사이버 보안 환경은 지속적으로 고도화되는 위협과 정교해지는 침투 기법으로 인해 새로운 대응 체계가 요구되고 있다. 기존 보안 시스템은 악성 행위를 중심으로 탐지하는 구조를 갖추고 있으나, 실제 공격자의 위협 중 많은 부분이 탐지되지 않고 사각지대에 남는 거짓 부정 문제를 발생시키고 있다. 이에 따라 새로운 탐지 방식으로 정상적인 동작 패턴을 기반으로 한 위협 식별이 주목받고 있다.

사이버 보안 기업 사이데프(CYDEF, CEO 마틴 셰퍼드)는 ‘행동 위협 탐지와 대응(BTDR)’ 플랫폼을 통해 100%의 행위 조사를 보장하고 위협이 탐지되지 않은 채 시스템을 통과하지 못하게 하는 새로운 기술을 발표했다.

‘알려진 정상’ 패턴으로 시스템 활동 분석하는 행동 기반 위협 탐지

사이데프는 악성 행위를 탐지하는 기존 접근 방식 대신, AI를 활용해 ‘알려진 정상’ 동작 패턴을 기준으로 시스템 활동을 분석하는 방식을 채택했다. 이 접근법은 모든 비정상 행위를 조사 대상으로 분류하여 기존 EDR과 SIEM 솔루션으로 탐지되지 않는 위협을 효과적으로 방어하는 것을 목표로 한다. 사이데프가 제시한 이 방식은 경보 과잉 문제로 인한 거짓 긍정보다 더 치명적인 탐지 실패 문제, 즉 거짓 부정을 줄이는 데 초점을 맞추고 있다.

사이데프 CEO 마틴 셰퍼드(Martin Shepherd)는 “사이버 보안 업계는 그동안 경보 피로를 줄이는 데 집중해 왔지만, 진정한 위협은 탐지되지 않은 공격에 있다”며 “AI가 학습한 정상 동작 기준에 맞지 않는 모든 이상 징후를 조사하여 위협을 간과하지 않는다”고 말했다.

스택뷰, 단일 탐지기가 1만5000개 엔드포인트 모니터링

시데프의 행동 위협 탐지 플랫폼은 세 가지 주요 특징으로 구성된다. 첫째, AI 기반 기준 생성이다. 머신러닝 알고리듬을 통해 정상 사용자와 시스템의 동작 패턴을 학습하고 이를 기준으로 위협 행위를 분류한다. 둘째, 100% 이상 행위 조사를 구현한다. 정상 동작 프로파일을 벗어난 모든 활동은 사람의 검증 과정을 거쳐 위협 여부를 판단한다. 셋째, 제로 트러스트 기반 검증과 설명 가능한 탐지를 제공한다. 모든 엔드포인트 활동을 체계적으로 검토하여 악성 행위가 간과되지 않도록 하며, 결과를 설명 가능하게 제공한다.

사이데프의 특허받은 스택 뷰(Stack View) 기술은 3개의 미국 특허를 보유하고 있으며 추가 특허가 출원 중이다. 이 기술은 5100만 건 이상의 위협 분류를 관리하면서 단일 탐지자가 1만5000개의 엔드포인트를 동시에 모니터링할 수 있는 수준으로 확장 가능하다. 또한 EDR과 SIEM 도구의 효과를 검증하고, 적용 범위의 공백을 파악하며, 사고 발생 시 독립적인 검증과 포렌식 분석을 지원한다.

이러한 플랫폼은 기존 서명 기반 탐지 방식이 놓칠 수 있는 제로데이 공격, 정교한 측면 이동 공격, 그리고 합법적 도구를 악용한 공격을 식별하는 데 유용하다. 파워쉘(PowerShell)과 WinRAR과 같은 도구를 활용한 침투 기법까지 식별할 수 있도록 설계되었다.

사이데프의 BTDR 플랫폼은 은행, 의료, 보험, 제조, 소매, 교육 등 다양한 산업군에서 활용되고 있다. 이 플랫폼을 도입한 기업들은 평균 탐지 시간(MTTD)을 8시간 미만으로 단축했으며, 98%의 고객 유지율과 99%의 고객 만족도를 기록하고 있다. 또한 SOC 2 타입 2 인증을 통해 글로벌 보안 및 규제 표준을 준수하고 있다.

이번 발표를 통해 시데프는 거짓 부정이라는 가장 심각한 보안 문제에 대한 실질적인 해결책을 제시했다. AI 기반 ‘알려진 정상’ 인텔리전스를 적용한 행동 위협 탐지 플랫폼은 모든 비정상 행위를 조사함으로써 위협의 사각지대를 줄이고, 보안 운영팀이 기존 보안 도구를 보완하는 데 기여하고 있다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.