이글루시큐리티가 AI 보안관제 솔루션을 출시하며 AI 보안관제 사업을 강화합니다.

이글루시큐리티는 보안 경보 분석의 효율성과 알려지지 않은 위협에 대한 방어력을 높이는 AI 보안관제 솔루션 ‘스파이더(SPiDER) TM AI 에디션(Edition)’ 상용화 버전을 공개했습니다. 신제품 출시를 계기로 보안 업무의 효율성을 극대화할 수 있는 AI 기반 SOC(보안관제센터) 구현에도 속도를 붙일 방침입니다.

보안관제는 AI 기술이 적용될시 높은 효과가 기대되는 분야 중 하나입니다. 오늘날 보안 관리자들은 보안 이벤트 증가와 함께 늘어나고 있는 오탐을 최소화해 경보 처리 시간을 단축시키고 룰 기반 보안 장비로는 탐지하기 어려운 알려지지 않은 보안 위협에 대한 가시성을 높여야 하는 막중한 부담에 직면하고 있습니다. 하지만 방대한 보안 경보를 실시간 분석하고 변칙 활동 및 이상 행위를 찾아내기 위한 인력, 시간, 자원은 절대적으로 부족한 상황입니다.

스파이더 TM AI 에디션은 정상/비정상 이벤트에 대한 지도 학습을 통해 방대한 보안 이벤트 중 우선 처리해야 할 고위험 이벤트를 빠르게 선별해냄으로써 경보 분석(Incident analysis)의 효율성을 높일 수 있습니다.

AI 시스템이 내놓은 결과에 분석가의 피드백을 반영하는 프로세스를 통해 모델을 지속적으로 개선함으로써 오탐 이벤트 수를 줄이고 분석 시간을 단축시키며 보안관제 역량을 상향시키는 효과를 얻을 수 있습니다.

또 스파이더 TM AI 에디션은 이상 행위·공격자 특성 등에 대한 비지도 학습을 통해 알려지지 않은 보안 위협에 대한 대응력도 한 단계 높일 수 있습니다. 양질의 학습 데이터를 통해 검증된 이상치 탐지 알고리즘을 활용해 심각한 위협으로 발전할 수 있는 이상행위를 선제적으로 판별(Anomaly Detection) 함으로써 미탐을 최소화하고 복합적인 위협에 대한 폭넓은 가시성을 확보할 수 있게 됩니다.

이글루시큐리티는 보안 관리자들이 알려진 위협에 대한 탐지·대응시간을 단축시키고 알려지지 않은 위협에 대한 가시성을 높일 수 있도록 머신러닝 알고리즘 학습을 위한 220개 이상의 특징과 80개 이상의 위협 탐지 모델을 슾파이더 TM AI 에디션에 적용했습니다.

보안 관리자들은 경보 분석과 이상행위 탐지를 통해 도출된 위협 요소를 통합적으로 분석하는 ‘위협 인사이트(Threat Insight)’를 통해 알려진/알려지지 않은 위협에 대한 의미 있는 정보를 빈틈없이 확인할 수 있게 됩니다.

이글루시큐리티는 중장기 AI 로드맵도 소개했습니다. 앞서 구축한 AI 표준 플랫폼을 토대로 위협 예측에서 거버넌스까지 모든 보안 단계에 인공지능을 적용하는 차세대 AI 기반 SOC를 구현하는데 중점을 둘 방침입니다.

진화하는 사이버 위협에 보다 기민하게 대응할 수 있는 사이버 대응체계 고도화를 위해 선제적 예측 및 예방, 행위 기반 이상행위 탐지 고도화, 보안 오케스트레이션 및 자동화, 위협 헌팅, 데이터 사이언스 기반 분석 및 정책 최적화 등의 기술을 단계별로 적용합니다.

이글루시큐리티 조창섭 부사장은 “AI 보안관제는 보안관제 솔루션, 보안전문가, 보안관제방법론의 3요소가 유기적으로 결합될 때 가장 큰 효율성을 발휘할 수 있다. 이글루시큐리티는 양질의 학습 데이터를 지속적으로 만들어낼 수 있는 전문 보안 인력을 확보하고 있고 보안관제 역량을 끌어올릴 수 있는 보안관제방법론 개발과 개선에도 오랜 시간 힘을 기울여왔다. 이번에 선보이는 AI 보안관제 솔루션 스파이더 TM AI 에디션을 통해 보안관제의 효율성을 극대화하겠다”고 밝혔습니다.

