2017.04.25

AI가 악성코드 탐지··· 효과는?

Linda Musthaler | CIO
보안 연구원이 인터넷에서 돌아다니는 악성코드 소프트웨어를 매일 확인하고 식별하지만, 이들의 노력은 역부족이다. 현재 악성코드를 탐지하는 가장 효과적인 방법은 인공지능을 사용하는 것으로 알려졌다. 



악성 파일 서명을 찾아 악성코드(Malware)를 감지한다는 개념은 무용지물이 됐다. 인용하는 소스에 따라 매일 30만 개에서 100만 개의 새로운 악성코드 파일이 확인되고 있다.

카스퍼스키랩(Kaspersky Lab)은 매일 32만 3,000개의 파일을 발견하고, AV-테스트(AV-TEST)는 매일 39만 개 이상의 새로운 악성 프로그램을 발견하며, 시만텍은 하루에 약 100만 개의 새로운 위협을 발견한다고 각각 밝혔다. 그 수야 어찌 됐든 매일 엄청나게 많은 수의 악성 소프트웨어가 확산되고 있다.

이런 ‘새’ 파일 대부분은 사실 서로의 클론이며 단지 하나의 특성만 다를 수 있다. 모든 디지털 파일은 저마다 서명이 다르기 때문에 두 개의 동일한 파일이 하나의 특성만 달라도 다른 서명을 갖게 된다.

악성코드 연구원들은 악성 파일을 찾기 위해 인터넷을 계속 뒤지고 있다. 그들은 허니팟(Honeypot)과 기타 기법을 이용해 파일을 끌어들인다. 그들이 새로운 샘플을 발견하게 되면 MD5 그리고/또는 SHA256 해시(Hash)를 연산하여 서명 데이터베이스에 추가한다. 엔드포인트 컴퓨터에 설치되는 AV(Anti-Virus) 및 AM(Anti-Malware) 제품은 엔드포인트의 모든 파일의 해시를 서명 데이터베이스의 해시와 비교한다. 일치하는 부분이 있으면 AV/AM 소프트웨어는 악성 파일에 대한 경보를 생성한다.

몇 년 전부터 제작되는 악성코드의 양이 기하급수적으로 증가하면서 이 프로세스의 효과가 떨어졌다. 이제 실질적으로 그 어느 연구팀도 악성코드 변종의 양을 따라가고 악성코드를 실시간으로 감지하는 데필요한 해시를 생성하고 배포할 수 없다. 게다가 서명에만 의존하는 AV/AM 제품의 효과가 급격하게 떨어지고 있다.

다행히 인공지능(AI)을 이용해 서명이 아니라 특성에 따라 악성 파일을 식별하는 악성코드 감지가 대안으로 떠오르고 있다. AI에 기초한 제품은 모든 변종에서 악성코드를 감지하는 데 효과적이며 신속하게 긍정 오류가 거의 없다고 한다.

스파크코그니션(SparkCognition)은 오스틴(Austin)에 있는 AI기업으로 악성코드 감지 시장의 새로운 도전자다. DAE(DeepArmor Enterprise)는 머신러닝 기반 악성코드 감지 엔진이다. 스파크코그니션은 자사의 알고리즘을 수십만 개의 클린(Clean) 파일 및 악성 파일에 대해 훈련시켜 양성 파일과 악성 파일의 특성을 학습하도록 했다. 특성은 이런 파일의 실제 의도를 나타낸다. 시스템이 새 파일을 읽으며 이런 특성을 읽고 판단하며 파일이 악성인지 아닌지에 대한 신뢰성 점수를 제공할 수 있다.

스파크코그니션은 자사의 악성코드 감지 엔진의 특성을 정의하지 않았으며, 이는 서명을 제공하는 것과 진배없을 것이다. 대신에 머신러닝 모델은 파일당 수천 개 이상의 특성을 조사하는 알고리즘들의 집합으로써 파일을 악성 또는 양성으로 분류하는 방법을 학습한다.

DAE는 엔드포인트 보안 제품이다. 엔드포인트에서 위협을 멈추기 위해 두 가지 방법으로 작동하는 커널(Kernel) 수준의 드라이버를 이용한다. 일단, 시스템에서 모든 새 파일 활동을 모니터링하고 모든 새로운 실행 가능한 파일을 스캔하여 악성인지 아닌지를 판단한다. 그러고 나서 클라우드에 기초한 머신러닝 모델을 통해 실행하기 위해 1밀리초 동안 파일 실행을 멈추고 악성인지 아닌지에 대한 판정을 제공한다. 파일이 악성인 경우 딥아머(DeepArmor)는 실행을 멈추고 파일을 차단할 뿐 아니라 자동으로 격리할 수 있다. 따라서 딥아머는 단순한 경보가 아니라 진정한 보호를 제공한다.

