사이버공격, 인공지능·머신러닝으로 미지의 위협 감시한다.
사이버공격, 인공지능·머신러닝으로 미지의 위협 감시한다.
  • 박현진 기자
  • 승인 2016.08.02 15:24
  • 댓글 0
이 기사를 공유합니다

NTT, "WideAngle"운용 기반에 탑재한 인공 지능을 확충하고 사이버 공격 분석 이론을 대폭 강화
AI 탑재와 머신러닝으로 강화된 "WideAngle"의 설명도(사진:NTT)

일본 NTT커뮤니케이션즈(NTT Com)는 자사의 종합 위험 관리 서비스"WideAngle"의 보안 관리 서비스(MSS)에 지난해 10월에 탑재한 인공 지능에 의한 사이버 공격의 검지 능력을 더욱 강화하고 표적형 사이버 공격이나 Web사이트의 공격 등의 미지의 공격 수법을 감지할 수 있는 기술 개발로 8월부터 순차적으로 도입한다고 1일 발표했다.

최근 기업 기밀 정보 등을 해킹하는 표적형 공격이나 Web사이트에 대한 공격은 신종의 말웨어(マルウェア)와 새로운 공격 기법 등으로 날마다, 고도화하고 있다. 이러한 미지의 보안 위협을 방어하려면 과거의 공격 기법을 바탕으로 한 패턴 매칭과 블랙 리스트 방식에 의한 검지·차단 등의 기존 대책이 불충분한 상황이였다.

NTT은 이런 수많은 미지의 보안 위협을 실시간에 검지·판별하는 구조로서 NTT보안(주) 및 NTT시큐어 플랫폼 연구소가 개발한 인공지능과 요소 기술인 기계 학습(Machine Learnig)을 활용한 기술을 "WideAngle"의 MSS의 운용 기반(SIEM)에 탑재하여 글로벌서비스를 제공한다고 지난 1일 밝힌 것이다.

더불어 이미 "WideAngle"의 MSS를 이용하고 있는 고객은 신규 신청을 하지 않고 위협 탐지 능력이 강화된 서비스의 이용이 가능하다고 밝혔다. 

표적형 사이버 공격 등의 미지의 공격 방법의 검지방법은 머신러닝을 활용하여 신종 익스플로잇 킷(ExploitKit)의 활동과 말웨어 콜백을 검지·분석하는 TIBS(Time Isolated Behavior Structure)을 도입하여, 기존 공격자가 코드의 일부 사소한 문자열의 변경 등에 의한 기존의 패턴 매칭에 의한 검출로 악성 코드에 따른 피해를 최소한으로 억제할 수 있게 됐다.

또한  Proxy/IPS등의 보안 기기를 보유하지 않을 경우에도 L2스위치 라우터, 방화벽 등의 통신 로그에서 인공지능으로 말웨어 거동과 부합한 경우를 검출하고 미지의 말웨어 감염을 검지하는 기술 IP Clustering도 도입한다.

Web사이트용의 미지의 공격 방법의 검지 방법은 고객의 Web서버의 정상적인 이용 상황을 학습하고, 외부로부터 미지의 위협을 검지·분석하는 FRAAD(Frequent Resource Access Anomaly Detection)를 도입했다. 그러면 WAF의 검출을 피할 파라미터 변경이나 패스 코드 일부 변경 등에 의한 인젝션 공격도 검출할 수 있다.

한편, NTT는 NTT보안주식회사와 함께 기업의 ICT환경을 사이버 공격으로부터 방어하는 수단으로서 인공 지능 관련 연구·개발을 가속할 것이며, 또한  IoT보안의 위협에 대한 대책에도 총력을 기울리겠다고 밝혔다.


참고)

DGA(Domain Generating Algorithm) : URL주소인 도메인 네임을 자동으로 생성하기 위한 계산 방법이며 생성 수법은 커스터마이즈(customize)가 가능하며 많은 악성 코드로 활용되고 있다.

ExploitKit : 인터넷에 접속된 PC등 다양한 취약성에 대한 임기응변식 공격이 생기고 키트 패키지화된 프로그램 군을 말한다. PC에 잠입에 성공하면 Adobe Flash, Java등의 통상 사용되고 있는 기술의 버전 체크 등을 하며, 그 취약성을 이용하는 공격용 프로그램을 다운로드하고 공격에 연결한다.

TIBS(Time Isolated Behavior Structure) : 기계 학습을 활용하는 말웨어와 ExploitKit의 일정 시간(근무 시간 내 등)에서의 유저의 행동(어떤 Web사이트에 어느 정도 접근하고 있는지, 그 Web사이트의 특징은 무엇인지 등)을 학습함으로써 정기 안티 바이러스나 URL필터링, 샌드 박스 등으로 검지 할 수 없는 미지의 감염 후의 활동을 검출할 수 있다.

IP Clustering : 감염은 정상적인 통신에도 섞이고, 복수의 수상한 통신을 발생시킨다는 특징에서 말웨어가 이용하는 통신의 프로토콜 포트 조직 등의 조합을 학습함으로써 네트워크 기기의 통신 로그가에서 미지의 말웨어 감염을 검지하는 것이 가능다. 또한 http 통신 이외의 TCP/UDP 통신에서도 말웨어를 검출할 수 있다.

FRAAD(Frequent Resource Access Anomaly Detection) : 고객의 Web서버 로그에서 정상 이용의 페이지 순서나 URL매개 변수 등을 자동 학습함으로써 WAF등 기존의 입구 대책도 빠져나가는 공격을 검지 할 수 있게 된다.

Tag
#N

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.