뉴스 본문

Sophos Intercept X, 기존 머신 러닝보다 효과적인 딥 러닝을 통해 차세대 엔드포인트 보안 시장에 최고의 탐지율과 가장 낮은 오탐지율 제공

네트워크 및 엔드포인트 보안 분야의 글로벌 선도기업인 소포스 (LSE: SOPH, 한국지사장 김봉근)는 고급 딥 러닝 신경 네트워크를 통한 멀웨어 탐지 기능을 갖춘 ‘인터셉트 X(Intercept X)’를 출시했다. 새로운 액티브 해커 완화, 고급 애플리케이션 록다운(lockdown) 및 강화된 랜섬웨어 보호 기능을 비롯해, 차세대 엔드포인트 보호 기능을 포함한 최신 버전은 이전에 볼 수 없었던 획기적인 수준의 탐지 및 방지 기능을 제공한다.

딥 러닝은 머신 러닝 중 가장 진화된 형태로, 관찰 가능한 모든 위협 환경을 학습할 수 있는 확장형 탐지 모델을 제공한다. 또한 수억 개의 샘플을 처리할 수 있어 전통적인 머신 러닝에 비해 훨씬 적은 오탐지율과 빠른 속도로 더욱 정확한 예측이 가능하다.

소포스 아시아 및 한국 총괄이사인 수밋 밴잘(Sumit Bansal)은 "전통적인 머신 러닝 모델은 보안 위협 전문 분석가가 주관적이고 인간적인 요소를 추가하여 모델을 교육할 속성을 선택하는 데에 의존한다. 또한 데이터가 더 많이 추가될수록 복잡해지고, 모델 크기가 기가비트 수준에 이르면 다루기 번거롭고 느려진다. 관리자가 어느 것이 멀웨어이고 어느 것이 합법적인 소프트웨어인지 판단할 때 심각한 오탐지율을 보여 IT 생산성을 저하시키는 경우도 있다”라고 말했다. "반면, Intercept X의 딥 러닝 신경 네트워크는 경험에 기반한 학습을 통해 관찰된 행동과 멀웨어 간의 상관관계를 생성하도록 고안됐다. 이러한 상관관계는 기존 및 제로데이 멀웨어 모두에 대해 정확도를 높이고 오탐지율을 낮추는 결과를 가져온다. ESG(Enterprise Strategy Group) 랩 분석 결과, 이 신경망 모델은 쉽게 확장이 가능하고 더 많은 데이터가 입력될수록 모델이 더욱 스마트해진다. 따라서 관리 또는 시스템 성능 저하 없이 적극적인 탐지가 가능하다"고 덧붙였다.

새로운 Sophos Intercept X 버전에는 안티랜섬웨어와 익스플로잇 차단 및 신원 도용 방지와 같은 액티브 해커 완화 기능 등의 혁신적인 기술들이 포함된다. 멀웨어 방지 기능이 향상됨에 따라, (해커들의) 공격들도 합법적인 사용자로 시스템과 네트워크에서 이동하기 위해 필요한 자격 증명 절도에 주력하고 있으며, Intercept X는 이러한 동작을 감지하고 차단한다. 클라우드 기반 관리 플랫폼인 ‘소포스 센트럴(Sophos Central)’을 통해 배포되는 Intercept X는 다른 벤더의 기존 엔드포인트 보안 소프트웨어와 함께 설치하여 바로 엔드포인트 보호 기능을 강화할 수 있다. 소포스 XG 방화벽(Sophos XG Firewall)과 함께 사용 시, Intercept X는 싱크로나이즈드 보안 (Synchronized Security) 기능을 추가해 보호 기능을 더욱 강화한다.

소포스 제품 부문 수석 부사장 겸 총괄 관리자인 댄 시아파(Dan Schiappa)는 "예측적인 보호는 IT 보안의 미래다. 소포스는 업계를 선도하는 Intercept X의 익스플로잇 및 랜섬웨어 방지 기능에 딥 러닝 신경 네트워크를 도입하여 큰 발전을 이뤘다. 알려지지 않은 다음 공격을 수수방관하지 않고 선제적으로 차단할 수 있다면 모든 조직의 IT 운영에서 사용자와 자산을 보호하는 방법이 완전히 바뀔 것이다. Intercept X는 조직의 현재 전략에 관계없이 모든 조직에 가장 뛰어난 차세대 보호 기능을 제공할 수 있다"라고 말했다.