DAE는 윈도우 시스템에서 작고 유명하지 않은 엔드포인트 에이전트를 이용해 파일 활동을 모니터링하고 새 파일을 프리징(Freezing)하여 확인이 가능하도록 한다. 감지 엔진은 클라우드에 기초하고 있기 때문에 엔드포인트 에이전트가 이전에 보지 못했던 어느 파일이나 클라우드 기반 위협 감지 엔진으로 전송하여 스캔하고 악성인지 아닌지에 대한 예측을 제공할 수 있다.

커널 수준의 드라이버는 윈도우가 실행될 때 실행되는 초기 드라이버 중 하나이기 때문에 시작 시퀀스 내에서 다른 애플리케이션들이 시작되기 전에 실행된다. 이 때문에 딥아머 보호가 실행되기 전에 해커가 무엇인가를 실행하기가 어렵다. 일단 딥아머가 실행 중이면 시스템의 모든 실행 활동을 모니터링한다.

DAE의 윈도우 버전 외에 안드로이드 버전도 있으며 해당 기업은 추후 리눅스 버전도 제공할 것이라고 밝혔다. 스파크코그니션은 클라이언트, 서버, 모바일 장치, IoT 기기를 위한 통일된 보호를 제공하는 것이 목표라고 밝혔다. 해당 업체는 고객들이 일련의 엔드포인트를 보호하기 위해 복수의 솔루션을 사용하고 싶은 생각이 없다는 사실을 알고 있다.

스파크코그니션은 IoT 장치를 위한 다방향 전략이 있다. 현재의 윈도우 버전은 윈도우 10 IoT 코어(IoT Core)에 기초하여 장치를 보호할 수 있다. 엔드포인트 에이전트는 헤드리스(Headless) 모드로 작동할 수 있으며 사용자 환경이 없이 개발되었기 때문에 에이전트가 매우 작다. POS(Point Of Sale) 및 저전력 SOC(System On Chip) 회로를 가진 기타 유형의 장치를 위한 것이다. 딥아머는 이런 것들에 대한 오버헤드(Overhead) 없이 이런 장치를 보호할 수 있다.

안드로이드 버전에는 안드로이드 씽즈(Android Things)가 포함돼 있기 때문에 스파크코그니션은 딥아머를 설정하여 안드로이드 또는 안드로이드 씽즈로 구동하는 어느 IoT 장치나 보호할 수 있다고 밝혔다. 윈도우와 안드로이드 외에 여러 IoT 장치의 근간이 되는 리눅스에도 적용될 것이다. 딥아머의 모든 IoT 버전은 장치 내에서 헤드리스로 작동한다.

스파크코그니션과 다른 AI 기반 악성코드 감지 시스템의 차이점은 머신러닝 모델을 엔드포인트에 적용하지 않는다는 점이다. 머신러닝 처리는 클라우드 내에서 이루어지기 때문에 이 솔루션은 IoT 보호에 적합하다.

딥아머의 효과에 대해 스파크코그니션은 자사의 모델들이 악성코드에 대해 99% 효과적이며 긍정 오류율이 1% 미만이라고 밝혔다. 위협 감지 엔진은 새로운 위협에 지속해서 적응하면서 학습하고 있다. 이 업체는 자시의 시스템을 계속해서 시험하고 새로운 클린 파일 또는 악성코드에 대한 새로운 접근방식이 있는 경우 교육 세트를 업그레이드한다.

스파크코그니션이 이 제품을 시장에 제공하는 두 번째 방법은 소프트웨어 개발자의 키트와 스파크코그니션의 클라우드 기반 위협 감지 엔진이 포함된 마이크로 서비스를 통한 방법이다. 이 버전의 제품을 통해 다른 보안 업체들은 스파크코그니션의 머신러닝 기술을 자사의 보안 스택(Stack)에 통합할 수 있다.

*Linda Musthaler는 정보 기술의 실제적인 가치와 개별 노동자와 기업의 생산성 향상 방안을 연구하는 에센셜 솔루션(Essential Solutions)의 수석 애널리스트이다. 에센셜 솔루션은 컴퓨터 업계와 기업 고객이 IT의 잠재성을 규정하고 실현하는데 도움을 주는 컨설팅 서비스를 제공한다. ciokr@idg.co.kr



2017.04.25

AI가 악성코드 탐지··· 효과는?

