인공지능(AI) 전문기업 베일리테크(대표 정경수)는 한국인터넷진흥원(KISA) 'AI 악성의심 도메인 탐지대응 시스템 구축' 사업을 수주했다고 6일 밝혔다. 작년 말 출시한 차세대 AI 엔드포인트 보안 플랫폼(EPP) '메티스 AI(Metis AI)'를 시스템 구축에 적극 활용한다.
베일리테크가 수주한 KISA 사업은 도메인 쿼리 기반의 AI 기술로 악성의심 도메인, DGA 도메인, 정상 도메인을 탐지 판별하는 시스템을 구축하는 것이다. 도메인 트래픽 이상 징후를 파악해 사전 방어하는 기술개발도 기대된다. 도메인 쿼리에서 악성코드 감염PC 즉 '출발지'를 찾아낼 수 있는 기술도 선보인다. 좀비PC는 언젠가 명령&제어(C&C) 서버와 통신을 시도하기 때문에 C&C 도메인 트래픽으로 판별할 수 있다.
악성 의심으로 탐지된 도메인은 동적 크롤링이 감염여부, 악성코드 배포여부, 악성코드 경유지 등을 찾아내는 기술로 검증한다. 동적 크롤링은 가상머신이 직접 웹사이트에 접속해 스크립트 바이러스, 즉 '경유지'를 탐지하고 악성코드 배포여부 등을 판별한다. 동적 크롤링을 통해 악성코드가 다운로드 되면 물리머신에 악성코드 분석을 요청한다.
베일리테크는 물리머신 악성코드 분석 솔루션 '메티스 AI 샌드박스(Metis AI SandBox)' 기술을 동적 분석에 적용한다. 메티스 AI 샌드박스는 AI 기반 물리머신 악성코드 분석 솔루션으로 가상머신 우회 악성코드 분석을 위해 실제 PC에서 악성코드를 분석한다.
박정철 베일리테크 부사장은 “타사 분석 솔루션은 가상머신에서 악성코드를 분석하므로 우회 악성코드를 분석하지 못하는 단점이 존재했다”면서 “메티스 AI 샌드박스는 신경망(NN) 기반 정적 분석 모델과 장기단기기억신경망(LSTM) 기반 동적 분석 모델을 거친 후 AI 알고리즘이 우회 악성유무까지 판별한다”고 전했다.
그는 또 “메티스AI 샌드박스는 NN 기반 정상파일과 악성파일 학습모델로 정적 분석 모델에서 정상 10%, 악성 90% 형태로 악성코드 탐지결과를 점수화한다”면서 “NN기반 정적 모델은 기존 패턴 '시그니처'보다 100배 이상 뛰어난 성능을 보인다”고 덧붙였다.
이준희기자 jhlee@etnews.com
