현재의 엔드포인트 보안체계에서 가장 효율적인 보안시스템으로 인식되고 있는 ‘EDR(Endpoint Detection and Response)’은 이벤트 분석 시 수동분석에 의존한 한계점으로 PC에서 발생하는 이벤트 전부를 수집하는 것이기 때문에 발생되는 로그의 수량이 많아 분석에 어려움이 존재하며, 자동분석이 아니라 수동분석으로 로그를 분석해야 하기 때문에 이벤트 로그를 보고 악성 침해 여부를 판단할 수 있는 전문가가 개입이 반드시 필요하다.

점점 늘어나는 사이버 위협에 따라 보안 분석가의 업무부담의 상당한 증가로 엔드포인트 이벤트 분석의 정확도와 신속성이 상당히 떨어지는 현실이며 보안 분석가의 직업 기피 현상이 심화되고 있는 실정이다.

하지만 이벤트 로그를 자동으로 분석하여 악성 여부 또한 자동으로 판정할 수 있는 AI 기술 개발하여 적용한다면 이벤트 분석의 자동화 체계를 구축하여 높은 정확도와 신속한 분석의 두 가지 이점을 얻을 수 있다.

엔피코어에서 개발한 AI 기반 EDR 제품 ‘ZombieZERO AI EDR’은 전문적인 분석가가 없어도 AI에 의해 위협행위가 발생하였을 때 침해 여부를 자동으로 판단하기 위한 ‘챗봇엔진을 활용한 위협 이벤트 자동분석 및 탐지 기술’이 적용된 엔드포인트 보안 솔루션으로 제공된다.

엔피코어의 ZombieZERO AI는 지속적으로 피해가 발생되고 있는 보안위협에 대응하기 위한 방대한 양의 악성코드와 위협 관련 데이터를 분석하며 자동 학습을 통한 이미지 기반 AI 기법이 적용된 악성코드 학습 및 분류 시스템과 24가지의 악성 URL 특징을 학습한 악성 도메인 탐지 시스템을 활용한 다단계 및 혼합공격을 탐지한다.

회사측 설명에 따르면, AI 가공 솔루션은 쉽고 빠른 AI 이미지 패턴 기반의 머신러닝 기술과 비전기법(GLCM)을 이용한 대용량 파일의 정확한 탐지 기술, 회색조 기법(GrayScale)을 이용한 저용량 파일의 높은 탐지율을 자랑한다.

또 이러한 기법을 통한 AI 가공 데이터 활용 분야로는 악성코드 정밀 분석 / 측정을 하여 이미지 기반 패턴 분석을 통한 악성코드별 유사도와 상관관계 판별 제공과 악성코드유포행위의 파급력 분석을 통한 관계분석 기반의 위험도 측정이 가능하다.

또 실시간 도메인 분석을 통한(악성 URL) 확률 제공, 의심/정상/악성 3가지로 분류하여 리포트 형태로 제공하며, ZombieZERO AI 기술을 적용한 타 솔루션 (ZombieZERO APT & EDR) 제품 고도화해 솔루션 연계를 통한 악성코드 실시간 분석과 정보, AI 분석기법을 통한 악성코드 유사도 판별 기능을 제공받을 수 있다고 전했다.

ZombieZERO AI EDR의 악성코드 이미지 분석 기술과 AI기반 챗봇엔진을 적용한 EDR 특징은 다음과 같다.

△악성코드 파일 크기에 따른 GrayScale 및 GLCM 비전기법 중 이미지변환 방식 채택

△이미지화된 데이터를 기반으로 악성코드 간 동종 또는 유사계열 상관관계 판별 기술

△이미지화된 악성코드 행위에 따른 카테고리 분류기술

AI 기반 챗봇엔진을 적용한 EDR 특징은 다음과 같다.

△PC에서 발생하는 대용량의 이벤트 로그를 기존의 분석 방식보다 빠른 시간내에 분석 가능

△사용자의 pc에서 발생하는 대량의 이벤트 로그 분류 및 분석 자동화 가능

△기존의 분석가에 의한 수동 분석에서 대량의 윈도우 이벤트 로그 자동 분석에 따른 악성판단 자동화

△AI를 통한 행위 분석으로 동적 악성행위에 대한 탐지 가능

△기존의 동적 분석 방식에서 샌드박스를 우회하는 악성코드의 경우 탐지가 어려운 점이 존재했으나 적용하는 AI 기반 이벤트 행위 분석에선 환경에 맞추어 변화하여 동작하는 위협 행위 탐지 가능

★정보보안 대표 미디어 데일리시큐!★