해킹은 증거를 남긴다. 현실의 범행 현장과 다르지 않다. 영화 속 프로파일러들이 작은 흔적을 놓치지 않듯, 사이버 세상에선 AI가 그 역할을 할 수 있다. 최근 보안 기업 샌즈랩은 악성코드를 역추적하는 ‘AI 프로파일러’ 기술을 개발했다. 김기홍 샌즈랩 대표(사진)는 “범죄자 피를 뽑아 DNA를 분석하는 것처럼 파일의 특정 코드들을 추출해 AI가 분석하는 원리”라고 설명했다.
AI 프로파일러의 정식 명칭인 ‘바이너리 역공학 기반 공격자 프로파일링 기술’은 지금까지 국내에 없던 기술이다. 지난 8일 산업통상자원부 산하 국가기술표준원으로부터 ‘NET 인증(신기술 인증)’을 획득하기도 했다. NET 인증은 국내에서 최초로 개발되거나 기존 기술을 혁신해 상용화를 이끈 기업을 대상으로 정부가 부여하는 인증이다. 샌즈랩이 관련 기술을 완성할 수 있었던 이유는 데이터 때문이다. 샌즈랩은 일반 보안회사처럼 솔루션만 판매하지 않는다. 아시아 최대 악성코드 점검 사이트인 ‘멀웨어즈닷컴’을 운영하고 있다. 멀웨어즈닷컴을 통해 모이는 신규 악성코드는 매일 250만 개에 달한다.
샌즈랩은 AI에게 악성코드를 효율적으로 가르치는 법을 고민했다. ‘역공학 기법’을 적용한 이유다. 역공학 기법을 이용하면 감염된 파일에서 기계어와 가까운 수준의 원천 악성코드를 뽑아낼 수 있다. 이후엔 AI가 데이터를 잘 학습할 수 있도록 ‘벡터화’ 과정을 거친다. 김 대표는 “벡터화는 추출된 공격 코드 정보를 숫자 데이터로 만드는 것”이라고 설명했다. 이렇게 샌즈랩의 AI 프로파일러는 총 22억 개에 달하는 악성코드를 학습할 수 있었다.
현재 코드 추적 정확도는 99%에 달한다. 해킹 대응에서 중요한 전술·기술·절차(TTP)를 모두 분석해 공격 진행 단계를 파악할 수도 있다. 김 대표는 “악성코드 여부만 판별하는 기존 솔루션과 달리 신규 악성코드 데이터를 바탕으로 앞으로 벌어질 공격을 예측할 수 있다”고 말했다. 그럼에도 기존 해킹 대응 비용보다 약 23% 저렴하다는 설명이다. AI 프로파일러는 내년도 멀웨어즈닷컴 서비스에서 상용화될 예정이다.
샌즈랩은 축적한 AI 기술을 바탕으로 내년 하반기 기술특례상장에 도전한다. 지난 9월 상장주관사로 키움증권을 선정하고 내년 상반기 기술평가를 준비하고 있다. 모회사인 암호 인증관리 기업 케이사인이 사업을 다각화하고 있는 점도 호재다. 케이사인은 최근 공동주택용 블록체인 관리 서비스, 원격근무 지원 분산신원인증(DID) 서비스 등 사업 분야를 확장하고 있다. 샌즈랩의 데이터·AI 기술과 시너지를 낼 분야가 적지 않은 셈이다. 김 대표는 “글로벌 악성코드 점검 플랫폼인 구글의 ‘바이러스 토털’과 같은 서비스를 선보일 것”이라고 밝혔다.
이시은 기자 see@hankyung.com
관련뉴스