디지털 포렌식, 모바일 포렌식, 드론 포렌식, 가상자산 추적 및 포렌식, 악성코드 및 침해사고 분석 대응 전문업체인 인섹시큐리티(대표 김종광)는 오늘, 핵심 인프라 보호(CIP) 사이버보안 솔루션 기업 옵스왓이 네트워크 경계(perimeter)에서 신속한 제로데이 탐지를 돕는 AI 기반 의사결정 엔진 '메타디펜더 이더(MetaDefender Aether)'를 출시했다고 밝혔다.
전통적인 샌드박스나 백신 솔루션이 주로 엔드포인트 보호를 중심으로 설계된 것과 달리, '메타디펜더 이더'는 파일 전송, 이동식 저장장치, 이메일 첨부파일, 클라우드 스토리지, 웹 트래픽 등 모든 유입 지점에서 파일을 포착해 분석함으로써 사용자나 내부 시스템에 도달하기 전에 알려지지 않은 위협을 탐지한다.
모든 파일은 위협 평판(Threat Reputation), 동적 분석(Dynamic Analysis), 위협 점수화(Threat Scoring), 위협 헌팅(Threat Hunting) 등 AI 기반 4단계 분석 파이프라인을 순차적으로 거친다. 이러한 구조를 단일 파이프라인으로 연결함으로써 99.9% 제로데이 탐지율¹, VM 기반 샌드박스 대비 100배 높은 자원 효율성, 그리고 파일별 신뢰도 기반 통합 판단 결과를 제공한다.
신속한 의사결정은 경계 보안의 핵심이다. 파일이 안전한지, 악성인지, 또는 의심스러운지를 빠르게 판단하고 그에 맞는 대응을 즉시 실행해야 한다. 전통적인 백신과 샌드박스 도구는 이러한 규모와 복잡성을 전제로 설계되지 않아, 엔드포인트 중심의 도구를 경계 환경에 적용할 경우 분석 대기열 증가, 불명확한 결과, 알림 과부하 문제가 발생한다.
또한 최근 공격자들은 AI와 머신러닝을 활용해 분석을 회피하는 난독화·우회형 공격을 만들어내고 있어 정적 분석이나 시그니처 기반 탐지로는 대응이 어려워지고 있다.
옵스왓은 '메타디펜더 이더'를 통해 이러한 경계 보안 환경의 문제를 해결하고 현대적인 SOC(Security Operations Center)의 운영 효율을 높이기 위해 설계됐다. 주요 특징은 다음과 같다.
o 더 빠른 의사결정 속도: 유사 위협군 정보까지 사전 연계된 판단 결과를 실시간에 가깝게 제공해 탐지와 대응 사이의 간격을 크게 줄인다.
o 신뢰도 높은 자동화 대응: 구조화된 결과를 SIEM 및 SOAR 워크플로와 직접 연동해 사람이 개입하지 않아도 정확한 자동 대응이 가능하다.
o 애널리스트 과부하 감소: 파편화 된 도구들이 제공하는 과도한 결과 대신 단일 판단 결과를 제공해 오탐과 알림 과부하를 줄인다.
o 100배 높은 자원 효율성: 개별 명령어 수준의 에뮬레이션과 지능형 파이프라인 구조를 통해 VM 기반 샌드박스 대비 인프라 요구량을 크게 줄인다.
o 지속적으로 강화되는 AI 위협 인텔리전스: 분석된 모든 파일은 글로벌 인텔리전스 그래프를 강화하는 데 활용되며 시간이 지날수록 탐지 정확도가 높아진다.
초기 위협 평판 레이어에서 약 절반의 위협을 즉시 판별하고, 추가 분석이 필요한 파일만 다음 단계로 넘기기 때문에 불필요한 분석을 줄이고 경계 보안 환경에서 파일 검사 과정이 병목이 되는 것을 방지한다.
메타디펜더 이더의 4단계 탐지 구조의 각 단계 역할은 다음과 같다.
o 1단계 -- 위협 평판 (탐지율 48.7%): 파일을 옵스왓의 글로벌 위협 인텔리전스 데이터베이스와 대조해 평가한다. 이미 알려진 악성 파일은 즉시 차단하고, 신뢰된 파일은 빠르게 통과시켜 추가 분석이 필요한 파일에만 자원을 집중한다.
o 2단계 -- 동적 분석 (누적 탐지율 83.4%): 추가 검사가 필요한 파일은 적응형 샌드박스로 전달된다. 이 샌드박스는 가상머신이 아닌 CPU와 운영체제 수준의 명령어 에뮬레이션을 활용해 120개 이상의 파일 유형에서 실제 실행 경로를 재현한다. 이를 통해 VM 환경을 인식해 행동을 숨기는 악성코드의 회피 동작을 드러낼 수 있다. 새롭게 발견된 침해지표(IOC)는 다시 1단계로 피드백되며, 해당 파일은 AI 분석 단계로 전달된다.
o 3단계 -- ML 기반 위협 점수화 (누적 탐지율 99.3%): 여러 머신러닝 엔진이 행위 기반 신호, 이상 패턴, IOC를 분석해 신뢰도 가중 위험 점수를 부여한다. 이를 통해 원시 텔레메트리를 명확한 보안 판단으로 전환하고 오탐과 분석 노이즈를 크게 줄인다.
o 4단계 -- AI 기반 위협 헌팅(누적 탐지율 99.9%): 유사성 검색을 통해 행동 지문을 1억 개 이상의 악성코드 샘플 데이터베이스와 비교한다. 이를 통해 파일을 기존 위협 패밀리, 공격 캠페인, 공격 도구와 자동으로 연결한다. 알려지지 않은 파일도 새로운 보안 인텔리전스로 전환되어 글로벌 및 로컬 탐지 모델을 강화한다.
4단계 분석이 완료되면 파일별 단일 통합 판단 결과가 제공되며, 해당 결과에는 보안 맥락 정보, 신뢰도 점수, 구조화된 데이터가 포함된다. SOC 분석가, SIEM 플랫폼, SOAR 플레이북이 즉시 활용할 수 있는 형태로 제공되며 어떠한 파일도 판단 결과 없이 네트워크로 유입되지 않는다.
메타디펜더 이더는 클라우드, 하이브리드, 에어갭 환경에서 운영 가능하며 NERC CIP, NIS2, SWIFT CSP, CMMC, IEC 62443, GDPR, HIPAA와 같은 규제 및 보안 프레임워크를 지원한다. 또한 메타디펜더 코어, 클라우드, 이메일 시큐리티, MFT, ICAP, 스토리지, 키오스크, 크로스도메인 등 메타디펜더 생태계 전반과 네이티브로 통합이 가능하다.
옵스왓 국내 총판인 인섹시큐리티 김종광 대표는 “전통적인 샌드박스 기술은 AI 기반 공격이 대규모로 발생하는 환경을 염두에 두고 설계되지 않았다. 이제는 더 많은 텔레메트리가 아니라 명확한 판단을 필요한 상황이다”고 설명하며 “메타디펜더 이더는 기존 샌드박스의 한계를 넘어, 개별 분석을 AI 네이티브 파이프라인으로 통합하고 단일의 고신뢰 판단 결과를 제공한다. 이를 통해 SOC 팀과 자동화 플랫폼은 파일이 네트워크에 들어오기 전에 즉시 대응할 수 있다”고 덧붙였다.
임민지 기자 minzi56@etnews.com