이스트시큐리티와 알아보는 보안이야기 #알약편

안녕하세요? 이스트시큐리티입니다.

 

최근 들어 AI 열풍 속에서 ChatGPT를 기점으로 생성형 AI 툴이 대거 등장하고 있습니다. AI라는 키워드는 현재 챗봇 서비스나 AI 앵커처럼 다양한 분야에 적용되고 있으며, 보안 분야 또한 예외가 아닙니다.

 

지금까지 해킹은 해커들의 지식과 시간을 통해 이루어졌고, 기술 장벽이 굉장히 높은 범죄였습니다.  AI 해킹에 앞서 서비스형 랜섬웨어가 등장했을 때도, 이미 일정 비용만 지불하면 비전문가도 해커가 될 수 있었으며, 이는 랜섬웨어 공격이 빠르게 증가하는 결과를 낳게 되었습니다.

 

이후 ChatGPT가 등장하면서 AI가 해커에 의해 악의적으로 사용될 수 있다는 보안 업계의 우려가 현실이 되었습니다. 이제는 대가를 지불하지 않아도 누구나 랜섬웨어 코드를 만들 수 있으며, 결국 AI가 발전해갈수록 AI 해커의 공격 또한 더욱더 정교하고 빠르게 진행될 수 있다고 볼 수 있습니다.

 

이에 대응하기 위해 보안 업계에서도 AI를 활용한 기술들을 선보이고 있습니다. 지난 4월, 미국 샌프란시스코에서 열린 RSAC 2023에서는 AI라는 키워드를 중심으로 어떻게 이런 위협들에 대응하고, AI를 어떻게 활용해야 하는지를 주제로 키노트들이 이어졌습니다.

 

이스트시큐리티도 엔드포인트 보안을 강화하기 위해 알약에 AI 기반 기능을 추가하고 있으며, 기존의 위협 탐지 기술 또한 고도화하여 다양한 위협에 대처할 수 있도록 기능을 제공하고 있습니다.

그래서 오늘은 랜섬웨어의 다양한 공격 상황과 각 상황별로 알약의 사용법을 소개해 드리겠습니다.

 

1. 불법 사이트를 통한 랜섬웨어 인입

 

보안은 기본적으로 위협에 대한 예방이 필요합니다. 하지만 관리자가 방화벽 정책을 설정하여 외부의 공격을 막아두었더라도, 사용자가 위험한 사이트에 접근하여 내부에 악성코드를 침투시키는 것까지 제어하기는 어려울 수 있습니다.

 

알약은 이에 대응하기 위해 유해사이트 차단 기능을 제공하고 있습니다. 유해 사이트 차단 기능은 기본적으로 이스트시큐리티에서 관리하고 있는 피싱 사이트나 유해 사이트를 차단하고 있습니다. 또한 사용자 정의 설정을 통해서 차단을 원하는 사이트를 별도로 설정할 수도 있습니다. 유해사이트 차단 기능을 활용하면, 업무 중 사용자의 불필요한 사이트에 대한 접근을 차단하여, 랜섬웨어의 침투를 최소화할 수 있습니다.

 

2. 알려진 위협의 침입

 

충분한 예방을 했음에도 이미 위협이 침투한 상황에는, 관리자가 이에 대응하고 피해를 최소화할 수 있어야 합니다. 대부분의 백신들은 시그니처 DB를 활용해, 알려진 위협들에 대해서 대처하고 있습니다. 

 

하지만 대부분 소프트웨어에서 취약점이 공개되면, 해커들은 15분 내로 공격을 시작한다고 알려져 있습니다. 악성코드 또한 개발사가 대응을 마치더라도 사용자가 패치를 받기 전에는 PC가 일시적으로 취약한 상태에 놓이게 됩니다.  

 

알약은 아직 패치를 받지 못한 경우에도, 위협에 대해 빠르게 대응할 수 있도록

AIS(ALYac Intelligence Scan) 기능을 제공하고 있습니다. AIS 사용 시 이스트시큐리티에서 관리하는 클라우드 서버에 악성코드 여부를 질의할 수 있으며 이후 분석 결과에 따라 악성코드가 차단됩니다.

 

3. 알려지지 않은 위협의 침입

 

알려지지 않은 위협은 백신 DB에 존재하지 않아 문제 상황을 바로 인식하기 쉽지 않습니다. 따라서 다양한 가능성을 열어두고 접근을 해야 하며, AI를 통한 분석을 활용함으로써 보다 정확한 판단을 내리고 빠르게 위협에 대처하는 것이 중요합니다.

 

이에 알약에서는 알려지지 않은 위협에 대처하기 위해 다양한 기능들을 제공하고 있습니다.

 

① 휴리스틱 검사

 

휴리스틱 검사는 의심스러운 파일의 패턴을 분석하여 신종 악성코드를 찾아냅니다. 알약은 사용자의 보안과 사용성의 중요도에 따라 휴리스틱 검사 수준을 선택할 수 있습니다. 변종 및 신종 악성코드의 출현 가능성이 높아지고 있는 만큼, 휴리스틱 기능을 활용하여 이들을 진단하고 차단할 수 있습니다.

 

② 랜섬웨어 차단

 

랜섬웨어가 이미 동작을 시작한 경우에도 사용자는 이에 대처할 수 있어야 합니다. 알약은 랜섬웨어의 동작을 분석하여 탐지하고 악성 행위를 차단합니다. 또한 랜섬웨어에 의해 변조된 파일들이 존재할 경우 자동으로 복구를 진행합니다.

 

③ 행위 기반 차단, ATD(Active Threat Defense)

 

랜섬웨어 이외에도 악성코드들은 다양한 행위를 통해 목적을 수행합니다. 알약은 기본적으로 이상행위가 탐지될 경우, 행위를 발생시킨 대상을 차단하는 기능을 제공합니다. 여기에 더해 머신러닝 기반으로 더욱 고도화된 행위 기반 기술인 ATD(Active Threat Defense)를 함께 제공하여 각종 제로데이 위협, 변종 랜섬웨어, 파일리스 공격 등을 탐지할 수 있습니다.

 

④ AI 분석

 

알약은 의심 행위로 탐지된 파일을 이스트시큐리티의 AI 엔진으로 전송하여, 더 정확한 결과를 응답받을 수 있습니다. 따라서 정상 파일에 대한 오탐을 줄이고, 위협 행위에 대해 보다 정확하게 탐지하여 대응을 할 수 있습니다.

---

이스트시큐리티에서는 알약과 함께 다양한 의심 상황에 대해 분석하고, 대응할 수 있는 알약 EDR 솔루션도 연동할 수 있습니다. 이스트시큐리티의 알약과 함께 다양한 솔루션을 연동하여 점점 높아지는 보안 위협에 대응해 보는 것은 어떠실까요?

 

감사합니다.