사이버 위협 인텔리전스(Cyber Threat Intelligence)는 사이버 위협에 대한 정보를 수집, 분석, 공유하는 것을 의미한다. 사이버 공격이 날로 증가하면서 지능화되고 있어 CTI의 중요성은 날로 높아지고 있다.

사이버 보안 기업 샌즈랩(대표 김기홍)이 31일 서울 시그니엘 서울에서 기자간담회를 열고 차세대 사이버 위협 인텔리전스 새 브랜드 CTX를 발표했다.

올해 초 많은 주목을 받으며 코스닥에 입성한 샌즈랩은 상장 시 기술력을 통해 퀀텀 점프해 나가겠다고 다짐했다. 그 첫 도약대가 ‘CTX’이다. CTX는 샌즈랩이 2014년부터 malwares.com을 통해 기술력을 다져온 악성코드 분석 기술에 AI, 빅데이터 기반 기술로 새롭게 재설계한 ‘위협 인텔리전스’ 전문 서비스이다. 브랜드 명으로써 ‘CTX’는 사이버 위협(Cyber Threat)을 뜻하는 약자 CT와 변수 X를 결합해 eXpert, eXchange, conteXt 등 위협의 여러가지 변화들을 내포하며 미래의 전략을 의미한다.

국내외에서 CTI에 대한 요구가 높아지면서 글로벌 및 국내 기업들도 이 시장에 뛰어들어 경쟁자가 많은 가운데 후발주자임에도 샌즈랩이 자신감을 갖는 데는 지난 9년 동안 약 376억건의 위협 데이터를 분석하고 약 22억건의 악성코드를 사용해 연간 60억의 매출을 일으키고 있는 저력이 있기 때문이다. 또한 Feed 서비스를 이용한 사이버 공격의 대량 확산 방지, 전문가 수준의 분석 정보 제공, AI 기술 개발에 필요한 대량의 데이터셋 제공도 시장에서 신뢰감을 얻는 바탕이 됐다.

AI 기반 차세대 위협 인텔리전스

기존의 malwares.com은 악성코드를 분석해서 나온 정보를 바탕으로 한 인텔리전스로 여러가지 분석을 통해 추출된 정보를 기반으로 악성/정상 여부와 연관 관계 정보를 생성해 서비스했다. 하지만 이제는 이제는 악성코드 중심이 아닌 공격자 중심, 즉 위협 인텔리전스 중심으로 변하고 있다. 공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC 정보들은 어떤 것들이 있는지 등의 종합적인 내용을 판단할 수 있어야 현재 발생하고 있는 다양한 APT 공격 등을 대응해야 한다.

이런 이유로 CTX는 인텔리전스 구조를 새로 구성했다. 위협 인텔리전스 보고서의 주요 구성 요소인 공격 국가, 공격 툴, 관련 악성코드, 타겟 국가, 산업군 등의 정보는 물론 특정 공격 그룹의 배후에 있는 국가 정보부터 관련 취약점 정보 침해 지표까지 내용을 정리한 일종의 전체 내용의 컨텍스트(Context) 형태로 재구성할 수 있게 했다. 사이버 보안 위협 자체의 맥락 구성을 통해 공격 그 이면의 다양한 정보를 활용해 대응하도록 제공되어야 하기 때문이다.

CTX에서 사용되는 데이터 셋은 IP, 도메인, 파일의 관계를 만드는 것에 그치지 않고 왜 이런 연관 관계가 만들어졌는지에 대한 내용을 파악해 최대한의 객관적 사실을 수반하는 지식 그래프 형태로 구성이 되도록 하였다. 이는 추후 LLM이나 XAI 등 다양한 사이버 보안 분야 인공지능 기술을 개발하는 기반 데이터셋이 될 수 있다.

CTX의 핵심 기술은 바이너리(실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술과 문서파일(비실행형 파일) 공격 그룹, 공격 기법 프로파일링 기술 두 가지로 이는 2021, 2022년 산업통상자원부로부터 신기술을 인증을 받았다.

