인공지능과 머신러닝을 결합, 사이버 공격 그룹의 공격기법 탐지

우리가 해킹이라고 말하는 사이버 공격도 맞춤형으로 진화해 가고 있다. 기존의 대중을 대상으로 했던 전방위적인 무작위 사이버 공격이 일부 해커들의 목적의식 속에서 특정기업이나 특정 시스템, 또는 수도물 정수장과 같은 특정 시설물로 구체적으로 맞춤화된 표적공격 방식으로 바뀐 것이다.

여기에는 지적 재산, 콘텐트, 아이디어 등 정보의 가치로 정의되는 오늘날의 정보 경제(Information economy) 환경에서 사이버 범죄자들은 그 어느 때보다도 기업의 기밀 정보를 빼돌려 금전적 이득을 취하기 위해 열을 올리고 있다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜 네트워킹 사이트에 널린 개인 정보와 정교한 사회 공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥하기도 한다.

대표적인 예가 2009년 말에 발생한 악명높은 ‘하이드락 트로이목마(Hydraq Trojan, 일명 오로라)’ 공격을 들 수 있다. 하이드락과 같은 표적 공격은 기업의 핵심 정보에 접근할 수 있는 특정인을 속여서 감염된 이메일이나 다른 메시지들을 열도록 하는 정교한 사회 공학적 기법을 이용한다.

또한 시그니처 기반의 악성 코드 탐지기술을 피하도록 설계되어 있기 때문에 공격을 방어하기가 어렵다. 일반적인 해킹 공격과 달리 표적 공격은 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 이러한 표적 공격은 주로 대량의 개인정보 유출을 수반하는 대규모 데이터 침해사고에서 발견된다.

최근에는 국내에서 블록체인과 가상화폐에 대한 이슈가 불거지던 지난 2월 가상화폐 거래소를 활용하는 이용자들을 표적으로 한 공격도 발생했다. 이스트시큐리티에 따르면, 이 공격은 특정 국회의원실에서 배포하는 법안자료로 사칭한 스피어 피싱(Spear Phishing) 공격이었다. 표적공격 대상자들의 최대 관심이슈로 가장했다. 국회의원의 법안자료인 대외비 첨부문서 형태로 ‘국회 가상화폐 법안자료.rar’로 출현한 것이다. 공격을 받게 되면, 내부에 포함되어 있는 매크로 코드로 한국의 특정 웹 사이트로 제어명령을 받도록 제작되었다.

이러한 표적공격에 대해 심층화된 데이터 분석을 통해 인공지능과 머신러닝을 결합해 애널리틱스 분석을 자동화해 사이버공객에 신속히 대응하는 솔루션이 등장했다.

TTA 스크린 캡처 (이미지. 시만텍)
TTA 스크린 캡처 (이미지. 시만텍)

시만텍은 26일 인공지능을 적용한 고난도 표적공격 분석 기술 ‘시만텍 표적공격 애널리틱스(Symantec Targeted Attack Analytics, 이하 TAA)’를 발표했다. 시만텍 TAA는 시만텍 표적공격 전문 분석팀이 역대 주요 사이버 공격 분석 시 사용한 강력한 위협 탐지 기술과 머신러닝을 결합, 사이버 공격 그룹의 공격기법을 집중적으로 학습시켜 탁월한 대응력을 제공하는 것이 강점이다.

표적공격은 오늘 날 기업 보안을 위태롭게 만드는 대표적인 위협 중 하나로, 시만텍 인터넷 보안 위협 보고서(ISTR)에 따르면 표적공격 그룹의 수도 계속 증가하고 있는 것으로 나타났다. 하지만, 보안 시스템에서 생성되는 수많은 보안경고 가운데 표적공격은 종종 신속하게 탐지되지 못하고 그 사이 공격자들은 시스템에 접근해 중요한 데이터를 확보할 수 있는 시간을 벌게 된다. 이에 따라 최근 보안 업계는 인텔리전스를 기반으로 침입 공격에 대한 가시성을 확보하고 더 나아가 알려지지 않은 보안 위협까지 탐지하고 식별할 수 있는 엔드포인트 탐지 및 대응(Endpoint Detection and Response: EDR) 분야에 주력하고 있다.

시만텍 관계자는 “시만텍 TAA는 스턱스넷(Stuxnet), 레긴(Regin), 라자루스(Lazarus)를 발견하고, 스위프트(SWIFT) 공격과 워너크라이(WannaCry) 공격 사이의 연관성을 밝혀낸 시만텍 표적공격 전문 분석 팀과 최첨단 머신러닝을 연구하는 시만텍 보안 데이터 과학자 팀이 협력해 이뤄낸 결과물”이라고 말했다. “보안 전문가들의 지식 및 역량을 인공지능으로 집약한 시만텍 TAA는 표적공격 활동을 식별하고, 우선적으로 대응해야 하는 공격을 알려주는 침해 사고 리포트를 제공한다.”고 설명했다. 이에 따라 기업은 오탐지 분류에 많은 시간과 리소스를 들이지 않고 실제 대응이 필요한 공격을 정확하게 알 수 있다는 것.

시만텍 ATP(Advanced Threat Protection: 지능형위협보호) 솔루션에서 제공하는 시만텍 TAA는 사이버 공격 그룹의 공격기법에 특화되어 EDR의 탐지 및 대응 능력을 획기적으로 향상시킨 기술이다. 기존에는 EDR에서 파일의 해쉬값, 악성코드 유포 도메인, 레지스트리 값, 프로세스 이름 등 다양한 침해지표(Indicator of Compromise) 정보를 통해 기업 내부의 침해사실을 파악할 수 있었다. 반면, 시만텍 TAA는 이러한 침해지표 기반의 공격 탐지는 물론, 공격자들이 사용하는 침투 방법, 측면 이동 시 사용하는 명령어 등 시만텍 표적공격 전문 분석팀이 수년간 다수의 공격 그룹을 추적해 확보한 인텔리전스 정보를 머신러닝과 결합해 자동으로 해당 공격 그룹의 공격을 탐지할 수 있는 혁신적인 기술이다.

윤광택 시만텍코리아 CTO는 “글로벌 인텔리전스 네트워크(GIN)를 기반으로 방대한 위협 인텔리전스를 구축해온 시만텍은 여기에서 한발 나아가 오랜 기간 사이버 공격그룹의 분석을 통해 확보한 공격그룹 고유의 특징과 속성 정보를 머신러닝과 결합해 표적공격에 특화된 시만텍 TAA 기술을 선보이게 되었다”며, “이제 일반 기업에서도 시만텍 전문 분석팀의 고난도 표적공격 분석 기술을 솔루션으로 이용할 수 있게 돼 보다 효과적으로 표적공격에 대응할 수 있을 것으로 기대한다”고 말했다.

한편, 시만텍 TAA는 수십여 개의 에너지 기업을 겨냥해 운영 네트워크 접근을 목표로 대규모 공격을 감행했던 드래곤플라이 2.0(Dragonfly 2.0)을 발견했을 때 시만텍이 사용한 동일한 툴셋을 기반 기술로 하고 있다. 시만텍 TAA는 내부 개발 기간 동안 1,400개 이상의 기업에서 보안 침해 사고를 식별함으로써 공격 탐지의 정확성과 우수성을 입증했다.

오윤경 기자 news@icnweb.co.kr




추천기사

댓글 남기기