디지털포렌식 및 네트워크 보안 전문업체 인섹시큐리티는 멀웨어 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox) v25’인 ‘타이거스 아이(Tiger's Eye)’를 국내 출시했다고 밝혔습니다.

‘조샌드박스’는 윈도, 맥OS, 안드로이드, iOS, 리눅스 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼입다.

조시큐리티 조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro), 베이직(Basic) 및 OEM 서버는 이미 ‘타이거스 아이(Tiger's Eye)’로 업그레이드됐으며 주요 특장점은 다음과 같습니다.

조샌드박스 v25는 약 100개 이상의 새로운 악성행위 시그니처(Behavior Signatures) 기반 분석, 오피스 문서 분석을 위한 OCR(문자인식기술, Optical Character Recognition) 제공, 멀웨어의 언패킹(압축되지 않은 Unpacking) 단계에서의 탐지, 마이크로소프트(Microsoft)의 안티 멀웨어 스캔 인터페이스(Anti Malware Scan Interface, 이하 AMSI)와 통합, 멀웨어 샘플 분석이 필요한 경우 사용할 수 있는 ‘제출(Submission) 옵션’ 제공, JA3 지원, 이상 메일 수신시 알람을 발송하는 ‘조샌드박스 메일 모니터 2.0.0(Joe Sandbox Mail Monitor 2.0.0)’ 제공, 유사한 공격 행위를 분석할 수 있는 ‘조샌드박스 클래스 3.0.0(Joe Sandbox Class 3.0.0)’ 제공, 안드로이드 8.0 보안 환경 분석 지원 추가, 보안 환경 신뢰도 점수 제공 등을 강화했습니다.

조샌드박스(Joe Sandbox)는 최근 ExileRAT, LuckyCat RAT, LokiBot, Anubis Loader 등 시그니처 업데이트를 통해 최신 위협 및 회피 행동을 정확하게 탐지할 수 있습니다.

악성 오피스 문서에는 사용자가 매크로를 활성화시키거나 낮은 보안 수준으로 설정하도록 유도하는 이미지 및 텍스트가 포함돼 있는 경우가 많습니다. 조샌드박스 타이거스 아이(Joe Sandbox Tiger 's Eye)는 오피스 문서 콘텐츠에 대한 새로운 OCR 추출 기술을 적용해 이 같은 위험을 정확하게 탐지할 수 있습니다. 이 기능은 최신 오피스 버전에서 작동하지 않는 오래된 익스플로잇이 포함된 악의적인 문서 탐지에 매우 유용합니다.

현재 모든 멀웨어의 99%는 패킹(압축)돼 있습니다. 타이거스 아이(Tiger's Eye)는 멀웨어 내 PE 파일 덮어쓰기(overwriting) 및 동적 코드 로딩(dynamic code loading)에 대한 시그니처 기반 탐지를 지원합니다.

조샌드박스 v25는 마이크로소프트(Microsoft)의 안티 멀웨어 스캔 인터페이스(Anti Malware Scan Interface, 이하 AMSI)를 사용할 수 있습니다. 새로운 쿡북(cookbook) 명령어 _JBEnableAMSI()가 추가될 때 조샌드박스는 모든 AMSI 버퍼 출력을 캡처합니다. 이를 통해 조샌드박스 v25는 악의적인 Javascript, VBS, Powershell 및 ‘Microsoft Office Macros’의 패킹(압축)을 풀고 파일복호화(deobfuscate)를 실행할 수 있습니다.

명령행 인자(command line argument)를 요구하는 멀웨어 샘플을 분석하고자 하는 경우 타이거스 아이(Tiger's Eye)는 다음과 같은 새로운 제출 옵션을 제공합니다.

