샌즈랩, 차세대 위협 인텔리전스 전문 서비스 ‘CTX’ 발표
AI, 빅데이터 기반 기술로 완벽히 새롭게 재설계해 서비스
[아이티데일리] 사이버 위협 인텔리전스(CTI) 전문 기업 샌즈랩(대표 김기홍)이 한층 진화한 차세대 위협 인텔리전스 서비스 ‘CTX’를 발표했다.
2014년 멀웨어즈닷컴(malwares.com)을 선보이며 9년간 약 376억 건의 위협 데이터를 분석하고 약 22억 건의 악성코드를 다뤄온 샌즈랩은 지난해 연매출 60억 원을 돌파했으며 올해 2월 코스닥 상장까지 성공하며 보안 업계에 자리를 잡았다.
하지만 최근 사이버 위협이 대량 확산되는 악성코드보다는 특정 기업 및 조직을 노린 정교한 형태로 변화하는 등 글로벌 사이버 보안의 수준이 매일 높아지고 있고, 시장의 요구 역시 다양해지고 있다. 샌즈랩 역시 이러한 이유에서 기존 멀웨어즈닷컴의 한계점을 탐지, 시장의 변화 요구를 받아들이기 위한 개선을 시도하게 됐다. 이에 지난 몇 년간의 노력을 통해 샌즈랩은 AI와 빅데이터 기반 기술로 완벽히 새롭게 재설계한 위협 인텔리전스 전문 서비스 CTX를 선보이게 됐다.
CTX는 사이버 위협(Cyber Threat)을 뜻하는 약자 CT와 변수 X를 결합한 것으로 eXpert(전문가의 역량 제공), eXchange(위협 정보의 교류), conteXt(문맥 파악이 가능한) 등 위협과 관련한 여러가지 변화들을 내포하는 브랜드로 한층 업그레이드됐다는 게 회사 측 설명이다.
기존 멀웨어즈닷컴은 악성코드를 분석해 나온 정보를 바탕으로 인텔리전스를 구축했다. 여러가지 분석을 통해 추출된 정보를 기반으로 악성/정상 여부와 연관 관계 정보를 생성해 서비스를 제공했다. 하지만 이제는 악성코드 중심이 아닌 공격자 중심, 즉 위협 인텔리전스 중심의 사회로 전환됐다는 게 샌즈랩의 설명이다.
즉 이제는 공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC(침해지표) 정보들은 어떤 것들이 있는지 등 종합적인 내용을 판단할 수 있어야 한다. 이러한 방식으로 현재 발생하고 있는 다양한 APT 공격 등을 대응할 수 있도록 샌즈랩은 인텔리전스 구조 자체를 새롭게 만들어 CTX를 선보이게 됐다.
CTX는 위협 인텔리전스 보고서의 주요 구성 요소인 공격 국가, 공격 툴, 관련 악성코드, 타깃 국가, 산업군 등의 정보는 물론 특정 공격 그룹의 배후에 있는 국가 정보부터 관련 취약점 정보 침해 지표까지 내용을 정리, 일종의 전체 내용의 컨텍스트(Context) 형태로 재구성해 제공한다. 이는 사이버 보안 위협 자체의 맥락 구성을 통해 공격 그 이면의 다양한 정보를 활용하며 대응할 수 있도록 하기 위함이다.
CTX는 또한 데이터셋 형태를 재구성해 단순한 연결고리를 만드는 것뿐만 아니라 각각 최대한의 객관적 사실을 수반하는 지식 그래프 형태로 구성이 되도록 했다. 이는 단순히 IP, 도메인, 파일의 관계를 만드는 것에 그치지 않고 왜 이런 연관 관계가 만들어졌는지에 대한 내용을 파악하게 함으로써 위협을 해석하고 의미 부여를 하는 데 큰 도움이 된다는 게 회사 측 설명이다. 또한 추후 LLM 이나 XAI 등 다양한 사이버 보안 분야 인공지능 기술을 개발하는 기반 데이터셋이 될 수도 있다고 샌즈랩 측은 덧붙였다.
이와 함께 샌즈랩은 온라인을 통한 쉽고 간편한 데이터셋 판매도 시작한다. 사이버 보안 분야에서 활용될 차세대 인공지능 기술을 개발하기 위해서는 좋은 데이터셋이 반드시 필요하다. 하지만 중소기업 또는 스타트업, 심지어 대기업이라 할 지라도 초기에 이러한 데이터셋을 대량으로 확보하기는 쉽지 않다. 또한 자체적으로 데이터셋을 구축하려면 특징을 고려한 다양한 속성값을 기반한 메타데이터를 생성할 수 있어야 하지만, 관련된 노하우가 없거나 특정 메타데이터를 추출하기 위한 분석기가 없다면 쉽지 않다. 이에 샌즈랩은 그간의 노하우를 담아 수집하고 분석한 데이터들 중 양질의 데이터만 별도 선별해 AI에 활용할 수 있도록 제공한다는 계획이다.
샌즈랩이 제공하는 데이터셋은 다양한 파일 타입별로 구성되며 AI 뿐만 아니라 기관 및 기업 내 BMT(벤치마크테스트) 용도 등으로도 활용할 수 있을 것으로 기대된다. 개인이나 기업을 특정할 수 있는 정보는 모두 비식별화 처리했으며, 이 과정에서 AI 학습에 지장을 주지 않는 형태로 재처리돼 CTX 인프라 내에서 완전 자동화되며 매월 신규 샘플들로 업데이트 제공될 예정이다.
샌즈랩 김기홍 대표는 “악성코드 중심 멀웨어즈 닷컴에서 벗어나, 11월 15일 공개 예정인 ‘CTX’를 통해서는 앞으로 글로벌 CTI 서비스로 거듭날 계획”이라면서 “샌즈랩이 자신 있는 AI와 빅데이터 기술을 활용해 실무자에게 좋은 경험을 제공할 수 있고 도움이 될 수 있는 CTX 서비스가 되도록 노력하겠다”고 말했다.