2013년 케임브리지대 수학자들이 세운 다크트레이스
네트워크 정상 상태 학습 후 이상 행위 탐지토록 설계
기존 보안 장치의 보완재로 알려지지 않은 위협 차단
[보안뉴스 오다인 기자] 알려진 위협은 막을 수 있다. 그러나 알려지는 순간 그 위협은 과거의 위협이 된다. 새로운 위협은 계속해서 나타난다. 창의적인 공격자들은 알려진 위협을 조금씩 바꿔 보안 장비를 우회하거나 완전히 새로운 위협을 고안해낸다. 알려지지 않은 위협을 어떻게 막느냐, 다가올 새로운 위협에 어떻게 대응하느냐가 현재 보안업계의 최대 화두인 이유다.
[이미지=iclickart]
이 문제의 해법을 인간 면역체계에서 떠올린 기업이 있다. 영국 케임브리지 대학교 출신 수학자들과 머신 러닝 전문가들은 2013년 다크트레이스(Darktrace)라는 기업을 설립했다. 다크트레이스는 사이버 보안의 난제들을 푸는 데 인간 면역체계(Immune System)의 메커니즘을 적용한다. 다크트레이스의 보안기술은 수학, 소프트웨어, 인텔리전스를 결합한다.
다크트레이스는 정상적인 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있다는 전제 하에 생물학적 면역체계의 원리를 네트워크에 적용한다. 예컨대, 건강한 사람의 신체에 바이러스가 침투할 때 신체가 이상을 감지하고 면역체계에 따라 반응하는 것처럼 건강한 컴퓨터 네트워크 상태를 기계 학습(machine learning)시킨 후 그 밖의 행동들을 탐지하도록 만든다.
즉, 네트워크의 건강을 지키기 위해 원래의 정상적인 상태를 기계 학습시키고 이로써 네트워크에 대한 면역체계를 갖추는 것이 다크트레이스가 말하는 머신 러닝이라고 볼 수 있다. 다크트레이스의 머신 러닝 기반 보안기술은 확률론적 추론(베이지안 확률)과 수학, 모델 등을 통해 기업 네트워크의 정상적인 상태를 끊임없이 확인하면서 학습한다.
다크트레이스의 머신 러닝 기술은 로그가 아니라 원시 네트워크 데이터(Raw Network Data)를 활용한다. 그렇기 때문에 다크트레이스는 장비 설치 시 시간 소요가 거의 없다. 이를 두고 ‘ZTP(Zero Touch Provisioning)’이라고 한다. 케이블만 꽂으면 자동적으로 설정이 완료된다.
다크트레이스의 기술은 알려지지 않은 지능화한 공격들이 향후 계속해서 기업 네트워크를 뚫고 들어올 것이라는 예측이 커지는 현재 더욱 설득력을 갖는다. 어차피 막을 수 없다면 최대한 빠르게 탐지해서 대응하는 것이 최선이다. 알려진 위협을 목록에 추가해 방어하는 방식은 여전히 유효하나 이렇게 막을 수 없는 위협들은 이상 행위로 탐지해 대응할 수 있다.
네트워크상의 행위들이 정상인지 아닌지 가시화해서 보여주기 위해 다크트레이스는 클러스터(cluster, 군)를 만든다. 기계 학습한 것에 기초해 정상 범주를 벗어나는 행위들에 대해 직관적으로 보여준다. 이때 특이한 점은, 특정 행위가 양성(Benign)인지 악성(Malicious)인지 확정적으로 제시하는 것이 아니라 확률적으로 보여준다는 사실이다.
기상청에서 비올 확률이 몇 퍼센트라고 밝히는 것과 같이 다크트레이스의 면역체계 기술도 특정 행위가 악성일 확률이 몇 퍼센트라고 제시한다. 이런 이유에서 머신 러닝을 사람처럼 생각하고 판단하는 인공지능(AI: Artificial Intelligence) 기술이라고 한다. 제시된 확률을 보고 최종적인 판단을 하는 것은 각 기업 보안담당자의 소관이다.
다크트레이스는 크게 기업용 면역체계(EIS: Enterprise Immune System)와 산업용 면역체계(IIS: Industrial Immune System) 등 두 가지 시스템을 제공한다.
다크트레이스는 설립 이래 연평균 성장률 140%를 기록하며 급속하게 성장하고 있다. 인포 시큐리티 글로벌 엑설런스 어워드(Info Security Global Excellence Awards)에서 ‘2016 올해의 보안기업 대상(Best Security Company of the Year 2016)’을 수상했고, IT 시장조사기업 가트너(Gartner)에서 ‘2015년 주목할 만한 보안기업(Cool Vendor)’으로 선정된 바 있다.