명령행 인자(command line argument) 옵션 외에도 아카이브 암호를 지정할 수 있는 새로운 옵션도 제공합니다. 로컬 안티바이러스 에이전트가 파일을 삭제하지 못하도록 암호가 지정된 Zip 아카이브에 모든 멀웨어를 보관하는 경우 사용자는 비밀번호를 제출 옵션으로 추가할 수 있으며 조샌드박스는 제출 시에 파일을 자동 추출합니다.

JA3는 SSL/TLS 클라이언트 지문을 생성해 사이버 위협 인텔리전스를 손쉽게 공유할 수 있도록 지원합니다. JA3 지문은 네트워크 섹션 HTTPS 패키지에서 찾을 수 있습니다.

타이거스 아이(Tiger's Eye)는 새로운 기능이 추가된 조샌드박스 메일 모니터 2.0.0(Joe Sandbox Mail Monitor 2.0.0)를 지원합니다. 아래와 같이 메일 모니터(Mail Monitor)는 이메일 수신 시에 알림을 보낼 수 있다.

또 여러 분석(첨부 및 링크)에 대한 요약 알림을 보낼 수도 있으며 향상된 설정 인터페이스를 사용할 수 있다.

타이거스 아이(Tiger's Eye)에는 조샌드박스 3.0.0(Joe Sandbox 3.0.0)이 포함돼 있습니다. 조샌드박스 3.0.0은 유사성 분석을 위해 조샌드박스의 대용량 악성 행위 시그니처 세트를 사용하는 새로운 엔진이 탑재되어 있는데 이를 통한 가장 큰 이점은 클래스 3.0.0이 윈도, 안드로이드, 맥 OS, 리눅스에서 유사한 샘플을 탐지할 수 있다는 것이며 또 한 가지 이점은 유사성 알고리즘이 멀웨어의 프로그래밍 언어와 독립적으로 작용한다는 점입니다. 유사성은 전체 보고서에서 유사한 샘플 리스트와 함께 그래프를 통해 시각화된다. 아래 화면은 최근 샘플을 통한 유사성 그래프입니다.

안드로이드 8.0에 대한 지원이 추가돼 결과적으로 안드로이드 8.0에서 안드로이드 멀웨어를 분석할 수 있습니다.

최근 안드로이드 멀웨어에 모션 트리거를 기반으로 하는 새로운 회피 기법이 기승을 부리고 있습니다.

안드로이드 기기는 모션 데이터(예를 들어 자이로스코프 - 단말기의 각도와 각속도를 측정하는 센서)를 수신하는 경우에만 멀웨어의 페이로드가 실행됩니다.

페이로드를 활성화하기 위해 쿡북 명령어 _JBSimulateMotion()을 추가했습니다. 이 명령은 최대 200개의 단계를 시뮬레이션합니다.

안드로이드 분석에는 신뢰도 점수가 새롭게 포함된다. 이 신뢰도는 조샌드박스가 탐지에 대해 얼마나 확신하는지를 수치로 보여줍니다. 신뢰 점수와 결합된 탐지 의견을 통해 매우 정확한 탐지가 가능해집니다.

에이티솔루션즈가 소프트웨어 기반의 보안 매체(Secure Element) 솔루션인 ‘엠세이프박스(mSafeBox)’를 개발해 출시했습니다.

일반적으로 보안상 중요한 정보를 처리해야 하는 금융권 등에서는 안전한 모바일 애플리케이션 서비스를 제공하기 위해 유심(USIM), 트러스트존(Trustzone) 등 하드웨어 기반의 보안 매체를 활용해왔습니다. 하지만 하드웨어 기반의 보안 매체는 기기, 운영체제 등 고객의 모바일 환경에 따라 사용이 제한되는 문제가 있었습니다.

엠세이프박스는 기존의 USIM, 트러스트존(Trustzone)과 같은 하드웨어 기반의 보안매체와 동일한 형식으로 암호화 키 뿐 아니라 암호화 알고리즘까지 보호해 높은 보안성을 제공하며 소프트웨어 방식으로 구현돼 기기별 또는 운영체제(OS)별 파편화 문제를 해결한 인앱(In-app)으로 서비스를 제공하는 소프트웨어 기반 보안 매체입니다.

하드웨어 기반의 보안 매체는 실행을 위해 별도의 에이전트 어플리케이션 설치를 필요로 했지만 이 제품은 그러한 문제에서도 자유롭습니다.

