런스프로텍트(CylancePROTECT)’
▲ 인공지능∙머신러닝 기반 차세대 AV ‘사일런스프로텍트(CylancePROTECT)’
인공지능∙머신러닝 기술을 적용한 차세대 AV에 대해 권영목 대표는 “No 시그니쳐, No 휴리스틱, No 샌드박스, No 행위기반을 바탕으로, Good 파일 / Bad 파일에 대한 학습(머신러닝)을 시켜야 한다. 그 결과, 얼마나 많은 벡터를 추출해 내고 수학적 모델링을 잘 만들어내는 가에 따라서 지능적인 엔드포인트 보안 솔루션이 나오게 된다”고 강조했다.

이어 “인공지능∙머신러닝 기반 차세대 AV ‘사일런스프로텍트(CylancePROTECT)’는 4만개 이상의 GPU를 사용하고 15명의 데이터 과학자를 중심으로 지금까지 6백만개 이상의 벡터를 추출해내고 비교할 수 있는 기능을 제공하며 이를 바탕으로 이번에 발생한 워너크라이의 모든 변종을 방어하는데 성공했다”며 “현재 글로벌하게 오픈된 최신 인공지능 수학모델은 2017년 2월 버전으로, 2017년 5월에 발생한 워너크라이의 모든 변종을 방어했다는 것은 인공지능∙머신러닝 기반의 차세대 안티바이러스가 시그니쳐, 행위기반 또는 샌드박스 등의 방식이 아닌 전혀 다른 기술로써 차단 기술을 제공한다는 점을 증명하고 있다”고 설명했다.

▲ 인공지능∙머신러닝 기반 차세대 AV ‘사일런스프로텍트(CylancePROTECT)’
▲ 인공지능∙머신러닝 기반 차세대 AV ‘사일런스프로텍트(CylancePROTECT)’와 OPTICS.
또 권 대표는 여러 산업분야에 적용이 가능하지만 헬스케어 분야를 위한 일반 PC뿐만 아니라, 키오스크/의료기기 시스템에도 적용이 가능하다. 이미 단종된 윈도우 XP, 비스타, 윈도우 2003/2008에서도 완벽히 작동해, OS 업데이트 미비로 인한 공격에도 충분히 대응하는 기반을 마련한다고 덧붙였다.

한편 ‘사일런스프로텍트(CylancePROTECT)’는 5월 말부터는 차단된 멀웨어, 랜섬웨어가 어떤 유입경로를 통해서 들어왔고 어떤 프로세스 및 파일들을 수정했는지에 대한 사고대응(IR) 기능을 지원하는 EDR 모듈이 추가될 예정이다. 윈도우, 맥 OS X와 더불어 RedHat/CentOS 계열의 엔드포인트도 지원하게 된다.

PAGO Networks(파고네트웍스) 권영목 대표의 MPIS 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★