[AI혁명](71) AI로 악성 앱 잡아낸다…시큐리온

AI기반 악성 앱 자동분석 시스템 '온앱스캔'
앱 분석 프로세스 자동화로 분석가 업무 효율화
안티바이러스 솔루션 '온백신'…악성 앱 탐지율 99%

"싸움은 데스크탑 PC를 넘어 모바일 영역에서도 재현되고 있습니다. 공격이 자동화 지능화 되는 만큼 대응 기술도 고도화 돼야합니다."

최근 모바일 기기 보안 솔루션을 우회하기 위한 난독화된 악성 애플리케이션(앱)이 증가하면서 관련 피해가 커지고 있다. 악성 앱 대부분에는 응용 프로그램 패키지(APK) 자체 암호화와 난독화 기법 등이 적용돼 있기 때문에 앱이 어떻게 동작하고 어떤 행위를 하는 지 분석이 어렵다. 예를 들어 공격자는 디컴파일(파일 해체) 시 주요 코드를 알아볼 수 없도록 임의의 값으로 바꾼다. 개발 언어에서 통상적으로 사용되는 구문은 그대로 두고, 중요한 내용만 바꾸기 때문에 이 코드가 어떤 기능을 수행하는지 알아보기 어렵게 만든다. 즉 피싱 범죄에 필요한 기능은 그대로 유지하면서 모바일 백신엔 잘 탐지되지 않도록 만드는 것이다.

이러한 악성 앱을 잡아내기 위해 인공지능(AI)을 활용한 차별화된 보안 솔루션을 제공하는 기업이 있다. AI 기반 보안기업 시큐리온이다. 유동훈 시큐리온 대표는 "기존 시그니처 기반 악성 앱 탐지 솔루션의 한계를 뛰어넘기 위해 다양한 휴리스틱(복잡한 과제를 간단한 판단 작업으로 단순화하는 것) 탐지 기술을 연구해왔고, 그 결과 지금의 회사 브랜드인 'On' 솔루션의 핵심 기술인 AI 탐지 시스템을 개발할 수 있었다"고 소개했다.

시큐리온의 대표적인 서비스로는 AI기반 악성 앱 자동분석 시스템 OnAppScan(온앱스캔)이 있다. 온앱스캔은 시큐리온의 자체 AI 탐지 시스템을 기반으로 만든 제품으로, 앱 분석 프로세스를 자동화하고 위험도를 판정해줘 현업 분석가들의 업무를 효율화 할 수 있는 솔루션이다.

기존의 업계에서 주로 사용하던 시그니처 기반 탐지·분석 시스템은 악성 앱을 분석해 패턴을 추출하고 업데이트하는 방식이었다. 이는 신·변종 악성 앱 탐지에는 취약하다. 변수와 명령어 패턴을 바꾸고 로직을 뒤섞는 등 다양한 방식으로 코드를 변경한 난독화 앱의 경우 일반적인 패턴 기반 엔진으로는 탐지, 분석이 힘들기 때문이다. 때문에 분석가들의 수동 분석으로 보완해왔다. 지능화된 악성 앱을 분석하기 위해서는 숙련된 전문가도 많은 시간과 노력을 필요로 한다.

시큐리온은 AI 기술로 이런 문제를 해결하고 있다. 다양한 방식으로 코드를 변경해 난독화 된 악성 앱이라도 실행이 가능한 형태이기 때문에 실행에 필요한 정보 위주로 분석하는 머신러닝 엔진으로 악성 여부를 판단할 수 있다. 머신러닝 기술은 기존의 ‘수동 분석→수동 판정’으로 이뤄지던 분석 과정을 ‘자동 판정→수동검증’으로 바꿔 분석가 개인의 역량에 대한 의존도를 줄이고 분석에 소요되는 시간 등 자원을 절감할 수 있도록 한다.

유 대표는 "머신러닝 엔진이 무엇을 근거로 위험도를 판정했는지 검증이 가능한 XAI(설명 가능한 인공지능) 기반 검증·추적 기술을 개발해 자동판정·자동검증 시스템을 확립할 수 있도록 하는 연구를 진행 중"이라고 설명했다.

최근엔 '온앱스캔 V2.0'을 내놨다. 난독화와 압축 해제 방해 기법 등 분석 방해 기술을 적용, 고도화한 보이스피싱 악성 앱 분석에 강점이 있다. 신규 기능인 보이스피싱 디텍터(Voice Phishing Detector)는 보이스피싱 악성 앱에 탑재돼 있는 주요 파일을 휴리스틱 방식으로 분석해 악성 여부를 판정한다.

시큐리온의 또다른 서비스로는 머신러닝 안티바이러스 솔루션 'OnAV(온백신)'이 있다. 이 역시 독자 개발한 AI 탐지 시스템을 활용해 만든 제품이다. 머신러닝 검사와 패턴 검사, 평판 검사를 결합한 ‘크로스 밸리데이션 시스템(CVS·Cross validation System)’ 으로, 탐지율은 높이면서도 탐지에 소요되는 리소스는 최소화 한 것이 특징이다. 신·변종 악성 앱 탐지에 특화돼 있다.

온백신은 'AV-TEST', 'AV-Comparatives' 등 글로벌 인증도 획득했다. 특히 글로벌 보안제품 성능평가 기관 'AV-Comparatives'는 엄격한 평가 기준으로 정평이 나있다. 참가 기업은 평가에서 종합 탐지율 99%이상, 과잉탐지(과탐) 10개 이하의 기준을 충족해야만 인증을 받게 된다. 온백신은 종합 탐지율 99.7%를 기록하며 국내 기업으로는 유일하게 5년 연속 인증을 획득했다.

유 대표는 "우리 서비스들은 글로벌 인증평가 기관에서 잠재적인 악성 앱과 타사 대비 알려지지 않은 신·변종 악성 앱에 대해 높은 탐지율로 좋은 평가를 받고 있다"며 "앞으로도 날이 갈수록 진화하는 보안 위협에 대응할 수 있도록 기존 보안 기술의 한계를 뛰어넘는 보안 솔루션을 개발하기 위해 노력하겠다"고 말했다.

강나훔 기자 nahum@asiae.co.kr