시만텍은 인공지능을 적용해 고난도 표적공격을 분석하는 기술 ‘표적공격 애널리틱스(TAA)’를 26일 발표했다.
TAA는 시만텍 표적공격 전문 분석팀이 역대 주요 사이버 공격 분석 시 사용한 강력한 위협 탐지 기술과 머신러닝을 결합하고, 사이버 공격 그룹의 공격기법을 집중적으로 학습시켜 탁월한 대응력을 제공한다.
보안 시스템에서 생성되는 수많은 보안경고 가운데 표적공격은 종종 신속하게 탐지되지 못하고 그 사이 공격자들은 시스템에 접근해 중요한 데이터를 확보할 수 있는 시간을 벌게 된다. 이에 따라 최근 보안 업계는 인텔리전스를 기반으로 침입 공격에 대한 가시성을 확보하고 더 나아가 알려지지 않은 보안 위협까지 탐지하고 식별할 수 있는 엔드포인트 탐지 및 대응(EDR) 분야에 주력하고 있다.
시만텍 ATP 솔루션에서 제공하는 시만텍 TAA는 사이버 공격 그룹의 공격기법에 특화돼 EDR의 탐지와 대응 능력을 획기적으로 향상시킨다. ATP 솔루션을 사용하고 있는 기업은 별도의 추가 구입 없이 시만텍 TAA 기술을 이용할 수 있다.
표적공격 분석 전문성·머신러닝 기술 결합
기존의 APT 공격 탐지는 EDR에서 파일의 해시값, 악성코드 유포 도메인, 레지스트리 값, 프로세스 이름 등 다양한 침해지표(IOC) 정보를 통해 기업 내부의 침해사실을 파악할 수 있었다.
TAA는 IOC 기반의 공격 탐지는 물론, 공격자들이 사용하는 침투 방법, 측면 이동 시 사용하는 명령어 등 시만텍 표적공격 전문 분석팀이 수년간 다수의 공격 그룹을 추적해 확보한 인텔리전스 정보를 머신러닝과 결합해 자동으로 해당 공격 그룹의 공격을 탐지할 수 있다.
TAA는 스턱스넷(Stuxnet), 레긴(Regin), 라자루스(Lazarus)를 발견하고, 스위프트(SWIFT) 공격과 워너크라이(WannaCry) 공격 사이의 연관성을 밝혀낸 시만텍 표적공격 전문 분석 팀과 최첨단 머신러닝을 연구하는 시만텍 보안 데이터 과학자 팀이 협력해 이뤄낸 결과물이다.
보안 전문가들의 프로세스, 지식과 역량을 인공지능으로 집약한 TAA는 표적공격 활동을 식별하고, 우선적으로 대응해야 하는 공격을 알려주는 침해 사고 리포트를 제공한다. 이에 따라 기업은 오탐지 분류에 많은 시간과 리소스를 들이지 않고 실제 대응이 필요한 공격을 정확하게 알 수 있다.
클라우드 기반 자동화된 탐지 제공
TAA는 세계 최대 수준의 보안 위협 빅데이터를 구축하고 있는 시만텍 고객의 시스템 데이터와 네트워크 텔레메트리 데이터를 포함해 광범위한 데이터를 머신러닝 기술로 분석한다. 또한 클라우드 기반 기술로, 제품 업데이트를 할 필요 없이 수시로 분석 재학습과 업데이트를 제공해 새로운 공격 방법에 적응할 수 있도록 한다. 이와 같이 표적위협 탐지 기능을 자동화함으로써 타 솔루션에서 탐지가 어려운 정교한 공격까지 식별해 낼 수 있다.
TAA는 수십여 개의 에너지 기업을 겨냥해 운영 네트워크 접근을 목표로 대규모 공격을 감행했던 드래곤플라이 2.0을 발견했을 때 시만텍이 사용한 동일한 툴셋을 기반 기술로 하고 있다. 시만텍 TAA는 내부 개발 기간 동안 1400개 이상의 기업에서 보안 침해 사고를 식별함으로써 공격 탐지의 정확성과 우수성을 입증했다.
윤광택 시만텍코리아 CTO는 “글로벌 인텔리전스 네트워크(GIN)를 기반으로 방대한 위협 인텔리전스를 구축해온 시만텍은 여기에서 한발 나아가 오랜 기간 사이버 공격그룹의 분석을 통해 확보한 공격그룹 고유의 특징과 속성 정보를 머신러닝과 결합해 표적공격에 특화된 시만텍 TAA 기술을 선보이게 되었다”며, “이제 일반 기업에서도 시만텍 전문 분석팀의 고난도 표적공격 분석 기술을 솔루션으로 이용할 수 있게 돼 보다 효과적으로 표적공격에 대응할 수 있을 것으로 기대한다”고 말했다.