엠세이프박스는 화이트박스(Whitebox) 암호화 기술 기반의 특수 보안 매체 솔루션으로 중요 정보나 알고리즘을 일반 실행 공간으로부터 논리적으로 분리해 매우 높은 수준의 보안 환경을 구현함으로써 애플리케이션과 애플리케이션 내 중요한 정보들을 안전하게 보호하고 실행할 수 있도록 설계됐습니다.

운영체제 환경에서 일반적으로 제공하는 소프트웨어 기반 키스토어(Keystore)나 키체인(Keychain) 등은 보안 스토리지로 이용되나 암호화 과정에서 사용되는 주요 알고리즘을 보호할 수 없어 암호화 키가 노출될 위험성이 있는 반면에 엠세이프박스는 암호화 키 뿐 아니라 주요 알고리즘까지 특수보안 영역에 저장 및 실행해 타 소프트웨어에 비해 현격히 높은 보안 수준을 보장할 수 있습니다.

뿐만 아니라 기기 제조사 및 OS에 따른 개별적인 개발 및 관리가 필요한 타 솔루션과 달리 엠세이프박스는 폭 넓은 커버리지를 제공하고 안드로이드 및 iOS 등 운영체계와 관계 없이 모든 환경에 적용이 가능하며 별도 애플리케이션 설치 없이 인앱(In-app) 방식으로 서비스 지원이 가능합니다.

엠세이프박스는 단말기와 OS에 대한 의존도를 낮춰 범용성을 높이고 에이티솔루션즈에서 수년간 축적한 노하우로 기기 변경 또는 OS 버전 업그레이드 시 실시간 대응 및 지원이 가능해 추가 개발 및 운영 대응에 대한 부담을 최소화할 수 있다는 것도 큰 강점입니다.

에이티솔루션즈는 향후 엠세이프박스를 국내외 금융사 및 통신사에 공급하는 한편 보안 매체 생태계를 확대하기 위한 연구 및 개발을 지속적으로 확대할 예정입니다.

나무소프트가 20인 미만 조직의 파일 공유와 협업을 위한 NAS(Network attached Storage)형 보안 파일저장 장치인 ‘FilingBOX MINI(파일링박스 미니)’를 출시합니다.

그동안 주력해온 랜섬웨어 예방 및 PC 백업과 문서협업 솔루션의 기술력을 바탕으로 소규모 조직에서 랜섬웨어를 예방하면서 파일의 보관 및 협업이 안전하게 이루어질 수 있도록 하드웨어 형태의 제품을 공급합니다.

파일링박스 미니를 인터넷 공유기에 연결한 뒤 사용자 PC에서 접속하기만 하면 곧바로 사용이 가능해 중소기업의 파일 보안 강화에 안성맞춤입니다.

파일링박스 미니는 파일 생성은 한 번만 되며 생성된 이후에는 읽기만 가능하고 수정/삭제는 불가능한 WORM(Write Only Read Many) 기능을 적용해 랜섬웨어를 완벽하게 예방합니다.

평상시에는 읽기 전용으로만 파일을 저장하고 있어 랜섬웨어가 저장 장치에 들어온다고 하더라도 다른 파일들을 변조할 수 없으며 로그인한 사용자가 윈도우탐색기에서 편집 모드로 파일을 열었을 때만 수정이 가능해 안전성과 편리성을 모두 고려했습니다. 사용자가 접속하면 윈도우탐색기의 드라이브로 마운트되어 누구나 쉽게 사용할 수 있게 개발됐다.

또 파일링박스 미니에 저장되는 모든 파일은 국제표준인 AES방식으로 암호화된 상태로 저장돼 본인 또는 구성원만이 파일 내용을 열어볼 수 있어 혹시라도 장치를 분실하거나 도난당하는 경우에도 파일 내용의 유출을 걱정할 필요가 없습니다.

암호화 및 복호화 과정도 평소처럼 파일을 저장하고 읽을 때 자동으로 이루어져 사용자는 별도의 조작 없이 중요 파일을 분리된 공간으로 암호화해 보관할 수 있게 됩니다.