Linda Musthaler | CIO
보안 연구원이 인터넷에서 돌아다니는 악성코드 소프트웨어를 매일 확인하고 식별하지만, 이들의 노력은 역부족이다. 현재 악성코드를 탐지하는 가장 효과적인 방법은 인공지능을 사용하는 것으로 알려졌다. 



악성 파일 서명을 찾아 악성코드(Malware)를 감지한다는 개념은 무용지물이 됐다. 인용하는 소스에 따라 매일 30만 개에서 100만 개의 새로운 악성코드 파일이 확인되고 있다.

카스퍼스키랩(Kaspersky Lab)은 매일 32만 3,000개의 파일을 발견하고, AV-테스트(AV-TEST)는 매일 39만 개 이상의 새로운 악성 프로그램을 발견하며, 시만텍은 하루에 약 100만 개의 새로운 위협을 발견한다고 각각 밝혔다. 그 수야 어찌 됐든 매일 엄청나게 많은 수의 악성 소프트웨어가 확산되고 있다.

이런 ‘새’ 파일 대부분은 사실 서로의 클론이며 단지 하나의 특성만 다를 수 있다. 모든 디지털 파일은 저마다 서명이 다르기 때문에 두 개의 동일한 파일이 하나의 특성만 달라도 다른 서명을 갖게 된다.

악성코드 연구원들은 악성 파일을 찾기 위해 인터넷을 계속 뒤지고 있다. 그들은 허니팟(Honeypot)과 기타 기법을 이용해 파일을 끌어들인다. 그들이 새로운 샘플을 발견하게 되면 MD5 그리고/또는 SHA256 해시(Hash)를 연산하여 서명 데이터베이스에 추가한다. 엔드포인트 컴퓨터에 설치되는 AV(Anti-Virus) 및 AM(Anti-Malware) 제품은 엔드포인트의 모든 파일의 해시를 서명 데이터베이스의 해시와 비교한다. 일치하는 부분이 있으면 AV/AM 소프트웨어는 악성 파일에 대한 경보를 생성한다.

몇 년 전부터 제작되는 악성코드의 양이 기하급수적으로 증가하면서 이 프로세스의 효과가 떨어졌다. 이제 실질적으로 그 어느 연구팀도 악성코드 변종의 양을 따라가고 악성코드를 실시간으로 감지하는 데필요한 해시를 생성하고 배포할 수 없다. 게다가 서명에만 의존하는 AV/AM 제품의 효과가 급격하게 떨어지고 있다.

다행히 인공지능(AI)을 이용해 서명이 아니라 특성에 따라 악성 파일을 식별하는 악성코드 감지가 대안으로 떠오르고 있다. AI에 기초한 제품은 모든 변종에서 악성코드를 감지하는 데 효과적이며 신속하게 긍정 오류가 거의 없다고 한다.

스파크코그니션(SparkCognition)은 오스틴(Austin)에 있는 AI기업으로 악성코드 감지 시장의 새로운 도전자다. DAE(DeepArmor Enterprise)는 머신러닝 기반 악성코드 감지 엔진이다. 스파크코그니션은 자사의 알고리즘을 수십만 개의 클린(Clean) 파일 및 악성 파일에 대해 훈련시켜 양성 파일과 악성 파일의 특성을 학습하도록 했다. 특성은 이런 파일의 실제 의도를 나타낸다. 시스템이 새 파일을 읽으며 이런 특성을 읽고 판단하며 파일이 악성인지 아닌지에 대한 신뢰성 점수를 제공할 수 있다.

스파크코그니션은 자사의 악성코드 감지 엔진의 특성을 정의하지 않았으며, 이는 서명을 제공하는 것과 진배없을 것이다. 대신에 머신러닝 모델은 파일당 수천 개 이상의 특성을 조사하는 알고리즘들의 집합으로써 파일을 악성 또는 양성으로 분류하는 방법을 학습한다.

DAE는 엔드포인트 보안 제품이다. 엔드포인트에서 위협을 멈추기 위해 두 가지 방법으로 작동하는 커널(Kernel) 수준의 드라이버를 이용한다. 일단, 시스템에서 모든 새 파일 활동을 모니터링하고 모든 새로운 실행 가능한 파일을 스캔하여 악성인지 아닌지를 판단한다. 그러고 나서 클라우드에 기초한 머신러닝 모델을 통해 실행하기 위해 1밀리초 동안 파일 실행을 멈추고 악성인지 아닌지에 대한 판정을 제공한다. 파일이 악성인 경우 딥아머(DeepArmor)는 실행을 멈추고 파일을 차단할 뿐 아니라 자동으로 격리할 수 있다. 따라서 딥아머는 단순한 경보가 아니라 진정한 보호를 제공한다.

