샌즈랩이 새로운 사이버 위협 인텔리전스 서비스 CTX를 공개했다. 샌즈랩은 사이버 위협 인텔리전스를 제공하는 멀웨어스닷컴을 2014년부터 운영하며 국내 사이버 위협 분석 시장에서 탄탄한 입지를 구축해 왔다. 이를 바탕으로 올해 2월에는 코스닥 입성에도 성공했다.

샌즈랩에 따르면 그동안 멀웨어스닷컴에서 분석한 데이터는 376억 건이 넘으며, 탐지한 악성코드는 22억 건에 이른다. 2022년 기준 멀웨어스닷컴의 연매출은 60억 원 수준으로 그동안 샌즈랩의 대표적인 서비스로 자리해 왔다.

하지만 사이버 위협이 점차 복잡해지고 교묘해짐에 따라 기업들이 요구 사항도 다변화되고 있다. 샌즈랩은 보안 시장의 새로운 요구로 ▲살펴봐야 할 데이터의 급증 ▲타깃팅된 공격의 증가 ▲인텔리전스와 AI 등 신기술에 대한 의구심을 꼽았다.

샌즈랩은 이러한 시장의 요구를 적극적으로 수용하고 AI와 빅데이터 등 신기술을 적용해 멀웨어즈닷컴을 재설계한 새로운 위헙 인텔리전스 서비스 CTX를 개발했다.

샌즈랩 김기홍 대표는 “기존의 사이버 위협 인텔리전스는 악성코드에 집중했다. 악성코드를 탐지하고 위험 수준을 분석해 관련 정보를 제공하는 것이 지금까지의 인텔리전스의 주요 역할이었다. 하지만 이제 보안 시장은 공격 수단이 아닌 공격자에 초점을 맞추고 있다. 공격자의 어떠한 표적을 어떤 방식으로 공격하는지 분석할 수 있어야 한다”고 사이버 보안 시장의 트렌드를 분석했다.

샌즈랩 CTX는 공격자가 어떤 국가와 산업을 대상으로 공격하는지, 어떤 캠페인을 수행했는지, 해당 캠페인에 사용된 IoC 정보들은 어떤 것들이 있는지 등의 종합적인 내용을 판단할 수 있으며, 현재 발생하고 있는 다양한 APT 공격 등에 대응할 수 있도록 설계됐다.

위협 인텔리전스 보고서의 주요 구성 요소인 공격 국가, 공격 툴, 관련 악성코드, 타깃 국가, 산업군 등의 정보와 특정 공격 그룹의 배후에 있는 국가 정보, 관련 취약점 정보 침해 지표까지 내용을 정리해 컨텍스트(Context) 형태로 재구성해 제공한다.

김기홍 대표는 CTX에서 확보한 분석 데이터세트를 향후 보안 AI 연구를 위한 특화 언어 모델(sLLM)이나 설명 가능 AI(XAI) 개발에도 활용할 수 있다고 설명했다. 샌즈랩은 CTX를 통해 누적한 데이터의 개인정보, 기업 정보, 기타 식별 정보를 모두 비식별화해 사이버 보안에 특화된 데이터세트를 판매하는 사업을 추진하고 있다.

샌즈랩 CTX의 또 하나의 설계 방침은 비용 절감이다. 보안 위협 인텔리전스 서비스는 안티바이러스 같은 보안 솔루션에 비해 가격대가 높으며, 각각의 서비스마다 독자적인 분석 결과를 제공하다 보니 여러 인텔리전스를 취합해 재분석해야 하는 번거로움도 있었다.

CTX는 각 인텔리전스 서비스에서 제공하는 가장 잘하는 부분의 인텔리전스 데이터만 취합하여 제공함으로써 보안 담당자의 시간과 기업의 비용 부담을 줄여준다. 현재 바이러스토탈(VirusTotal), 에일리언볼트(Alien Vault), 크리미널아이피(Criminal IP) 등 국내외에서 많이 사용하고 있는 위협 인텔리전스들과 연동되도록 준비 중이다.

이외에도 샌즈랩은 자체 NDR(Network Detection and Response) 솔루션 MNX의 기능을 개선해 CTX와 완벽하게 연동된 서비스를 제공할 계획이다. 샌즈랩 CTX의 정식 서비스일은 11월 15일이며, 일정 기간 동안은 멀웨어스닷컴에서도 동일한 서비스를 제공하다 향후 별도 도메인으로 통합될 예정이다.

한편, 샌즈랩은 ESG 경영의 일환으로 사이버 위협 정보를 공유함으로써 안전한 인터넷 환경을 만드는 데 기여하고 있다. 피드(Feed) 서비스를 통해 하루 15~20만 개의 사이버 위협 정보를 공유하고 있으며, 한국인터넷진흥원(KISA) 등 기관과 기업, 연구소에도 사이버 보안 데이터세트를 제공해 연구 개발을 돕고 있다.

석주원 기자 다른기사 보기