<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">

EDR 새로운 세상이 온다 ② 머신러닝과 신규 플레이어의 등장

 

본 블로그에서 다루고 있는 백서의 내용은 지니안 인사이츠 E(Genian Insights E, 이하 인사이츠) 솔루션이 악성코드의 탐지를 위해 사용하는 머신러닝(ML)에 대하여 소개합니다. 이와 더불어 딥러닝 등 새로운 기술 및 제품에 대한 이해를 높이는 것이 목적입니다. 아래 블로그 내용에 대해 보다 자세하게 알고 싶으신 분들은 ML 백서(click), 브로셔, 제품소개서, 데이터시트를 참조해주세요.

 

Ⅰ. Introduction

악성코드 탐지 분야에서 딥러닝의 발전과 활용은 혁명에 가깝다고 볼 수 있습니다. 최근 APT 공격, 랜섬웨어 등 지능형 위협이 증가함에 따라 패턴 기반의 백신 제품 군의 탐지 및 대응능력이 한계에 이르고 있습니다. 이러한 변화에 따라 시만텍 등 전통적인 보안업체들의 머신러닝 도입 가속화와 더불어 차세대 단말보안(NGES), 차세대 백신(NGAV) 등의 신규 플레이어들이 주목을 받고 있습니다.

신규 플레이어들(CYLANCE, SentinelOne, BLUVECTOR, invincea)은 머신러닝을 통해 악성코드를 탐지하고, 시스템의 비정상 행위를 감지하여 위협을 제거합니다. 탐지된 위협의 근본 원인, 파일, 프로세스, 네트워크 등의 상호 연관관계를 분석하고 대응의 범위를 확장하여 보다 정밀한 대응이 가능하게 됩니다. 또한 다양한 시각화 기법을 제공하여 위협에 대한 가시성 확보와 대응의 적시성을 보장합니다. 이를 통해 기존 백신과 단말보안 제품이 제공하는 기능과 효용을 크게 뛰어넘었다는 평가를 받고 있습니다.

어떻게 불과 수 년 사이에 이러한 변화가 가능해진 것일까요?

 

Ⅱ. 신규 플레이어의 등장

지니언스는 이러한 변화의 중심에 머신러닝 기술이 있다고 보고 있습니다. 특히 딥러닝(심층 학습, Deep Learning)은 다른 머신러닝의 학습방법과 비교 시 프로그래밍의 수고를 크게 덜어 주었습니다. 과거 머신러닝을 활용하는데 있어 가장 큰 걸림돌은 피처 엔지니어링(Feature Engineering)이었는데 딥러닝 기술은 이러한 피처의 추출과 학습이 자동으로 이루어지는 방법입니다. 따라서 대량의 데이터와 컴퓨팅 파워가 제공된다면 산출결과를 충분히 신뢰할 수 있습니다. 정리하면 아래와 같은 요인이 딥러닝의 발전과 함께 새로운 플레이어의 등장을 가속화했다고 할 수 있습니다.

1. 데이터 비용의 감소

과거와 비교하여 현재는 수천만 장의 고해상도의 이미지뿐만 아니라 유튜브, SNS 등도 데이터로 활용되고 있습니다. 특히 랜섬웨어 등의 악성코드의 경우 사이버 위협 인텔리전스(Cyber Threat Intelligence)의 발전으로 공유 및 협업이 더욱 중요해지고 있습니다. 바이러스토털(VirusTotal), 멀웨어스닷컴(malwares.com), 멀코드(Malc0de) 등 악성코드의 협업 플랫폼이 확대되면서 양질의 분류데이터(Labeled Data)를 손쉽게 획득할 수 있어 재처리 비용이 감소하였습니다.

2. 하드웨어의 발전

머신러닝의 학습과정은 엄청난 연산능력을 요구합니다. 기존 CPU에 비해 GPU는 수십 개 이상의 코어를 보유할 수 있으며, 이를 병렬로 처리하는 경우 다중연산에 매우 유용합니다. 또한 이를 효율적으로 이용할 수 있는 언어구조가 개발되고 관련 비용이 저렴해지면서 딥러닝은 컴퓨팅 시간을 단축시켜 주었습니다.

3. 오픈 플랫폼의 약진

구글, 마이크로소프트 등의 글로벌 IT기업들과 학계에서 머신러닝 관련 플랫폼(프레임워크 및 라이브러리 등)을 무료로 공개하고 있습니다. 이러한 플랫폼은 사용자의 기술 진입장벽을 낮추어 어플리케이션과 효용에 집중할 수 있게 하였습니다. 특히 구글이 공개한 텐서플로우(TensorFlow)는 가장 대표적인 케이스로 지메일의 스팸필터링, 이미지 검색 등에 사용되고 있으며, 이를 이용한 악성코드 탐지, 신용카드 오용탐지 등 다양한 영역에서 활발히 사용되고 있습니다.

Ⅲ. 딥러닝의 동작방법

머신러닝은 몇 년 전부터 일반의 관심을 받기 시작하였고, 지금은 그 자리를 딥러닝이 대표하다시피 회자되고 있습니다. 기업에서는 전문인력의 확보에 사활을 걸고 있습니다. 구글이 딥마인드를 인수하고, 페이스북이 딥러닝의 대가인 얀 러쿤(Yann LeCun) 교수를 인공지능 센터장으로 임명했으며, 중국의 바이두에서도 앤드류 응(Andrew Ng, 吳恩達) 교수를 모셔가는 등 인재전쟁에 가까운 모습입니다. 그렇다면 이렇게 주목을 받고 있는 딥러닝 기술은 어떻게 동작할까요? 자세한 설명은 백서 6~8페이지(click)에서 확인하실 수 있습니다.

최근 악성코드가 기하급수적으로 증가하고 있습니다. 그 원인은 무엇일까요? 그리고 이를 해결하기 위해서 필요한 사항은 무엇일까요?

이러한 질문에 대한 가이드, ‘머신러닝을 이용한 악성코드 탐지의 새로운 변화 ③ 머신러닝과 악성코드 탐지’ 편에서 소개합니다. 많이 기대해주세요! 알이즈웰!

 

참조 URL

https://www.genians.co.kr/resources/Genian_Insights_E_Whitepaper_ML.html

https://www.genians.co.kr/resources/Genian_Insights_E_introduction.html

https://www.genians.co.kr/resources/Genian_Insights_E_Brochure.html

https://www.genians.co.kr/resources/Genian_Insights_E_Datasheet.html

https://www.genians.co.kr/resources/Genian_Insights_E_Whitepaper_XBA.html

 


 

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!

뉴스레터 구독