DAE는 윈도우 시스템에서 작고 유명하지 않은 엔드포인트 에이전트를 이용해 파일 활동을 모니터링하고 새 파일을 프리징(Freezing)하여 확인이 가능하도록 한다. 감지 엔진은 클라우드에 기초하고 있기 때문에 엔드포인트 에이전트가 이전에 보지 못했던 어느 파일이나 클라우드 기반 위협 감지 엔진으로 전송하여 스캔하고 악성인지 아닌지에 대한 예측을 제공할 수 있다.

커널 수준의 드라이버는 윈도우가 실행될 때 실행되는 초기 드라이버 중 하나이기 때문에 시작 시퀀스 내에서 다른 애플리케이션들이 시작되기 전에 실행된다. 이 때문에 딥아머 보호가 실행되기 전에 해커가 무엇인가를 실행하기가 어렵다. 일단 딥아머가 실행 중이면 시스템의 모든 실행 활동을 모니터링한다.

DAE의 윈도우 버전 외에 안드로이드 버전도 있으며 해당 기업은 추후 리눅스 버전도 제공할 것이라고 밝혔다. 스파크코그니션은 클라이언트, 서버, 모바일 장치, IoT 기기를 위한 통일된 보호를 제공하는 것이 목표라고 밝혔다. 해당 업체는 고객들이 일련의 엔드포인트를 보호하기 위해 복수의 솔루션을 사용하고 싶은 생각이 없다는 사실을 알고 있다.

스파크코그니션은 IoT 장치를 위한 다방향 전략이 있다. 현재의 윈도우 버전은 윈도우 10 IoT 코어(IoT Core)에 기초하여 장치를 보호할 수 있다. 엔드포인트 에이전트는 헤드리스(Headless) 모드로 작동할 수 있으며 사용자 환경이 없이 개발되었기 때문에 에이전트가 매우 작다. POS(Point Of Sale) 및 저전력 SOC(System On Chip) 회로를 가진 기타 유형의 장치를 위한 것이다. 딥아머는 이런 것들에 대한 오버헤드(Overhead) 없이 이런 장치를 보호할 수 있다.

안드로이드 버전에는 안드로이드 씽즈(Android Things)가 포함돼 있기 때문에 스파크코그니션은 딥아머를 설정하여 안드로이드 또는 안드로이드 씽즈로 구동하는 어느 IoT 장치나 보호할 수 있다고 밝혔다. 윈도우와 안드로이드 외에 여러 IoT 장치의 근간이 되는 리눅스에도 적용될 것이다. 딥아머의 모든 IoT 버전은 장치 내에서 헤드리스로 작동한다.

스파크코그니션과 다른 AI 기반 악성코드 감지 시스템의 차이점은 머신러닝 모델을 엔드포인트에 적용하지 않는다는 점이다. 머신러닝 처리는 클라우드 내에서 이루어지기 때문에 이 솔루션은 IoT 보호에 적합하다.

딥아머의 효과에 대해 스파크코그니션은 자사의 모델들이 악성코드에 대해 99% 효과적이며 긍정 오류율이 1% 미만이라고 밝혔다. 위협 감지 엔진은 새로운 위협에 지속해서 적응하면서 학습하고 있다. 이 업체는 자시의 시스템을 계속해서 시험하고 새로운 클린 파일 또는 악성코드에 대한 새로운 접근방식이 있는 경우 교육 세트를 업그레이드한다.

스파크코그니션이 이 제품을 시장에 제공하는 두 번째 방법은 소프트웨어 개발자의 키트와 스파크코그니션의 클라우드 기반 위협 감지 엔진이 포함된 마이크로 서비스를 통한 방법이다. 이 버전의 제품을 통해 다른 보안 업체들은 스파크코그니션의 머신러닝 기술을 자사의 보안 스택(Stack)에 통합할 수 있다.

*Linda Musthaler는 정보 기술의 실제적인 가치와 개별 노동자와 기업의 생산성 향상 방안을 연구하는 에센셜 솔루션(Essential Solutions)의 수석 애널리스트이다. 에센셜 솔루션은 컴퓨터 업계와 기업 고객이 IT의 잠재성을 규정하고 실현하는데 도움을 주는 컨설팅 서비스를 제공한다. ciokr@idg.co.kr

X