[데이터넷] 다크트레이스가 공격경로를 미리 예측하고 선제 방어하는 ‘프리벤트(Prevent)’ 제품군 출시를 예고했다. 다크트레이스는 AI를 이용해 네트워크, 엔드포인트, 클라우드, OT/ICS에서 발생하는 이상행위를 분석·탐지해 대응하게 하는 플랫폼을 제공하고 있으며, 프리벤트 제품군까지 출시하면 위협에 대한 선제대응부터 침투시도 및 침투 후 확장 시도까지 빠르게 탐지·대응하는 엔드 투 엔드 위협 방어를 가능케 한다.

김기태 다크트레이스 코리아 사장은 “다크트레이스의 프리벤트는 AI 기술을 통해 핵심 자산으로 이어지는 경로를 식별, 지능적인 선제방어가 가능하도록 도와준다. 이 제품을 제조, 대기업, 금융, 통신, 운영기술(OT) 등 보호가 필요한 모든 산업군에 공급할 것”이라며 “다크트레이스는 자율 대응 사이버 보안 분야에서 가장 인정받는 보안 업체의 위상을 공고히 할 것”이라고 밝혔다.

자가학습 AI로 모든 사이버 위협 대응

사람과 면역체계와 같이 정상 상태를 학습하고 비정상 상태에 대해 경고를 내리는 면역 시스템(Immune System)을 기본으로한다. 자가 학습(Self-Learing) AI’를 이용해 모든 범위의 사이버 위협을 예방, 탐지, 대응, 복구할 수 있게 해 보안 생태계를 강화한다.

하반기 출시 예정인 프리벤트는 새롭게 연구하고 있는 선제 방어 기술 기반 위협 경로 모델링을 채택한다. 사전 예방적 위험 감소 전략을 적용한 공격 경로 모델링은 보안팀이 위협을 평가하고 취약성을 식별하며, 주요 자산을 보호할 수 있는 예방적 대응 조치를 취할 수 있게 한다. AI를 사용해 주요 자산으로 이어지는 경로를 식별하고 보안을 강화해 공격자가 접근하기 어렵게 한다.

다크트레이스의 예방적 보안 AI 기술은 얼리어댑터 고객을 대상으로 테스트하고 있으며, 공격 경로 모델링을 통한 초기 연구와 개발을 통해 AI를 배치할 영역을 판단하는 방식으로 예방 보안을 구현한다.

지속적 업데이트로 보안·사용 편의성 강화

이미 다크트레이스는 로그4j 취약점이 알려지기 시작했을 때 선제적으로 탐지하고 대응한 사례가 있다. 다크트레이스는 기존에 연결된 적이 없던 IP주소로부터 DMZ서버로의 비정상적인 통신 시도와 HTTPS 연결을 탐지했다. 아웃바운드 연결이 발생하고, 어떤 포트와 사용자 에이전트가 사용되었는지를 분석하고 비정상적인 활동이라고 평가했다. 이후 90분안에 한번도 접속한적 없던 생소한 IP주소에서 의심스러운 스트립트가 다운로드되는 것을 탐지하고 대응했다.

다크트레이스 엔터프라이즈 면역시스템(EIS)과 자율대응 솔루션 ‘안티제나(Antigena)’를 사용한 고객은 로그4j 취약점을 이용해 침투한 공격을 빠르게 인지하고 필요한 조치를 취해 피해로 이어지기 전에 차단할 수 있었다.

EIS는 비지도학습 기반 머신러닝 기술을 이용해 비정상행위를 탐지하는 솔루션으로, 클라우드, SaaS 애플리케이션, IoT 디바이스, 엔드포인트, OT/ICS 전반에서 위협을 찾아낸다. M365, 주, 슬랙 등 다양한 SaaS와 클라우드 전체의 가시성을 제공하며, SIEM·SOAR 등 각종 보안 툴과 통합된다.

다크트레이스는 최근 EIS 5.2 버전을 출시하면서 위협 시각화와 SaaS 콘솔 비주얼 업데이트를 실시하고, 사용자 경험과 워크플로우 중심 테마를 강화했다. AI 분석 인시던트 전체에 ‘크리티컬’, ‘의심스러운’, ‘컴플라이언스’, ‘일반’ 등 신규 동작 카테고리를 추가했다.

AI 분석 업데이트로 이벤트를 지능적으로 그룹화하여, 지속적이고 확장이 용이한 인시던트를 만들고 조사할 수 있게 했다. 복잡한 이슈가 진행되는 동안 발전하는 추이에 맞춰 라이프사이클 내에 포함시킨다. AI 애널리스트 위협 트레이 필터에서 토글을 활성화하면 버전 5.2 이전의 인시던트에도 액세스가 가능하다.

워크플로우와 사용성도 대거 업데이트시켰다. 권한 제안, 동작 범주 및 특정 랜딩 페이지를 포함하는 템플릿을 사용해 새 사용자 및 그룹을 생성할 수 있다. 모델 편집기를 통해 다크트레이스 코어 모델 대비 MITRE 모델 매핑을 표시할 수 있다. 로그의 외부 도메인 및 IP 주소를 WHOIS로 피벗할 수 있도록 간편한 통합을 지원한다. 이그제큐티브 위협 보고서(Executive Threat Reports) 및 사이버 AI 인사이트 보고서를 정기적으로 자동으로 생성하고, 설정된 수신자에게 예약 전송이 가능하다.

“지난해 하반기 52% 성장”

다크트레이스는 공격 표면 관리 도구 및 서비스 제공업체인 사이버스프린트(Cybersprint)를 인수하고 사이버 위협 예방 기능 강화에 나섰다. 사이버스프린트는 웹 도메인을 포함한 인터넷, 새로운 클라우드 인스턴스, 기업의 소셜 미디어 등 비즈니스가 운영되는 상황에 대해 외부에서 연속적인 실시간 모델링을 자동화한다.

다크트레이스는 고급 분석가 역량을 학습한 '사이버 AI 분석가(Cyber AI Analyst)', 면역 시스템에서 포착한 이상징후를 바탕으로 자동 대응 기능을 제공하는 ‘안티제나(Antigena)'를 하나의 플랫폼에서 제공한다. 또한 스피어피싱 차단을 위한 ‘안티제나 이메일’, OT 보호를 위한 ‘산업용 면역 시스템(IIS’)’ 등도 제공한다.

제시 폰(Jasie Fon) 다크트레이스 아시아 영업 총괄 부사장은 “다크트레이스는 업계 최초로 사이버 보안에 AI를 도입한 기업으로, 시그니처 기반 보안 시스템이 놓치는 사이버 위협을 탐지한다. 이는 내부자 공격에서 정부 주도 스파이 활동 등에 이르는 다양한 위협을 초기 단계에 식별할 수 있는 매우 강력한 기술로 평가받고 있다”고 강조했다.

그는 “다크트레이스는 지난해 반기 매출 성장률 52.3%를 기록했으며, 지난해 4월 런던증권거래소 상장 후 48%의 R&D팀, 100% 개발팀 성장을 이어가고 있다. 다크트레이스는 고객의 피드백을 반영하여 R&D를 진행하여 최적의 지원에 나서고 있다”고 설명했다.

김선애 기자 다른기사 보기