새롭게 재설계한 서비스
[정보통신신문=박남수기자] 2014년 멀웨어닷컴(malwares.com)을 개발하고 런칭한 샌즈랩은 지난 9년의 시간동안 약 376억건의 위협 데이터를 분석하고 약 22억건의 악성코드를 사용했다.
연간 60억의 매출 또한 발생시킨 샌즈랩의 효자 서비스이자 부가 가치 창출의 핵심 요소이다. 또한 이 멀웨이닷컴을 선두에 앞세워 사이버 위협 인텔리전스(CTI) 분야 국내 선두 업체로 올해 2월 코스닥 시장까지 상장할 수 있었다.
이 뿐만 아니라 ESG 경영을 통해 샌즈랩은 보유한 데이터로 할 수 있는 최선의 사회 공헌을 수행하기도 했다. 크게 3가지로 분류할 수 있는 샌즈랩의 사회 공헌 요소는 피드(Feed) 서비스를 이용한 사이버 공격의 대량 확산 방지, 전문가 수준의 분석 정보 제공, AI 기술 개발에 필요한 대량의 데이터셋 제공 등이다.
반면 글로벌 수준은 매일 상향되고 있으며 시장이 요구하는 목소리는 점차 많아지고 있다. 시스템이 발전하는 만큼 시대의 변화와 시장의 변화도 동시에 수반되다 보니 기존 멀웨이닷컴의 한계점은 지속적으로 발생하고 시장의 변화 요구를 받아들이기 위한 개선이 필요하게 된다.
몇 년에 걸쳐 진행된 이 과정 속에서 샌즈랩은 그들이 가장 잘하는 인공지능, 빅데이터 기반 기술로 완벽히 새롭게 재설계한 ‘위협 인텔리전스’ 전문 서비스 CTX를 만들어내게 됐다. CTX는 사이버 위협(Cyber Threat)을 뜻하는 약자 CT와 변수 X를 결합해 eXpert, eXchange, conteXt 등 위협의 여러가지 변화들을 내포하는 브랜드로서 한층 업그레이드 됐다.
기존의 멀웨이닷컴은 악성코드를 분석해서 나온 정보를 바탕으로 인텔리전스를 구축했다. 여러가지 분석을 통해 추출된 정보를 기반으로 악성/정상 여부와 연관 관계 정보를 생성하여 서비스를 했다면 이제는 악성코드 중심이 아닌 공격자 중심, 즉 위협 인텔리전스 중심의 사회로 전환됐다.
공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC 정보들은 어떤 것들이 있는지 등의 종합적인 내용을 판단할 수 있어야 현재 발생하고 있는 다양한 APT 공격 등을 대응할 수 있게 하기 위해 샌즈랩은 인텔리전스 구조 자체를 새롭게 만들었다.
위협 인텔리전스 보고서의 주요 구성 요소인 공격 국가, 공격 툴, 관련 악성코드, 타겟 국가, 산업군 등의 정보는 물론 특정 공격 그룹의 배후에 있는 국가 정보부터 관련 취약점 정보 침해 지표까지 내용을 정리한 일종의 전체 내용의 컨텍스트(Context) 형태로 재구성할 수 있는 것이다. 사이버 보안 위협 자체의 맥락 구성을 통해 공격 그 이면의 다양한 정보를 활용해 대응할 수 있도록 제공되어야 하기 때문이다.
이를 바탕으로 CTX에서 사용하기 위한 데이터셋 형태의 재구성은 단순한 연결고리를 만드는 것뿐만 아니라 각각 최대한의 객관적 사실을 수반하는 지식 그래프 형태로 구성이 되도록 했다. 단순히 아이피, 도메인, 파일의 관계를 만드는 것에 그치지 않고 왜 이런 연관 관계가 만들어졌는지에 대한 내용을 파악하게 되므로 위협을 해석하고 의미 부여를 하는데 큰 도움이 되기도 하며, 추후 LLM 이나 XAI 등 다양한 사이버 보안 분야 인공지능 기술을 개발하는 기반 데이터셋이 되기도 한다.