Intercept X는 2016년 9월에 처음 출시되었으며 전 세계적으로 수만 개의 조직에서 그 성능을 입증했다. Intercept X의 최신 버전을 제공하는 사전 프로그램에 참여한 고객들은 새로운 기능에 대해 다음과 같은 의견을 남겼다.

소포스의 고객인 Strong & Hanni PC의 기술서비스 이사인 데니 파이필드(Denney Fifield)는 "잘못된 긍정(False Positive)으로 판단되는 위협은 실제 위협만큼이나 시간을 많이 소모한다. IT 자원이 제한되어 있다면, IT 직원이 그림자를 추적하는 것이 아니라 목표를 지원하도록 하고 비즈니스가 효율적으로 운영되도록 하는 데 주력하기를 원할 것이다. 아직까지 딥 러닝을 통한 높은 수준의 탐지와 낮은 수준의 오탐지율을 Intercept X만큼 훌륭하게 제공할 수 있는 다른 제품은 찾지 못했다. 우리는 전사적으로 Intercept X를 도입하고 싶다"라고 말했다.

소포스의 고객인 Kimbolton School의 IT 기술자 알렉스 브래드쇼(Alex Bradshaw)는 "우리는 복구까지의 다운타임 48시간과 생산성 손실을 초래하는 랜섬웨어 공격에 시달렸다. 매일 IT 운영에 의존하는 교수진 및 학생들은 심한 스트레스와 불편함을 겪어야 했다. Intercept X는 단 5분만에 설치되었고 전체 스캔이 10분만에 끝났다. Intercept X를 설치한 후로는 랜섬웨어 공격으로부터 어떠한 영향도 받고 있지 않다"라고 말했다.

Intercept X의 새로운 기능은 다음과 같다: 딥 러닝 멀웨어 탐지

•딥 러닝 모델은 알려진 멀웨어와 알려지지 않은 멀웨어, 잠재적으로 원치 않는 애플리케이션 (PUA)이 실행되기 전에 서명에 의존하지 않고도 이를 탐지한다.

•딥 러닝 모델은 20MB 미만이며 업데이트가 자주 필요하지 않다.

능동적인 위협 완화

•자격 증명 도난 방지 - 미미캐츠(Mimikatz)와 같은 공격을 통해 활용되는 메모리, 레지스트리 및 영구 저장소에서의 인증 암호 및 해시 정보의 도난을 방지한다.

•코드 케이브(Code Cave) 활용 - 다른 애플리케이션에 배포된 코드의 존재 여부를 감지하며 지속성 및 바이러스 방지에 사용된다. 

•APC 보호 - APC(Application Procedure Call)의 남용을 탐지한다. APC는 아톰바밍 (AtomBombing) 코드 주입 기술의 일부로 자주 사용되었으며 최근에는 이터널블루 (EternalBlue) 및 더블펄사(DoublePulsar)를 통해 워너크라이(WannaCry) 웜 및 낫페트야 (NotPetya) 와이퍼를 확산하는 방법으로 사용된다 

새롭고 강화된 공격 방지 기법

•악성 프로세스 마이그레이션 - 시스템에서 실행 중인 프로세스 간 이동을 위해 공격자가 사용하는 원격 반사 DLL 주입을 감지한다.

•프로세스 권한 에스컬레이션 - 상위 시스템 액세스 권한을 얻기 위해 사용되는 전술인 권한이 낮은 프로세스가 높은 권한으로 에스컬레이션되는 것을 방지한다.

향상된 애플리케이션 록다운

•브라우저 행동 록다운 - Intercept X는 기본 행동 록다운으로 브라우저에서 파워셸 (PowerShell)을 악의적으로 사용하는 것을 방지한다.

•HTA 애플리케이션 록다운 – 브라우저에서 로드한 HTML 애플리케이션에 브라우저와 같이 록다운 완화 기능을 적용한다.