시만텍, 사이버 공격 그룹 탐지용 인공지능 적용 ‘시만텍 TAA’ 발표

CIO KR
시만텍이 인공지능을 적용한 고난도 표적공격 분석 기술 ‘시만텍 표적공격 애널리틱스(Symantec Targeted Attack Analytics, 이하 TAA)’를 발표했다고 26일 밝혔다.

시만텍 TAA는 시만텍 표적공격 전문 분석팀이 역대 주요 사이버 공격 분석 시 사용한 강력한 위협 탐지 기술과 머신러닝을 결합, 사이버 공격 그룹의 공격기법을 집중적으로 학습시켜 대응할 수 있는 것이 강점이라고 업체 측은 설명했다.

표적공격은 기업 보안을 위태롭게 만드는 대표적인 위협 중 하나로, 시만텍 인터넷 보안 위협 보고서(ISTR) 제 23호에 따르면 표적공격 그룹의 수도 계속 증가하고 있는 것으로 나타났다.

시만텍 ATP(Advanced Threat Protection) 솔루션에서 제공하는 시만텍 TAA는 사이버 공격 그룹의 공격기법에 특화돼 EDR(Endpoint Detection and Response)의 탐지 및 대응 능력을 향상시킨 기술이다. 기존에는 EDR에서 파일의 해시값, 악성코드 유포 도메인, 레지스트리 값, 프로세스 이름 등 다양한 침해지표(Indicator of Compromise) 정보를 통해 기업 내부의 침해사실을 파악할 수 있었다.



반면, 시만텍 TAA는 이러한 침해지표 기반의 공격 탐지는 물론, 공격자들이 사용하는 침투 방법, 측면 이동 시 사용하는 명령어 등 시만텍 표적공격 전문 분석팀이 수년간 다수의 공격 그룹을 추적해 확보한 인텔리전스 정보를 머신러닝과 결합해 자동으로 해당 공격 그룹의 공격을 탐지할 수 있는 기술이다.

시만텍 TAA는 스턱스넷(Stuxnet), 레긴(Regin), 라자루스(Lazarus)를 발견하고, 스위프트(SWIFT) 공격과 워너크라이(WannaCry) 공격 사이의 연관성을 밝혀낸 시만텍 표적공격 전문 분석 팀과 최첨단 머신러닝을 연구하는 시만텍 보안 데이터 과학자 팀이 협력해 이뤄낸 결과물이다.

보안 전문가들의 프로세스, 지식 및 역량을 인공지능으로 집약한 시만텍 TAA는 표적공격 활동을 식별하고, 우선적으로 대응해야 하는 공격을 알려주는 침해 사고 리포트를 제공한다. 이에 따라 기업은 오탐지 분류에 많은 시간과 리소스를 들이지 않고 실제 대응이 필요한 공격을 정확하게 알 수 있다.

시만텍 TAA는 보안 위협 빅데이터를 구축하고 있는 시만텍 고객의 시스템 데이터와 네트워크 텔레메트리 데이터를 포함해 광범위한 데이터를 머신러닝 기술로 분석한다. 또한, 클라우드 기반 기술로, 제품 업데이트를 할 필요 없이 수시로 분석 재학습과 업데이트를 제공해 새로운 공격 방법에 적응할 수 있도록 한다. 이와 같이 표적위협 탐지 기능을 자동화함으로써 타 솔루션에서 탐지가 어려운 정교한 공격까지 식별해 낼 수 있다.

시만텍코리아 윤광택 CTO는 “글로벌 인텔리전스 네트워크(GIN)를 기반으로 방대한 위협 인텔리전스를 구축해온 시만텍은 여기에서 한발 나아가 오랜 기간 사이버 공격그룹의 분석을 통해 확보한 공격그룹 고유의 특징과 속성 정보를 머신러닝과 결합해 표적공격에 특화된 시만텍 TAA 기술을 선보이게 되었다”며, “이제 일반 기업에서도 시만텍 전문 분석팀의 고난도 표적공격 분석 기술을 솔루션으로 이용할 수 있게 돼 보다 효과적으로 표적공격에 대응할 수 있을 것으로 기대한다”고 말했다. ciokr@idg.co.kr