샌즈랩의 인텔리전스를 생성하는 주요 핵심 기술 2가지, 바이너리(실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술과 문서파일(비실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술은 각각 2021, 2022년 산업통상자원부로부터 신기술을 인증을 받게 되며 재구성을 하는데 큰 역할을 수행했다.
관련 기술들은 얼마 전 런던에서 개최된 VB2023에서 잠재력을 충분히 확인했음은 물론이며 향후 발표하게 될 두바이의 AVAR 등 글로벌 컨퍼런스에서도 큰 두각을 나타낼 것으로 샌즈랩은 기대하고 있다.
인텔리전스 서비스는 가격이 높다. 단순히 안티바이러스를 구매하거나 보안 솔루션을 구매하는 것보다 정보 기반의 눈에 보이지 않지만 비싸며 활용이 쉽지 않아 시장 확장의 한계가 있었다. 그래서 샌즈랩의 CTX는 경제적인 인텔리전스를 만들어 보자라는 컨셉에서 개발 배경이 시작되었다.
보통 각 인텔리전스에서 수집하고 분석한 정보와 역량에 따라 각기 다른 해석 정보를 제공하고 있다. 이것이 현대에 들어서는 오히려 분석가들의 혼란을 야기하게 되었다. 이에 샌즈랩은 인텔리전스에서 나온 정보를 대량으로 모아 신뢰할 수 있는 영역의 데이터만 인공지능을 통해 고르는 작업으로 특정 부분에 집중 되어있다는 것을 연구로 확인하였다.
샌즈랩은 이 데이터들을 조합하였을 때 각 인텔리전스 사이트에서 제공하는 전체가 필요한게 아니라 각각의 가장 잘하는 부분의 인텔리전스의 데이터만 취합하여 제공한다면 한번에 위협을 식별하고 판단할 수 있는 경제적인 인텔리전스가 될 것이라 판단하였다.
이로서 인텔리전스의 키 정보를 입력하게 되면 내부적으로 자동 연동해 함께 크로스로 확인하고자 하는 정보를 같이 취합하고 제공하여 별도 취합 과정과 연동 과정 없이 바로 보고하고 확인할 수 있는 정보를 생성하여 제공할 수 있도록 하고 있다. 현재 바이러스토탈(VirusTotal), 에일리언볼트(Alien Vault), 크리미널아이피(Criminal IP) 등 국내외에서 많이 사용하고 있는 위협 인텔리전스들과 연동되도록 준비 중이다.
사이버 보안 분야에 차세대 인공지능 기술을 개발하기 위해서는 데이터셋이 반드시 수반되어야 한다. 좋은 데이터셋이 있어야 좋은 인공지능 모델을 개발할 수 있으나 중소기업 또는 스타트업, 대기업도 마찬가지로 초기에 이러한 데이터셋을 대량으로 확보하기는 쉽지 않다.
자체적으로 데이터셋을 구축하려면 특징을 고려한 다양한 속성값을 기반한 메타데이터를 생성할 수 있어야 하지만 관련된 노하우가 없거나 특정 메타데이터를 추출하기 위한 분석기가 없다면 쉽지 않다. 이에 샌즈랩은 그간의 노하우를 담아 수집하고 분석한 데이터들 중 양질의 데이터만 별도 선별, 인공지능에 활용할 수 있도록 제공한다.
샌즈랩이 제공하는 데이터셋은 다양한 파일 타입별로 구성되며 인공지능 뿐만 아니라 기관 및 기업 내에 BMT 용도로도 활용이 가능하다. 개인이나 기업을 특정할 수 있는 정보는 모두 비식별화 처리했으며 이 과정에서 AI 학습에 지장을 주지 않는 형태로 재처리 되 CTX 인프라 내에서 완전 자동화돼 매월 신규 샘플들로 업데이트돼 제공된다.
이러한 데이터셋 판매 형태는 사이버 보안 분야에서 국내에서 한 번도 시도되지 않았던 새로운 형태이다. 다양한 데이터셋을 보유한 샌즈랩은 데이터 그 자체가 상품이 될 수 있는 중요한 기점을 마련할 것으로 기대하고 있다.
