샌즈랩, 차세대 위협 인텔리전스 CTX 공개

인공지능·빅데이터 기반 인텔리전스 보안 시스템
기존 멀웨어닷컴 서비스 확대·개선
11월 15일 서비스 출시에 앞서 제품설명회

사이버 위협 인텔리전스 전문 기업 샌즈랩(대표 김기홍)이 기존 자사 대표 서비스인 멀웨어닷컴(malwares.com)을 인공지능, 빅데이터 기반 기술로 새롭게 재설계한 위협 인텔리전스 전문 서비스인 ‘CTX’로 업그레이드한다고 31일 밝혔다.

이날 서울 잠실 시그니엘에서 진행된 설명회에서 샌즈랩 김기홍 대표와 샌즈랩 연구소 박성은 소장 등 CTX 개발·제작 담당자들이 개발 배경 및 솔루션의 특징에 대한 설명을 진행했다.

샌즈랩은 2014년 멀웨어닷컴을 개발하고 이 제품으로 연간 60억의 매출을 올리며 CTI(사이버 위협 인텔리전스) 분야 국내 선두 업체로 올해 2월 코스닥 시장까지 상장할 수 있었다.

이날 김기홍 대표는 “기존 제품에 안주하지 않고 시장의 요구를 받아들이기 위해 샌즈랩은 인공지능·빅데이터 기반 기술로 재설계한 ‘위협 인텔리전스’ 전문 서비스 CTX를 만들어내게 되었다”고 개발 배경에 대해 설명했다.

완전히 새롭게 구성된 인공지능 기반의 차세대 인텔리전스

기존 멀웨어닷컴은 악성코드 분석 정보를 바탕으로 인텔리전스를 구축했다면 CTX는 식별된 위협의 특징을 파악해 위협 인텔리전스 공격그룹을 찾고, 그들이 수행한 캠페인과 타깃 국가·산업군, 사용된 IoT 등을 인공지능·빅데이터를 활용해 설명한다.

즉, 공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC 정보들은 어떤 것들이 있는지 등의 종합적인 내용을 판단해 현재 발생하고 있는 다양한 APT 공격 등을 대응할 수 있도록 인텔리전스 구조를 강화했다.

CTX는 위협의 전체 맥락(콘텍스트 context)을 파악할 수 있도록 직관적인 시각 그래프 형태로 구성했다. 샌즈랩은 “단순히 도식화에 그치지 않고 위협을 해석하고 의미 부여를 하는데 큰 도움이 되기도 하며, 추후 대형언어모델(LLM), 설명가능한 AI(XAI) 등 다양한 사이버 보안 분야 인공지능 기술을 개발하는 기반 데이터셋으로 활용할 수 있다”고 설명했다.

샌즈랩의 인텔리전스를 생성하는 주요 핵심 기술 2가지, 바이너리(실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술과 문서파일(비실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술은 각각 2021, 2022년 산업통상자원부 신기술 인증을 받은 바 있다.

CTX의 경제적 인텔리전스 정보 제공 과정

미래 인텔리전스를 위한 ‘데이터셋’ 서비스

이날 CTX는 사이버 보안 데이터셋도 판매 계획도 밝혔다. 기업·기관 차원에서 사이버 보안 데이터셋 구축을 위한 양질의 데이터와 분석 능력을 확보하기 어렵다.

이에 샌즈랩은 그간의 노하우를 담아 수집하고 분석한 데이터들 중 양질의 데이터만 별도 선별, 인공지능에 활용할 수 있도록 CTX 플랫폼에서 제공한다. 샌즈랩이 제공하는 데이터셋은 다양한 파일 타입별로 구성되며 인공지능 뿐만 아니라 기관 및 기업 내에 BMT 용도로도 활용이 가능하다. 개인이나 기업을 특정할 수 있는 정보는 모두 비식별화 처리를 하였으며 이 과정에서 AI 학습에 지장을 주지 않는 형태로 재처리 되 CTX 인프라 내에서 완전 자동화되어 매월 신규 샘플들로 업데이트되어 제공된다.

이러한 데이터셋 판매 형태는 사이버 보안 분야에서 국내에서 한 번도 시도되지 않았던 새로운 형태이다. 다양한 데이터셋을 보유한 샌즈랩은 데이터 그 자체가 상품이 될 수 있는 중요한 기점을 마련할 것으로 기대하고 있다.

이날 언론과 업계 관계자들에게 공개 설명한 CTX는 오는 15일 정식 서비스 공개를 앞두고 있다.

샌즈랩 김기홍 대표