지난해 침입 탐지 및 대응 전략이 부상하면서 가장 주목을 받은 기업 중 하나가 다크트레이스다. ‘엔터프라이즈 면역 시스템’이라는 독특한 솔루션을 제공하는 다크트레이스는 머신러닝 기술과 베이시안 고급수학이론을 접목한 기술을 이용해 IT 시스템이 건강한 상태를 스스로 학습하고 이상한 공격을 탐지해 전 세계의 주목을 받았다.
9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 는 다크트레이스의 가장 강력한 차별점이 상세하게 소개됐다. 다크트레이스 솔루션 아키텍처는 사용자와 디바이스, 네트워크 행위를 학습하고 추론하며 시각화한다. 실시간으로 전체 트래픽을 수집하고, 비지도 기반 수학적 탐지 기술을 제공하며, 위협을 시각화하고 다른 보안 시스템과 연동해 보안 대응 능력을 높인다.
김형우 다크트레이스 코리아 수석 컨설턴트는 ‘인공지능 기반의 사이버 보안 기술 트렌드’ 주제의 발표를 통해 기존 침입 탐지 시스템의 한계로 ▲감염된 후 효용성이 없다는 점 ▲시그니처 기반 탐지로 새로운 위협을 탐지할 수 없다는 점 ▲너무 많은 알람을 발생시킨다는 점 ▲공개서버의 공격 탐지가 어렵다는 점 등을 지적했다.
김형우 수석은 “제로데이 공격은 90%의 성공률을 보이고 있으며, 기존 시스템으로는 탐지가 거의 불가능하다. 사람의 심리를 이용하는 사기성 공격인 스팸의 경우, 70% 이상이 수동으로 공유돼 IT 기술로는 탐지할 수 없다”고 설명했다.
내부위협의 경우, 보안 시스템이 찾아내기 어려운 기술 중 하나로, 관리자 권한이 부여된 사용자의 보안 위반 행위나 관리자 계정을 탈취한 공격자의 이상행위는 탐지가 쉽지 않다. 이외에도 사물인터넷, ICS/SCADA와 같은 기반시설 공격, 홈리스 관리 정보 시스템(HMIS) 공격 등이 새로운 위협으로 등장하고 있다.
인공지능 활용해 지능화된 공격 차단
김 수석은 인공지능과 머신러닝을 사이버 도구로 활용해 이와 같은 지능화된 공격을 차단할 수 있다고 강조했다. 기술의 변환기를 맞은 현재, 비지도학습 기반 머신러닝 엔진은 사람의 개입을 최소화하고 시그니처·룰 기반 대응의 한계를 해결할 수 있다.
이러한 시스템은 과거 정보를 학습해 판단에 필요한 인사이트를 제시하고, 실시간으로 위협을 분석하며, 새롭게 학습되는 정보를 통해 스스로 개선해나간다. 즉 정상 행위 자동 학습을 통해 비정상 행위를 탐지하는 것이다.
다크트레이스의 ‘엔터프라이즈면역시스템’은 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습을 지원한다. 위협에 대한 개별요소의 종합적인 연관 상태를 분석하고 학습해 정상상태와 비정상적인 상태를 식별한다. 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별한다.
시스템은 네트워크의 정상적인 상태를 학습해 위협에 민감하게 반응하고 대응할 수 있는 보안 ‘면역체계’를 강화할 수 있다. 더불어 써드파티 연계를 통한 인공지능형 관제 시스템을 구축할 수 있다.
김 수석은 “다크트레이스 머신러닝을 이용하면 정형화되지 않은 보안위협을 발견하고, 경계보안과 샌드박스에서 찾지 못하는 새로운 위협을 발견할 수 있다”며 “인공지능 기반 포렌식 기술로 이상행위 탐지 전후 플레이백과 3D 시각화를 통해 관리 용이성을 한층 높일 수 있다”고 설명했다.
