코마스 이글루시큐리티
03.01
뉴스홈 > 리뷰
[솔루션 리뷰] 머신러닝으로 사이버 위협 탐지 분야의 새 장을 열다다크트레이스 기업 면역 시스템

   
 
[컴퓨터월드] 지금까지 위협방어는 기업 네트워크의 경계 보안이 위주였다. 하지만 시그니처, 룰, 혹은 샌드박스 기술에 의존하는 경계 보안 솔루션들은 알려지지 않은 신종 공격에 대해 한계를 드러내고 있다. 특히, 권한을 가진 내부자의 의도된 또는 의도되지 않은 시스템 침해 사고는 경계 보안 강화를 통해서 해결되지 않는 난제로 남아있다.

그러나 다크트레이스의 ‘기업 면역 시스템(Enterprise Immune System)’은 현재까지의 위협방어 모델과는 다른 접근방식을 취한다. 사람의 면역체계를 본 따 만든 다크트레이스의 ‘기업 면역 시스템’은 머신러닝과 베이지언 통계 추정 기술을 사용해 보안사고의 54% 이상(2013 Data Breach Investigation Report by Verizon)을 차지하는 알려지지 않은 위협도 실시간으로 보고한다. 다크트레이스의 ‘기업 면역 시스템’에 대해 알아본다.


머신러닝으로 시그니처 기반 탐지 한계 극복

다크트레이스는 네트워크의 감시 대상 구간에 탭 스위치 혹은 미러링 포트를 통해 연결되는 방식으로, 기존 네트워크 구성의 변경과 서비스 장애에 대한 염려를 없앴다. 감시 대상 구간에 위치한 이후에는 네트워크, 사용자, 디바이스의 행위를 자동으로 학습하게 된다. 약 2주간의 학습을 통해 위협에 대한 개별요소들의 종합적인 상관관계를 자동으로 분석하고, 정상 상태와 이상 행위들을 식별한 후 사전에 정의된 룰이나 시그니처가 필요한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별하게 된다.

식별된 위협들은 베이지안 순환 확률 모형(RBE)과 순차적 몬테카를로(sMC) 등의 수학적 기법을 통해 네트워크, 사용자, 디바이스의 행위에 대한 수학적 확률을 계산, 지속적으로 정상 상태와 이상 행위들을 확인하고 스스로 학습해서 보완해 나간다.

   
▲ 진화하는 위협 방어를 위한 발상의 전환이 필요하다

다크트레이스의 학습 방식은 최근 많은 관심을 받은 머신러닝 기반의 바둑기사인 알파고와 기본원리가 같다. 다만 알파고의 경우 딥 러닝의 지도학습(Supervised Learning) 방식으로 사람이 직접 바둑을 두는 법을 가르쳐야 하지만, 다크트레이스는 딥 러닝의 비지도학습(Unsupervised Learning) 방식으로 사람이 직접 보안 위협의 유형을 입력하지 않아도 알아서 스스로 이상 행위들을 찾아내 보고하고, 위협의 모델링을 스스로 정교화해 오탐의 가능성을 제거하게 된다는 차이점이 존재한다.

표준 웹 기반 3D 위협 시각화 UI 제공

다크트레이스의 또 다른 장점은 표준 웹 기반의 3D 위협 시각화 유저 인터페이스(UI)다. 머신러닝과 수학적 모델링을 통해 찾아낸 위협들에 대한 실시간 보고와 더불어, 해당 침해사고가 일어난 시간을 플레이백(Playback)해서 침해사고를 일으킨 디바이스 및 사용자의 모든 행위를 포렌직 할 수 있으며, 딥 패킷 인펙션(Deep Packet Inspection)이 가능하다. 일반적인 환경에서는 1년간의 플레이백이 가능하기에 보안 담당자는 실시간 탐지와 포렌직 및 대응을 한 번에 할 수 있게 된다.

   
▲ 다크트레이스 솔루션 아키텍처

PoV 서비스 무상 제공

현재 다크트레이스는 PoC(Proof of Concept) 방식의 제품 데모가 아닌, PoV(Proof of Value)라 불리는 서비스를 고객사에 무상으로 제공하고 있다. PoV를 신청한 고객사는 네트워크 트래픽과 관찰 대상 디바이스의 개수 등을 종합해 스몰(Small)/미디엄(Medium)/X2로 나눠져 있는 다크트레이스의 기업 면역 시스템 솔루션 어플라이언스 장비를 설치하게 되고, 약 4주간의 평가기간을 갖게 된다.

다크트레이스는 고객사에 기본적인 사용자 인터페이스 사용법 및 보안 위협 행위 추적 방법 등에 대한 교육을 제공하며, 2주차 후반부터 마지막 PoV 단계까지 총 3번의 보안 위협 상세 보고서(Threat Intelligence Report; TIR)를 제공한다. 한국 지사를 포함해 전 세계에 있는 CIA, MI5, GCHQ 등의 보안 기관 출신 전문 애널리스트의 상세 보고서 서비스는 기업 면역 시스템 솔루션의 활용가치를 100% 증명한다는 것이 회사 측의 설명이다.

   
▲ 다크트레이스 PoV 서비스

전 세계 20개 지사 및 1,500여개 고객사 보유

다크트레이스는 지난 2013년 마이크 린치 박사(영국 기사작위)가 창립한 정보보안 회사로, 미국 샌프란시스코와 영국 캠브리지에 본사를 비롯한 주요 조직이 위치해있다. 상대적으로 짧은 연혁에도 불구하고 전 세계 20개 지사와 1,500여개 고객사를 확보하고 있으며, 수많은 대기업들로부터의 관심과 더불어 구매 및 PoV 신청도 지속적으로 이어지고 있다. 이에 분기 평균 500%라는 기록적인 매출 성장을 달성하고 있다.

또한, 국내에서는 민간 기업들뿐만 아니라 외산 보안업체로는 어려운 영역인 관공서에까지 제품을 공급하고 있다.

인기기사 순위
153-023) 서울시 금천구 가산동 327-32 대륭테크노타운 12차 13층 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:윤현기  등록번호:서울 아 00418  등록일자:2006.10  발행인:김용석  편집인:김선오