영국 보안솔루션 업체 소포스가 딥러닝기반 맬웨어 대응솔루션 '인터셉트X'를 들고 국내 랜섬웨어 및 맬웨어 대응솔루션 시장 공략에 나섰다.
소포스는 1985년 영국 옥스포드에 설립된 보안솔루션 회사로 2017년 회계연도 기준 매출 6억3천210만달러(약 6천754억원)를 기록한 회사다. 회사는 앞서 지난 2015년 인수한 랜섬웨어 탐지솔루션업체 '서프라이트'의 기술로 2016년 9월 엔드포인트보안제품 인터셉트X를 처음 내놨다. 이어 인터셉트X에 2017년 1월 인수한 딥러닝 맬웨어탐지기술 스타트업 '인빈시아'의 기술을 투입했다.
소포스는 31일 서울 삼성동 기자간담회를 통해 인빈시아의 딥러닝 기술로 업그레이드된 인터셉트X를 선보였다. 이 버전은 안티랜섬웨어, 익스플로잇 차단, 신원도용 방지 등 기술을 포함했다. 인터셉트X는 시스템과 네트워크에서 자격증명을 탈취하는 공격 동작을 감지, 차단한다. 타사 엔드포인트 보안제품과 함께 쓰일 수 있고, 소포스의 XG방화벽과 함께 쓰이면 더 강화된 보호 기능을 지원한다.
소포스가 이런 딥러닝 기술을 품은 인터셉트X의 핵심으로 꼽는 요소는 '예측적 보호'다. 소포스가 말하는 예측적 보호는 실제 사용자 환경에서 익스플로잇 동작과 맬웨어 감염이 발생하기 전에, 이를 위한 악성활동을 미리 탐지하고 선제적으로 차단한다는 개념이다. 이런 선제적인 차단 동작을 수행하기 위해 소포스는 30년간 축적된 위협분석 데이터와 인빈시아의 딥러닝 기술 노하우를 활용했다고 강조했다.
수밋 밴잘 소포스 아시아 및 한국총괄이사는 "인터셉트X의 딥러닝 신경망은 관찰된 행동과 맬웨어간 상관관계를 생성하도록 고안됐다"며 "이 상관관계는 알려진 맬웨어와 (그간 알려지지 않았던) 제로데이 맬웨어 탐지율을 모두 높여 준다"고 말했다.
또 "이 신경망 모델은 쉽게 확장할 수 있고 더 많은 데이터를 입력받을수록 개선돼, 성능저하 없이 적극적인 탐지를 지원한다"며 "기존 머신러닝 모델은 위협분석가가 모델을 학습시키는 속성을 선택하는데 의존하고 데이터를 많이 추가할수록 복잡하며 번거롭게 되고 느려지기도 하는데다 오탐지율을 높여 IT생산성을 낮추기도 한다"고 지적했다.
소포스는 딥러닝 기술을 품은 인터셉트X의 주요 특징으로 딥러닝 맬웨어탐지, 능동적 위협완화, 강화된 공격방지기법, 향상된 애플리케이션 록다운 등을 제시했다.
인터셉트X의 딥러닝 맬웨어탐지 모델은 20MB 미만으로 적은 빈도의 업데이트 주기를 갖고 있다. 시그니처 정보에 의존하지 않고 알려진 맬웨어와 알려지지 않은 맬웨어, 잠재적으로 원치 않는 애플리케이션이 실행되기 전에 이를 탐지한다.
능동적 위협완화 기능은 3가지다. 첫째로 메모리, 레지스트리, 스토리지 영역에서 인증암호 및 해시정보 등 자격증명 탈취를 방지한다. 둘째로 다른 애플리케이션에 배포된 코드를 감지해 바이러스 감염을 막기 위해 문제의 코드를 직접 수정하지 않고 다른 패치 코드를 구동시키는 '코드케이브'를 사용한다. 셋째로, 이터널블루, 더블펄서 등 워너크라이와 낫페트야 랜섬웨어를 퍼뜨릴 때 사용된 '애플리케이션 프로시저 콜(APC)' 남용 동작으로부터 시스템을 보호한다.
강화된 공격방지기법은 2가지다. 첫째로 공격표적이 되는 프로세스가 실행중일 때 맬웨어 코드를 직접 흘려넣는 '원격 리플렉티브 DLL인젝션'을 감지한다. 둘째로 권한이 낮은 프로세스가 시스템에 접근하기 위해 시도하는 권한 상승을 방지한다.
애플리케이션 록다운 기법은 2가지다. 첫째로 브라우저에서 파워셸 악용 시도를 방지하는 기본 행동 록다운을 수행한다. 둘째로 브라우저에서 불러낸 HTML 애플리케이션에도 브라우저와 마찬가지로 록다운 기능을 적용한다.
밴잘 이사는 "소포스랩 연구원들은 매일 변종 맬웨어 40만건을 확인하고 있는데 전통적인 안티바이러스 기술로 각각을 탐지하기 위해 새로운 시그니처를 만들어내는건 불가능하다"며 "딥러닝으로 맬웨어가 시스템에 들어오기도 전에 예측해서 차단하는 차세대 기술이 필요하다"고 강조했다.
이어 "다만 모든 걸(탐지와 방어를) 기계가 전담하지는 못하기 때문에, 기계와 사람이 함께 노력해야 한다"며 "우리는 '소포스랩' 연구와 데이터과학을 결합해 인터셉트X 엔진을 계속 개선하도록 학습시키고 차세대 보안기술을 만들기 위해 노력하고 있다"고 덧붙였다.
관련기사
- 다우데이타, 소포스와 국내 총판 계약 체결2018.01.31
- "유출·탈취 예방"…애저 데이터 보호 신기능 나왔다2018.01.31
- "10년도 더 된 윈도커널 버그, 보안 탐지 무력화"2018.01.31
- 위키리크스, 美CIA 리눅스서버 감청 해킹툴 폭로2018.01.31
소포스는 과거 네트워크보안 공급 위주였던 국내 시장에 인터셉트X를 통한 엔드포인트 사업자로서의 입지도 확보하려는 모양새다. 이날 간담회 현장에선 김봉근 한국지사장이 참석해 자신과 채널매니저, 프리세일즈 담당자를 포함한 한국지사 오피스를 마련했다는 소식과 파트너 현황 등을 설명하기도 했다. 한국지사는 아직 정식 법인으로 설립되지 않았다.
김 지사장은 "제품 현지화를 하려다보니 한국 시장 진출이 늦어졌는데 이제 인터셉트X를 완전 한국어 환경에서 사용할 수 있게 됐고, 향후 자체 고객지원도 계획하고 있다"며 "다만 현재 지원은 언어 문제를 고려해 한국에선 디스트리뷰터(총판)를 통해 지원하는 단계로, 700개 파트너를 두고 있는 다우데이타를 포함해 각자 전문성이 상이한 3곳을 총판으로 두고 100% 채널파트너를 통해 일할 것"이라고 설명했다.
