시만텍 SEP 14, 인공지능으로 신종 악성코드 잡는다

[IT동아 김영우 기자] 최근 정보보안 업계에서 가장 주목 받고 있는 분야는 엔드포인트(End-Point) 보안이다. 엔드포인트란 노트북이나 데스크탑과 같이 사용자가 직접 만지고 활용하는 단말기를 의미한다. 지금까지의 악성코드(바이러스, 랜섬웨어, 트로이목마 등)는 주로 웹 서버를 통해 엔드포인트로 배포되는 경우가 많았다. 수직적인 경로로 악성코드가 배포되었기 때문에 그 경로를 차단하는 보안 솔루션이 주를 이뤘다.

하지만 지금은 다르다. 엔드포인트 자체가 다른 엔드포인트로 악성코드를 배포한다. 수직적인 경로 뿐 아니라 수평적인 경로까지 악성코드의 이동을 차단해하고 위험 요소를 제거해야 한다는 의미다. 시만텍(Symantec)의 엔드포인드 프로텍션은 이에 최적화된 보안 소프트웨어다. 16일, 시만텍코리아는 최신 버전인 시만텍 엔드포인트 프로텍션(Symantec Endpoint Protection) 14(이하 SEP 14)의 출시를 알리는 기자간담회를 열었다.

초당 15개씩 등장하는 신종 위협에 대응 가능

행사의 시작을 알린 시만텍코리아의 박희범 대표는 "매일 110만개, 1초당 15개의 새로운 보안 위협이 엔드포인트를 노리고 있어 기존의 보안 소프트웨어로는 이를 막을 수 없다"며, "바이러스 백신, IPS, 방화벽 등의 모든 보안 요소를 포함하면서 AI(인공지능) 기능까지 갖춘 SEP 14가 그 해결책"이라고 강조했다.

이날 소개된 SEP 14는 악성코드의 침투에서 감염, 침입, 예방 및 대응에 이르기까지 엔드포인트 보안에 관련한 전방위적 솔루션이다. 단순한 바이러스 백신 기능뿐 아니라 네트워크 방화벽, 애플리케이션 및 매체 제어, 메모리 공격 차단, 행동 모니터링, 그리고 인공지능에 기반한 첨단 머신 러닝 기능을 탑재했다.

정의되지 않은 악성코드까지 잡는 인공지능 솔루션

특히 주목할 점은 인공지능에 의한 머신러닝 기능이다. 이를 통해 각종 악성코드의 특성을 스스로 분석, 아직 정의되어 있지 않은 신종 악성코드까지 판단하여 차단하는 기능을 갖췄다. 이를테면 10월까지 나온 악성코드 정의만 가진 SEP 14가 11월 1일에 처음 출현한 신종 악성코드에 대응이 가능하다는 의미다.

실제로 이날 행사장에서 시만텍 관계자들은 10얼 30일 이후 정의 업데이트를 전혀 거치지 않은 SEP 14 탑재 PC에 100개의 최신 가상 악성코드를 주입, 차단 기능을 시연하기도 했다. 그 결과 100개 중 67개의 악성코드를 차단하는데 성공했다. 이에 시만텍 관계자들은 이 정도만 해도 대단한 것이지만, 사내 테스트 환경에선 90~100%의 차단 성공률을 기록하기도 했다고 강조했다.

참고로 SEP 14의 악성코드 정의는 인터넷에 접속한 상태라면 실시간으로 스트리밍 업데이트가 가능하며, 늘 최신 정의를 유지해야 온전한 성능을 발휘할 수 있다. 이번 시연은 실시간 업데이트가 되지 않는 환경에서도 SEP 14가 높은 보안 능력을 발휘한다는 것을 강조하기 위함으로 보인다.

그 외에도 SEP 14는 공개 API를 통한 기존 인프라와 통합이 가능해 다양한 위치 및 다수의 운영체제와 플랫폼 상에 있는 수천 개의 엔드포인트에 대한 관리를 원활하게 수행하며, 실시간 클라우드 조회 기술로 지능형 위협을 탐지해 정의 파일 업데이트를 위한 네트워크 대역폭 용량을 70% 절감, 한층 가볍게 시스템 구동이 가능한 점도 특징이라고 시만텍은 전했다.

글 / IT동아 김영우(pengo@itdonga.com)