[오다인 기자(boan2@boannews.com)]
네트워크 정상 상태 학습 후 이상 행위 탐지토록 설계
기존 보안 장치의 보완재로 알려지지 않은 위협 차단
[보안뉴스 오다인 기자] 알려진 위협은 막을 수 있다. 그러나 알려지는 순간 그 위협은 과거의 위협이 된다. 새로운 위협은 계속해서 나타난다. 창의적인 공격자들은 알려진 위협을 조금씩 바꿔 보안 장비를 우회하거나 완전히 새로운 위협을 고안해낸다. 알려지지 않은 위협을 어떻게 막느냐, 다가올 새로운 위협에 어떻게 대응하느냐가 현재 보안업계의 최대 화두인 이유다.
[이미지=iclickart]
이 문제의 해법을 인간 면역체계에서 떠올린 기업이 있다. 영국 케임브리지 대학교 출신 수학자들과 머신 러닝 전문가들은 2013년 다크트레이스(Darktrace)라는 기업을 설립했다. 다크트레이스는 사이버 보안의 난제들을 푸는 데 인간 면역체계(Immune System)의 메커니즘을 적용한다. 다크트레이스의 보안기술은 수학, 소프트웨어, 인텔리전스를 결합한다.
다크트레이스는 정상적인 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있다는 전제 하에 생물학적 면역체계의 원리를 네트워크에 적용한다. 예컨대, 건강한 사람의 신체에 바이러스가 침투할 때 신체가 이상을 감지하고 면역체계에 따라 반응하는 것처럼 건강한 컴퓨터 네트워크 상태를 기계 학습(machine learning)시킨 후 그 밖의 행동들을 탐지하도록 만든다.
즉, 네트워크의 건강을 지키기 위해 원래의 정상적인 상태를 기계 학습시키고 이로써 네트워크에 대한 면역체계를 갖추는 것이 다크트레이스가 말하는 머신 러닝이라고 볼 수 있다. 다크트레이스의 머신 러닝 기반 보안기술은 확률론적 추론(베이지안 확률)과 수학, 모델 등을 통해 기업 네트워크의 정상적인 상태를 끊임없이 확인하면서 학습한다.
다크트레이스의 머신 러닝 기술은 로그가 아니라 원시 네트워크 데이터(Raw Network Data)를 활용한다. 그렇기 때문에 다크트레이스는 장비 설치 시 시간 소요가 거의 없다. 이를 두고 ‘ZTP(Zero Touch Provisioning)’이라고 한다. 케이블만 꽂으면 자동적으로 설정이 완료된다.
다크트레이스의 기술은 알려지지 않은 지능화한 공격들이 향후 계속해서 기업 네트워크를 뚫고 들어올 것이라는 예측이 커지는 현재 더욱 설득력을 갖는다. 어차피 막을 수 없다면 최대한 빠르게 탐지해서 대응하는 것이 최선이다. 알려진 위협을 목록에 추가해 방어하는 방식은 여전히 유효하나 이렇게 막을 수 없는 위협들은 이상 행위로 탐지해 대응할 수 있다.
네트워크상의 행위들이 정상인지 아닌지 가시화해서 보여주기 위해 다크트레이스는 클러스터(cluster, 군)를 만든다. 기계 학습한 것에 기초해 정상 범주를 벗어나는 행위들에 대해 직관적으로 보여준다. 이때 특이한 점은, 특정 행위가 양성(Benign)인지 악성(Malicious)인지 확정적으로 제시하는 것이 아니라 확률적으로 보여준다는 사실이다.
기상청에서 비올 확률이 몇 퍼센트라고 밝히는 것과 같이 다크트레이스의 면역체계 기술도 특정 행위가 악성일 확률이 몇 퍼센트라고 제시한다. 이런 이유에서 머신 러닝을 사람처럼 생각하고 판단하는 인공지능(AI: Artificial Intelligence) 기술이라고 한다. 제시된 확률을 보고 최종적인 판단을 하는 것은 각 기업 보안담당자의 소관이다.
다크트레이스는 크게 기업용 면역체계(EIS: Enterprise Immune System)와 산업용 면역체계(IIS: Industrial Immune System) 등 두 가지 시스템을 제공한다.
다크트레이스는 설립 이래 연평균 성장률 140%를 기록하며 급속하게 성장하고 있다. 인포 시큐리티 글로벌 엑설런스 어워드(Info Security Global Excellence Awards)에서 ‘2016 올해의 보안기업 대상(Best Security Company of the Year 2016)’을 수상했고, IT 시장조사기업 가트너(Gartner)에서 ‘2015년 주목할 만한 보안기업(Cool Vendor)’으로 선정된 바 있다.
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
