2023년 초 기술특례 상장을 앞두고 있는 케이사인 자회사 샌즈랩(대표 김기홍)이 자사가 연구한 “다차원 메타 데이터 추출 분석 기반 비실행형 악성코드 프로파일링 및 탐지 기술”로 전년도에 이어 산업통상자원부 국가기술표준원으로부터 2년 연속 신기술(NET)인증을 획득했다고 20일 밝혔다.

신기술(NET)인증은 국내에서 최초로 개발되거나 기존 기술을 혁신적으로 개선하여 상용화 및 기술 거래를 촉진시킨 우수 기술을 대상으로 부여된다. 전 산업 분야에서 대기업을 포함하여 매년 300~400여 건의 신청이 접수되지만 최종적으로 인증이 수여되는 기술은 60~70건에 불과하고, 특히 정보통신 분야는 차수 당 3~4건 내외의 기술만 인증을 받을 정도로 국내에서 가장 난이도가 높은 인증 중 하나이다. 

샌즈랩은 지난해에 이어 올해 2년 연속으로 NET신기술 인증을 수여받았다. 

샌즈랩 신기술의 핵심은 최근 APT 공격 등에 주로 사용되고 있는 비실행형 파일(문서형 악성코드)을 분석하여 핵심 메타데이터를 추출하고 벡터화시킨 데이터셋을 구축하여, 이를 공격자 그룹과 공격기법별로 학습시켜 프로파일링 할 수 있다는 것이다. 비실행형 파일은 직접 디스어셈블을 수행하기 힘들어서 메타데이터 추출이 쉽지 않은데 이것을 자동화하여 프로파일링 할 수 있는 고급 분석 기술을 확보한 점이 기존 기술과는 차별화되는 기술로 평가 받았다. 

해당 기술을 이용하면 PDF, HWP, XLS 등 각종 문서형 파일을 악용한 APT 공격을 인공지능 기술을 이용하여 빠르게 사전식별 할 수 있다. 또한, 단순히 유입된 파일의 악성 여부만 파악하는 것이 아니라 MITRE ATT&CK 기준 공격자와 공격기법에 대한 프로파일링 정보까지 함께 제공할 수 있어 중요한 인텔리전스 근거들을 자동화하여 확보할 수 있다. 이를 이용하면 기존 전문가들이 3~5일 동안 분석해야 가능했던 작업을 10분 내외로 단축 시켜 단위 시간 동안 더 많은 분석을 가능하게 함으로써 나날이 고도화되고 증가하는 사이버 보안 위협에 보다 능동적이고 효율적으로 대응할 수 있는 핵심 기술로 활용될 수 있다. 

샌즈랩 김기홍 대표는 “2021년에 확보한 실행형 파일에 대한 프로파일링 신기술에 이어, 2022년 올해 확보한 신기술은 비실행형 파일에 대한 프로파일링 기술이다.”면서 “최근의 공격들은 사회공학적인 기법을 활용하여 업무용 정상 이메일로 위장한 스피어 피싱과 같은 비실행형 파일 포맷으로 확장된 공격들이 많아지고 있어, 기존 실행형 파일 분석 기술만으로는 대응에 한계가 있다. 이에 고도화되고 있는 APT공격을 능동적으로 대응하기 위해서 본 기술은 반드시 필요로 하는 핵심 기술이며, 인공지능을 활용한 공격자와 공격기법을 프로파일링 할 수 있는 미래 활용 가치가 높은 기술을 신기술로 인증 받게 되어 더욱 의미가 있다.”고 밝혔다. 

특히, 샌즈랩은 2022년 한국인터넷진흥원에서 진행하고 있는 “위협프로파일링” 분야 AI데이터셋 구축 사업에도 참여하고 있다. 본 기술을 이용하여 국내외에서 활동하고 있는 130여개의 공격 그룹들이 사용한 각종 비실행형 파일에 대한 메타데이터를 추출하여 데이터셋화 하는 작업을 수행하고 있으며, 이를 통해 구축된 데이터들은 한국인터넷진흥원 사이버보안빅데이터센터를 통해 민간에 개방될 예정이다. 

한편 샌즈랩은 국내외 다양한 위협 정보를 수집 및 분석하여 자체적으로 보유한 멀웨어즈닷컴을 통해 정보 제공 서비스를 진행하고 있으며, 올해 인증 받은 신기술 또한 자사의 서비스와 솔루션을 통해 고객들이 사용할 수 있도록 제품화 해나갈 계획을 가지고 있다.

★정보보안 대표 미디어 데일리시큐!