2019-12-12 14:15 (목)
[PASCON 2019] 다크트레이스 “위협이 아니라고 판단되는 위협적인 정상 행위들 다수 존재”
상태바
[PASCON 2019] 다크트레이스 “위협이 아니라고 판단되는 위협적인 정상 행위들 다수 존재”
  • 길민권 기자
  • 승인 2019.11.10 18:06
이 기사를 공유합니다

공급망 과정 위협 등을 머신러닝을 활용해 어떻게 관리할 수 있는지 사례 소개
PASCON 2019에서 다크트레이스 윤용관 수석이 ‘머신러닝을 활용해 위협이 아닌 위협적인 정상 행위를 관리하기’란 주제로 키노트 강연을 진행하고 있다.
PASCON 2019에서 다크트레이스 윤용관 수석이 ‘머신러닝을 활용해 위협이 아닌 위협적인 정상 행위를 관리하기’란 주제로 키노트 강연을 진행하고 있다.

전국 공공기관과 기업 개인정보보호 및 정보보안 실무자 1천여 명이 참석한 PASCON 2019가 지난 10월 29일 양재동 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

PASCON 2019에서 키노트 발표를 진행한 다크트레이스 윤용관 수석은 ‘머신러닝을 활용해 위협이 아닌 위협적인 정상 행위를 관리하기’란 주제로 강연을 진행해 큰 관심을 끌었다.

윤용관 다크트레이스 수석은 보안 관점에서 위협이 아니라고 판단되는 위협적인 정상 행위들이 다수 존재한다. 그 중 하나가 ‘공급과정 위험’(Supply Chain Risk)이다. 용역을 제공하거나 제품이 공급되면서 컨트롤하기 어려운 요소들이 많아지면서 발생되는 이런 종류의 리스크를 머신러닝을 활용해 어떻게 관리할 수 있는지 실사례를 통해 소개하는 시간을 가졌다.

다크트레이스는 영국 캠브리지에서 2013년 7월에 설립됐고 한국 지사는 2015년에 만들어졌다. 유명 수학자들과 영국과 미국 정보요원들의 협업으로 시작됐으며 머신러닝과 수학적 알고리즘에서 착안했으며 “최초의 잘 작동하는 인공지능 기반 보안솔루션”으로 성장해 가고 있다.

다크트레이스 머신러닝 엔진은 사람의 개입을 최소화하고 현재 많은 보안 대응 체계가 채택하고 있는 시그니처와 룰 기반의 접근방법을 따르지 않는 것이 특징이다. 즉 비지도학습 기반 머신러닝이다.

비지도 학습이란 학습 시 출력값에 대한 정보 없이 진행되는 학습이며 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합하다. 특히 동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분해 분류가 가능하다.

다크트레이스 윤용관 수석. PASCON 2019 강연중.
다크트레이스 윤용관 수석. PASCON 2019 강연중.

윤용관 다크트레이스 수석은 “사람은 면역체계를 통해서 정상상태를 알고 있고 이를 통해서 스스로 아픈 곳을 인지한다. 정보시스템도 정상적인 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지 할 수 있다”며 “인체의 면역 기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습 기반의 건강한 면역체계 구축을 가능하게 하는 것이 바로 다크트레이스 차세대엔터프라이즈면역시스템이다”라고 설명했다.

그는 차세대엔터프라이즈면역시스템에 대해 네트워크, 사용자, 디바이스의 다양한 행위에대한 자동학습을 통해 위협에 대한 개별요소들의 종합적인 연관 상태를 분석하고 학습하여 정상상태와 비정상적 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별한다. 시스템은 네트워크의 정상적인 상태를 학습해 위협에 민감하게 반응하고 대응할 수 있는 보안 ‘면역체계”를 강화할 수 있다고 설명했다.

또 베이지안 순환 확률 모형(RBE), 순차적 몬테카를로(sMC), LASSO 모델 등을 통해 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산해 지속적으로 ‘정상’상태를 확인하고 계산한다고 덧붙였다.

윤 수석은 몇 가지 공격 사례를 들며 현재의 APT 대응솔루션과 엔드포인트 보안솔루션의 한게 그리고 시그니처 및 샌드박시 기반의 보안솔루션에 문제점을 지적했다.

이어 실제 다크트레이스 도입 후 대응이 가능했던 사례를 소개했다.

금융기관에서 한 명의 직원이 회사 정책을 위반해 개인 메일을 확인하면서 랜섬웨어가 포함된 파일을 클릭하자 다크트레이스 자율조치 모듈이 33초만에 랜섬웨어 행위를 무효화한 사례.

의료기관에서 게이트웨이와 같이 작동하는 2대의 새로운 디바이스에서 외부서버로 내부 트래픽을 전송하는 사례가 발견됐다. 정상적인 사용자들을 가짜 로그인페이지로 리다이렉트 시킨 후 로그인 정보를 불법적으로 수집하려는 목적이었다. 이러한 피싱 행위에 의해서 사고가 발생하기 전에 다크트레이스에 의해서 신속히 발견되어 피해가 발생 되지 않았던 사례.

공공기관에서 고도의 은행 트로얀이 인터넷뱅킹 로그인 및 거래정보를 탈취하려는 시도가 있었다. 회사의 경계선 보안 솔루션에서 트로이목마를 탐지하지 못했다. 하지만 다크트레이스에 감지돼 신속히 방어된 사례.

유명 호텔에서 접속한 적이 없는 외부서버가 내부사용자 계정을 사용해 접속했다. 최근 퇴사직원의 계정이 도용 된 것이다. 다크트레이스 안티제나는 데이터가 내부네트워크에서 외부로 전송 되기 전에 자율조치 기능 적용해서 유출을 방지할 수 있었다.

대형 제조기업에서도 내부의 단말기에서 기존에 접속하지 않던 파일서버로 접속 후 압축 파일을 다운로드 하려 했다. 보안팀에 의해서 ZIP 파일에 민감한 지적재산권 정보가 포함 되어 있다는 것이 확인됐다. 다크트레이스가 보안팀이 보다 세밀한 데이터 저장 정책을 수립 할 수 있도록 지원했다.

유통회사에서는 클라우드 서비스에 저장된 고객 데이터베이스를 타깃으로 권한을 보유한 전산팀의 한 직원이 고객정보를 다운로드한 후 자택에 구축한 파일서버로 이동, 해당 직원이 외부에 고객정보를 판매하려 했지만 다크트레이스가 유출 전에 감지하고 조치를 취해 방어했다.

특정 보험회사에서도 내부의 단말기에서 비트코인 채굴 기능과 그외 여러 악성코드를 포함한 335 개의 실행 파일이 탐지됐다. 내부의 직원이 악의적인 목적을 가지고 회사의 고성능 자원을 사용해서 비트코인 채굴을 하려는 행위를 탐지해 냈다. 자율조치 모듈인 다크트레이스 안티제나가 외부채굴서버와의 통신을 방해하면서 보안팀에 경고를 발송해 채굴행위와 외부서버와의 통신을 동시에 차단한 바 있다.

PASCON 2019 전시회에 참가한 다크트레이스 부스에 많은 참관객들이 관심을 보였다.
PASCON 2019 전시회에 참가한 다크트레이스 부스에 많은 참관객들이 관심을 보였다.

윤용관 다크트레이스 수석의 PASCON 2019 발표자료는 데일리시큐 자료실에서 다운로드가능하다.

★정보보안 대표 미디어 데일리시큐!★