[DX 넘어 AX 빅뱅] 안랩 "악성코드 탐지, AI로 더 꼼꼼히"

24시간 깨어있는 AI… 위험 막고 연결 돕고
AI팀 꾸려 머신러닝 기반 연구
사용자 패턴 파악·위험 탐지

안랩 XDR 대시보드. 안랩 제공

국내 대표 사이버보안 기술기업 안랩이 AI(인공지능) 시대에도 기술혁신을 이끌어가기 위해 투자와 인재육성, 외부 협력에 박차를 가하고 있다.

핵심은 기술력에서 확실한 격차를 벌이는 것이다. 안랩은 연구소 산하에 AI 및 머신러닝을 연구하고 관련 기술을 개발하는 'AI팀'을 두고 있다. 현재 다양한 탐지 모델을 개발하고 기반 기술을 연구하고 있다. 발굴한 인공지능 관련 기술은 다양한 제품에 녹여 넣고 있다.

그 중에서도 AI를 구현하기 위한 방법인 머신러닝 기술을 솔루션·서비스의 탐지 기능 고도화에 주로 활용하고 있다. 안랩은 머신러닝 기술을 기반으로 고도화되고 있는 각종 보안 위협과 잠재적인 위협 요인(이상행위 등)을 효율적·효과적으로 탐지하고 있다.

또한 회사가 공급하는 다양한 보안 솔루션과 서비스의 목적에 맞게 △악성 URL 탐지 △악성 파일 탐지 모델 △피싱 이메일 탐지 △이상 탐지 모델 △관계 분석 등 여러가지 머신러닝 기반 기술을 조합한 모델을 활용한다는 점이 특징이다. 각 모델이 위협 요소 별로 악성 가능성을 추론하고 근거를 제시하며, 이를 종합적으로 고려해 악성 여부에 대한 결론을 내림으로써 보다 정확하게 위협을 식별할 수 있다.

대표적인 활용 분야는 악성코드 탐지다. 각종 솔루션에서 수집한 샘플 파일 등 대규모 데이터와 의심 행위에 대한 분석을 바탕으로 탐지 모델을 생성해, 이를 △PC용 백신 V3 제품군 △지능형 위협 대응 솔루션 안랩 MDS △위협 탐지 및 대응 솔루션 안랩 EDR 등의 '탐지 엔진'에 적용한다. 일평균 13만건 이상의 신규 악성코드를 탐지해 악성코드와 파일 탐지율을 높이고 있다.

피싱 이메일 탐지에도 AI가 활용된다. 샌드박스 기반의 APT 대응 솔루션 안랩 MDS에 머신러닝 기반 피싱 이메일 탐지 기능을 탑재했다. 이메일의 맥락 정보를 추출하는 등 메일 구성요소 전반에 대해 검사를 진행하며, 이 과정에서 다양한 AI 모델을 활용한다. 이를 바탕으로 정적 규칙(정책)으로 탐지하기 어려운 정보나 금전 유출 목적의 피싱메일을 탐지할 수 있다.

안랩 모바일 보안 솔루션은 수집한 대량의 문자 메시지 데이터에서 스미싱 URL과 보이스피싱 목적의 문자 텍스트도 탐지해낸다. 이를 기반으로 안랩 'V3 모바일 제품군'에선 문자 메시지 원문과 URL을 검사하는 기능을 제공한다. 월 2만 건 이상의 스미싱·피싱 문자를 탐지·차단한다.

안랩이 국내 최초로 출시한 '확장된 탐지 및 대응(XDR)' 플랫폼 '안랩 XDR'에서도 리스크 판별을 위해 머신러닝 기술을 활용한다. 머신러닝을 기반으로 사용자와 기기의 행동 패턴을 학습해 이상 행위를 탐지하는 방식이다. 예를 들어, 판교에서 9~6시 근무를 하던 직원이 갑자기 타 국가에서 새벽 2시에 접속해 메일을 발송한다면 이상행위로 탐지하는 식이다. 안랩은 앞으로 △이상탐지 기반 위협 탐지, 공격 가능성 예측 등 탐지 성능 고도화 △탐지 근거의 설명과 전체 공격 시나리오 추론 △위협 검색 및 요약 등을 목적으로 머신러닝 기술을 발전시키고 이를 솔루션, 서비스에 적용한다는 계획이다. 생성형 AI 기술을 바탕으로 XDR 플랫폼 '안랩 XDR'에서 보안 담당자의 업무 효율성을 더욱 높이는 'AI 시큐리티 어시스턴트'도 개발하고 있다. 김영욱기자 wook95@dt.co.kr