샌즈랩, 바이러스토탈에 CTX AI 엔진 연동... 악성코드 직관적 분류 가능

초대량 데이터 기반 인공지능 프로파일링 엔진으로 우수한 탐지율 자랑
악성·정상 여부 판별에서 AI 고도화로 악성코드 종류·타입 식별 정보 제공

[보안뉴스 김영명 기자] 인공지능(AI) 기반 사이버 위협 인텔리전스(CTI) 전문 기업 샌즈랩(대표 김기홍)이 자사의 대표 서비스인 ‘CTX’를 글로벌 위협정보 플랫폼 바이러스토탈(VirusTotal)에 연동했다고 밝혔다.

▲CTX의 악성코드 분류 체계에 따라 악성코드 탐지명을 ‘A.B.C’ 형식으로 구분한다[자료=샌즈랩]

바이러스토탈은 구글 자회사로 악성코드를 탐지하고 분석하기 위한 서비스다. 사용자가 바이러스토탈에 파일을 업로드하거나 URL을 넣으면 다양한 백신 소프트웨어와 보안 엔진을 사용해 해당 파일이나 URL을 분석해 악성코드 여부를 진단함으로써 보안 전문가들이 새로운 악성코드를 분석하고 연구하는데 널리 활용되고 있다.

바이러스토탈은 여러 분석 엔진을 동시에 사용할 수 있는 게 특징이다. 기존의 엔진들은 악성 또는 정상 여부만을 판별했으나 CTX는 더욱 발전한 단계의 분석 기술을 실현했다. 실제 바이러스처럼 ‘A(파일 타입).B(위협 타입).C(위협 패밀리)’ 체계로 직관적으로 분류했다. 따라서 전 세계 사용자들이 바이러스토탈을 통해 CTX의 우수한 탐지율과 장점들을 직접 비교하고 경험할 수 있게 됐다.

이번 시스템 연동의 배경에는 한국인터넷진흥원(KISA)과 함께 추진 중인 사이버 보안 AI 데이터셋 구축 사업에서 확보한 기술력과 노하우가 큰 역할을 했다. 수십억 건에 이르는 위협 데이터를 체계적으로 수집하고, 이를 명확하고 일관성 있게 라벨링해 AI에 학습시켜 프로파일링 엔진의 성능을 크게 향상시킬 수 있었다. 이를 통해 CTX만의 분류법을 적용하고 AI가 악성코드를 더욱 정밀하게 식별해 정·오탐 탐지율이 크게 개선됐다.

기존 보안 담당자들은 위협 대응에 필요한 의사 결정을 위한 정확한 백데이터(back data)를 위협 인텔리전스가 제공하는 정보로부터 얻고는 한다. 하지만 연관 정보나 분석 정보의 부족으로 여러 개의 인텔리전스에서 제공한 데이터를 취합하는 데 어려움을 겪고 있다. 샌즈랩은 이러한 상황에 대응해 CTX의 AI 엔진이 해당 과정을 대신 프로파일링해 CTX 단일 인텔리전스 만으로도 의사 결정에 충분한 위협 정보를 제공받을 수 있다고 판단하고 있다.

샌즈랩 김기홍 대표는 “글로벌 서비스에 샌즈랩의 AI 기반 인텔리전스인 CTX의 연동을 통해 글로벌 이용자 수가 더욱 증가할 것으로 기대한다”고 말했다. 김 대표는 이어 “바이러스토탈을 통한 데이터로 자사 AI 기술의 확장성이 더욱 넓어졌음은 물론 글로벌시장 진출에도 한발 더 나아가게 됐다”며 “차후 SIEM, SOAR와 같은 솔루션에 온프레미스(On-Premise) 형태의 다양한 연동 체계를 지원해 자사의 주력 사업을 국내외로 확장하는데 기여하겠다”고 강조했다.
[김영명 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)