샌드박스보다 효율적인 멀웨어 감지 방법 등장 기존의 기술에서 한 단계 더 들어가 ‘딥 러닝’

[보안뉴스 주소형] ‘머신러닝’ 시대의 서막이 올랐다. 머신러닝은 빅데이터를 유용한 정보로 바꿔주는 개념의 기술인데 이를 멀웨어 탐지에도 도입하자는 목소리가 높아지고 있다. 멀웨어 탐지에 머신러닝 기술을 활용하게 되면 10분의 1초 내에 코드가 멀웨어인지 아닌지를 판단할 수 있다. 뿐만 아니라 굳이 보호된 영역 내에서 프로그램을 작동시키는 샌드박스(sandbox) 기술을 사용하여 정보의 제한을 받을 필요가 없어지기 때문이다. 


  ▲ 더 멀리 선명하게 볼 수 있는 ‘머신러닝’이라는 안경 장착


기존 기술에서 한 단계 더 진화했다는 의미에서 ‘딥 러닝(Deep Learning)’이라고 불리기도 하는 머신러닝은 잘만 활용하면 앞서 말한 빠른 코드분석은 물론 궁극적으로는 멀웨어 감염을 차단하는 효과까지 기대해볼만 하다고 전문가들은 입을 모은다. 

미국 보안기업인 사일런스(Cylance)의 맷 울프(Matt Wolff) 수석 데이터 사이언티스트(Chief Data Scientist, CDS)는 머신러닝에서 좀 더 세분화된 딥 러닝을 멀웨어 감지에 적용하고 있다고 말했다. 소프트웨어가 정상적인 파일과 악성 파일을 구분할 수 있도록 훈련시켜 애플리케이션/알고리즘을 만들어 내는 것이라고 설명했다. 이로 인해 예전에는 찾을 수 없었던 범위의 멀웨어까지 발견할 수 있게 된다는 것.

또한 해당 소프트웨어는 정적분석(Static Analysis)을 사용하고 있다. 멀웨어를 감지하기 위한 테스트를 실시하면서 멀웨어가 작동될 수 있다는 리스크를 배제하기 위해서다. “멀웨어가 작동될 수 있는 조금의 여지도 주지 않고 있다. 그렇다보니 속도도 빠를 수밖에 없어 기존의 샌드박싱이나 멀웨어 분석보다 휠씬 빠르다”라고 말했다.
사실 머신러닝이나 딥 러닝을 멀웨어 탐지에 활용하는 것은 이번이 처음은 아니다. 하지만 구상 수준에 지나지 않았던 몇 년 전에 비해 더욱 현실화된 것이다. 가격적으로 살펴봐도 클라우드 기반의 컴퓨팅 옵션으로 인해 빅데이터 컴퓨팅 대비 경제적이다. 굳이 수백 개의 머신이 필요한 데이터 센터를 설립할 필요가 없다는 것이다. 이제는 그때그때 필요한 머신러닝 프로세싱 파워만 조달받으면 된다. “프로세서와 메모리 등을 강화하는 것이 기술에 힘을 실어주는 것”이라며 “아직까지 아무도 멀웨어 탐지에 알고리즘을 적용하는 것 자체를 생각해내지 못하고 있는 상황으로 파악하고 있다.” 

“머신러닝의 가장 큰 특징은 패턴을 발견하는 일이다. 멀웨어 하나만 놓고 봤을 때는 절대 큰 그림의 패턴을 볼 수 없다. 하지만 멀웨어 샘플이 10억 개 이상 쌓이게 될 경우 전에 보이지 않았던 것들이 보이고 이를 통해 패턴을 찾을 수 있다. 이것이 바로 머신러닝의 최종적인 목표고 힘이다.”

예를 들어 우리가 현재까지 파악하고 있는 멀웨어 패턴의 경우 캡처 및 키스트로크(keystrokes) 저장하는 기능을 활용하는 것이다.

이 같은 멀웨어들의 번식을 막는 데 머신러닝 및 딥 러닝이 많은 도움이 될 것으로 예상된다. “보통 멀웨어 제작자가 멀웨어를 하나 만들어내고 그에 따른 새로운 변종을 만들어 내는 데 2달 정도가 소요된다. 그런데 머신러닝 모듈을 사용하면 선제적으로 예상하고 감지할 수 있다.”

매일매일 만들어지는 멀웨어들이 쌓여 멀웨어는 잡아내는 데 더욱 체계화되고 지능적인 방법이 만들어진다. 사일런스사는 200만 GB에 달하는 정보를 머신러닝에 도입하는 시스템을 구축하고 있다. “우리는 몇 백 개의 CPU들을 며칠간 가동시키고 이들을 몇주 나아가 몇 달간 연구하여 필요한 정보들을 축척하고 있다. 물론 이를 위해서는 수백개의 기가바이트 메모리를 가동시키는 CPU와 ‘빅 머신(big machines)’을 필요하다”고 울프 CDS는 말했다.  

이러한 머신러닝 기술을 감지 시스템에 도입하여 새로운 악성코드 발견을 견인한다는 것이 이들의 목표다. 이는 현존하는 모든 감지 툴의 자리를 차지하게 될 것이라는 전망도 했다. “시그리처 기반의 엔진 대비 머신러닝 엔진이 모든 면에서 효율적이다.”
 

한편 사일런스사의 울프 CDS와 앤드류 데이비스(Andrew Davis)는 블랙햇 2015에서 멀웨어 감지를 위한 머신러닝 모듈을 선보일 계획이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>