공유를 목적으로 하는 팀 폴더 외에도 개인 폴더를 별도로 제공해 본인만 열람해야 하는 각종 자료를 보관할 수 있도록 해 보안 파일 금고 및 파일 서버로 모두 활용이 가능합니다.

한편 파일링박스 기업용 솔루션은 랜섬웨어 대응 및 공유체계 구축을 필요로 하는 공공기관 및 기업에 도입이 계속되고 있으며 한국석유공사, 경찰청, 인천 남동구청, 대전 대덕구청, 광주 북구청, 중앙입양원, NH투자증권, KB국민은행 등에서 도입하고 있습니다.

안랩은 자사의 대표적 개인사용자용 무료 PC 백신프로그램 V3 라이트(Lite)에 랜섬웨어 대응 신규 기능과 사용자 친화적 UI(사용자환경)를 적용 완료했습니다.

안랩은 기존 V3 라이트의 강력한 악성코드 탐지 및 차단 기능에 ▲안티랜섬웨어 툴(Anti Ransomware Tool) 통합으로 ‘랜섬웨어 정밀 검사기능’ 제공 ▲중요한 정보에 집중할 수 있도록 개선한 메인 UI를 적용하는 등 랜섬웨어 대응 기능과 UI를 추가했습니다.

안랩은 그동안 베타(Beta) 프로그램으로 별도 제공하던 신·변종 랜섬웨어 탐지 및 격리 프로그램 ‘안티랜섬웨어 툴’을 V3 라이트에 통합했습니다. 이번 통합으로 기존 V3 라이트의 랜섬웨어 대응 기능에 ASD(AhnLab Smart Defense, 클라우드 기반 분석 시스템)가 분류한 의심파일을 별도의 가상 공간에 격리해 한 차례 더 검사하는 ‘랜섬웨어 정밀검사’ 기능을 새롭게 추가해 신·변종 랜섬웨어 대응력을 강화했습니다.

안랩은 그간 사용자의 이용 데이터를 분석해 많이 사용하는 기능을 메인 화면에 배치하고 PC상태를 한눈에 파악할 수 있도록 메인 화면을 개편했습니다.

사용자들이 많이 사용하는 기능인 PC 검사, PC 최적화 등을 메인 화면에 배치하고 다른 검사옵션과 PC관리 기능도 첫 화면에서 모두 실행 가능하도록 구성했습니다. 또 초록/주황/빨강의 세 가지 색으로 PC 보안 상태를 직관적으로 표시해 사용자 편의성을 높였습니다.

안랩은 올해 하반기부터 순차적으로 개인용 유료 및 기업용 V3 제품군에도 안티랜섬웨어 툴 기능 통합과 신규 UI를 적용해 나갈 예정입니다.

안랩 EPN사업부를 총괄하는 강석균 부사장은 “랜섬웨어 등 보안 위협이 끊이지 않는 가운데 개인 PC 보안은 점점 중요해지고 있다”며 “이런 환경에서 사용자들이 더욱 안전하고 편리하게 PC를 이용할 수 있도록 랜섬웨어 대응력과 사용자 편의성을 강화했다. 안랩은 앞으로도 ‘안전해서 더욱 자유로운 세상’이라는 비전을 실현하기 위해 노력할 것”이라고 말했습니다.

융합 보안 SW 전문기업 쿤텍이 글로벌 보안 솔루션 기업인 ‘사이버리즌(Cybereason)’이 엔드포인트 보안 솔루션 ‘사이버리즌 EDR(Cybereason EDR)’과 ‘사이버리즌 NGAV(Cybereason NGAV)’에 보다 강력하고 자동화된 보안 위협 탐지 및 대응 기능들을 추가했다고 밝혔습니다.

사이버리즌은 지난 2012년 이스라엘 사이버부대 출신들이 설립한 글로벌 보안 솔루션 기업으로 ‘사이버리즌 EDR’과 ‘사이버리즌 NGAV’가 대표 솔루션입니다.