경제적인 사이버 위협 인텔리전스

인텔리전스 서비스는 안티바이러스를 구매하거나 보안 솔루션을 구매하는 것보다 비싼 편이라 시장 확대의 제한 요소이기도 했다. 샌즈랩은 보다 경제적인 서비스에 초점을 맞췄다.

기존의 인텔리전스 서비스는 수집하고 분석한 정보와 역량에 따라 각기 다른 해석 정보를 제공해 혼란을 야기 시키곤 한다. 이에 샌즈랩은 인텔리전스에서 나온 정보를 대량으로 모아 신뢰할 수 있는 영역의 데이터만 AI를 활용해 특정 부분에 집중 되어있음을 확인했다. 이 데이터들을 조합하면 각 인텔리전스 사이트에서 제공하는 전체가 아닌 가장 잘하는 부분의 인텔리전스의 데이터만 취합해 제공하면 한번에 위협을 식별하고 판단할 수 있는 경제적인 인텔리전스가 될 수 있다.

그리고 인텔리전스의 키 정보를 입력하면 내부적으로 자동 연동해 함께 크로스로 확인하고자 하는 정보를 같이 취합하고 제공하여 별도 취합 과정과 연동 과정 없이 바로 보고하고 확인할 수 있는 정보를 제공할 수 있다. 샌즈랩은 현재 바이러스토탈(VirusTotal), 에일리언볼트(Alien Vault), 크리미널아이피(Criminal IP) 등을 연계했으며 향후 국내외에서 많이 사용하고 있는 위협 인텔리전스들과 연동할 계획이다.

새로운 비즈니스 모델, AI 기술 기반이 되는 데이터셋

사이버 보안 분야에서도 AI 기술은 중요해졌으며, 그 기반은 데이터셋이다. 양질의 데이터셋이 정확한 AI 모델을 개발할 수 있다. 하지만 대부분의 기업들은 양질의 데이터셋을 대량으로 확보하기 어렵다. 샌즈랩은 그간의 노하우를 담아 수집하고 분석한 데이터들 중 양질의 데이터만 별도 선별, AI에 활용할 수 있도록 데이터 셋 서비스도 제공하고 있다.

샌즈랩이 제공하는 데이터셋은 다양한 파일 타입별로 구성되며 인공지능 뿐만 아니라 기관 및 기업 내에 BMT 용도로도 활용할 수 있다. 개인이나 기업을 특정할 수 있는 정보는 모두 비식별화 처리를 하였으며 이 과정에서 AI 학습에 지장을 주지 않는 형태로 재처리 되 CTX 인프라 내에서 완전 자동화되어 매월 신규 샘플들로 업데이트되어 제공된다. 샌즈랩의 데이터 셋 서비스는 실제 국내에서는 처음 시도되는 것으로 데이터 그 자체가 상품이 될 수 있는 새로운 기준이 될 것으로 기대되고 있다.

샌즈랩은 CTX 발표와 함께 네트워크 보안 어플라인언스 MNX도 발표했다. MNX는 CTX와 호환되며 네트워크 가시성 확보를 위해 설계됐다. 위협과 이상 징후 등의 가시성 확보를 위해 패킷 데이터를 수집해서 l3, l4 과정을 거쳐서 l7 레이어인 프로토콜과 어플리케이션 레벨까지 식별하도록 개발됐다.

김기홍 대표는 “현재 대부분의 매출이 국내에서 이뤄지고 있으며 다양한 규모의 기업들이 우리의 서비스를 활용하고 있다. 데이터 셋의 경우 데이터 사이언스 분야에서 수요가 늘고 있으며, 신 기술 개발에 있어 필요한 부분이라 성장성이 기대된다. AI 활용 부분에서는 지속적인 개발을 통해 서비스를 진화해 나갈 것이다.”고 한다. 해외 진출에 대해서는 “해외 진출을 위한 파트너의 컨설팅과 가이드를 받고 있으며, 현실적인 문제들을 해결해 가며 사업 다각화와 차별화를 이뤄가겠다.”고 밝혔다.