사이버리즌 EDR(Endpoint Detect and Response)은 엔드포인트 기기에서 정보를 수집해 사이버 공격의 징후를 상관분석 및 머신러닝으로 실시간으로 자동 탐지하고 대응하는 엔드포인트 침해 사고 대응 솔루션이며 사이버리즌 NGAV(Next Generation Antivirus)는 모든 종류의 악성 코드를 차단할 수 있는 안티바이러스 솔루션입니다.

사이버리즌은 위협 행위를 여섯 개의 단계로 구분하고, 위협 발생 시 각 위협을 단계별로 탐지해 해당 공격 단계를 시각적으로 보여주는 ‘사이버 킬 체인(Cyber kill chain)’ 기술과 자체적으로 지능형 악성코드를 분류할 수 있는 ‘머신러닝’으로 해당 위협에 대한 대응의 우선순위를 자동으로 제공합니다.

또 파일리스(Fileless: 감염 시 특정 파일이 생성되지 않는 형태) 악성코드, 랜섬웨어, 더 나아가 확장감염까지도 방지할 수 있어 기존 시그니처 기반의 안티바이러스 솔루션의 한계를 보완할 수 있습니다.

사이버리즌은 이번 업데이트를 통해서 ‘공격 트리 방법론’, ‘사용자 지정 검색 규칙’, ‘마이터어택(Mitre ATT&CK)’ 등의 새로운 기능을 플랫폼에 추가했습니다.

공격 행위를 트리 형태로 가시화해 확인할 수 있는 ‘공격 트리 (Attack Tree) 방법론’ 기능을 활용해 정확한 분석 및 대응 방안 강구 가능해졌습니다.

‘공격 트리’는 시스템에 대한 공격에 대하여 목표에 도달하기 위한 행위들을 트리 형태로 가시화한 형태로 이용자가 전체적인 사이버 공격을 신속하게 이해할 수 있도록 지원합니다. 공격 트리 기능의 추가로 이용자는 보안 프로세스의 대규모 데이터 집합을 분석할 수 있어 악의적 행동에 대한 심도 깊고 명확한 판단과 대응이 가능합니다.

사용자 지정 검색 규칙 (Custom Detection Rules) 자동 설정 기능을 통해 신속한 공격 대응도 가능해졌습니다.

‘사용자 지정 검색 규칙’은 의심스러운 행동 및 위협적인 행동을 검색하는 프로세스를 자동화 할 수 있도록 합니다. 이용자는 사이버리즌의 UI로 사용자 지정 검색 규칙을 생성하고 이를 악성코드 분석에 활용할 수 있습니다.

이를 통해 보안 위협과 관련된 각종 행위들을 손쉽게 검색할 수 있고 다양한 악의적인 활동을 분석하여 얻은 정보를 자동화하여 새로운 공격 유형 대응에 활용할 수 있습니다.

공격 유형 분석 목록을 제공하는 ‘마이터어택 (Mitre ATT&CK; Adversary Tactic Technique & Common Knowledge) 매트릭스’를 활용해 사이버 위협에 대응할 수 있습니다.

‘마이터어택’은 사이버 공격의 다양한 유형을 분석한 지식 기반 모델의 보안 프레임워크로 200가지 이상의 공격 유형 및 행동 패턴을 목록화해 제공합니다. 사이버리즌은 마이터어택을 활용해 이용자가 사이버 위협의 유형을 쉽게 파악하고 적절하게 대응할 수 있도록 지원합니다.

또 사이버리즌은 위의 기능들과 함께 침해 사고에 대한 대응 프로세스를 간소화하고 이에 따라 대응 프로세스의 속도를 높이기 위해 관리자가 직접 사이버 위협 대응 작업을 수행할 수 있도록 지원하는 원격 쉘 유틸리티(RSU; Remote Shell Utility) 기능을 추가로 제공합니다.

쿤텍 신영섭 이사는 “사이버리즌은 EDR과 NGAV를 통해 모든 종류의 악성코드를 탐지해 보안 사고를 방지할 수 있도록 지원하며 지능형 악성코드를 분류해 대응 방안을 종합적으로 제공해왔다. 이번 추가 기능 업데이트로 이용자가 신속하게 위협을 탐지하고 각종 사이버 위협에 대한 독창적인 접근 방식을 구축할 수 있도록 지원할 수 있게 됐다”고 말했습니다.