2024-02-24 22:30 (토)
[AIS 2023] 최원혁 누리랩 대표 “AI 기술 적용 ‘AskURL’, 악성 URL·APK 탐지 및 분석에 혁신 가져올 것”
상태바
[AIS 2023] 최원혁 누리랩 대표 “AI 기술 적용 ‘AskURL’, 악성 URL·APK 탐지 및 분석에 혁신 가져올 것”
  • 길민권 기자
  • 승인 2023.11.12 21:10
이 기사를 공유합니다

“AskURL, 바이러스 토탈과 비교해도 경쟁력 있어…보안·금융 비롯해 다양한 서비스 분야에 활용 가능해”
누리랩 최원혁 대표가 AIS 2023에서 500여 명의 보안담당자에게 'AskURL'을 소개하고 있다.
누리랩 최원혁 대표가 AIS 2023에서 500여 명의 보안담당자에게 'AskURL'을 소개하고 있다.

국내 최대 사이버위협 대응 인공지능 보안 컨퍼런스 AIS 2023이 11월 2일 한국과학기술회관 국제회의실에서 500여 명의 보안실무자들이 참석한 가운데 성황리에 개최됐다.

데일리시큐가 주최하고 한국인터넷진흥원, 한국정보보호산업협회가 후원한 이번 AIS 2023에서 누리랩(대표 최원혁, 박정호)은 ‘빅데이터 기반의 AI 기술을 이용한 악성URL/APK 탐지 및 분석 기술’을 주제로 강연을 진행했다.

◆다변화, 고도화되는 피싱·스미싱 공격…기존 탐지방식으로는 한계

최원혁 누리랩 대표는 “검찰청, 경찰서, 택배, 카드사, 국세청, 각종 공공기관 사칭 등 메신저 피싱을 포함한 스미싱 문자 건수와 피해는 날로 증가하고 있다. 2021년 스미싱 피해 발생건수는 1만7천841건, 피해금액은 1천265억원에 달하고 있다”며 “또한 공격자들은 보안에 무관심한 일반 국민들을 대상으로 공장에서 찍어 내듯이 악성 앱과 홈페이지를 만들어 내고 악성 도메인으로 차단되면 다시 다른 도메인으로 만들어 공격한다. 카스퍼스키 발표에 따르면, 피싱 URL 생명주기가 대부분 1일에 그치고 있다. 악성 URL을 쉽게 바꿀 수 있고 비용대비 효과가 커 공격자 입장에서는 너무나 좋은 환경이다”라고 진단했다.

보안솔루션이 악성으로 진단한 악성앱이나 URL을 차단하려고 하면 그 다음날 도메인 주소는 사라지고 없다. 이미 악성행위로 목적을 달성한 다음이다.

최 대표는 “악성 UR을 구체적으로 분석한 결과 2시간, 4시간, 8시간 사이에 악성 URL들이 사라진다는 것을 확인했다. 즉 분석가들이 분석하고 차단을 적용하려는 시간에 이미 악성 URL은 목적을 달성하고 사라진다. 결국 사람이 수동으로 대응하는 것은 무의미한 시대가 된 것”이라고 설명했다.

누리랩은 피싱, 스미싱 문자를 차단하는데 어떤 어려움들이 있는지 우선 면밀히 연구했다.

우선 스미싱 문자 내의 악성 URL이 짧기 때문이다. 악성인지 정상인지 알기 위해서는 클릭해 봐야 알 수 있다. 그리고 URL 앞 부분을 정상으로 만든 악성 URL에 대해 기존 보안제품들이 탐지가 안된다. 결국 피해자가 클릭하면 피싱 사이트로 리다이렉션 된다. 실제 불법 도박사이트나 성인사이트들이 이런 방식을 주로 사용한다.

또 실제 URL 스펠링과 유사한 문자를 사용해 사용자를 속이는 경우도 있다. 사용자는 의심없이 유명 포털사이트 URL로 착각해 클릭해서 들어가게 되고 피싱 사이트에 자신도 모르게 접속하게 되는 것이다. 북한에서 제작한 피싱사이트들도 이런 사기방식을 사용하고 있다.

한편 사기 쇼핑몰도 사회적인 문제다. 싼 가격에 물건을 올려놓고 구매자가 입금을 하면 사이트를 폐쇄해 버리는 사고도 많이 발생하고 있다.

AskURL 소개자료

누리랩, 자체 AI 기술과 생성형 AI 조합 통해 악성 URL 탐지에 한계 극복

최원혁 대표는 “실시간 악성 URL차단부터 사기 쇼핑몰 차단까지 해결할 방법을 찾기 위해 누리랩 역량을 집중했다. 전통적인 패턴 분석 방식으로는 한계가 있다. 그래서 생성형 AI 챗GPT를 활용하기로 했다”며 “피싱URL에 대한 신뢰도 높은 답변을 받을 수는 있었지만 챗GPT 트래픽 비용 증가로 인해 LLama2(리마2)로 연구환경 구축을 변경하게 됐다. 이를 통해 악성URL 탐지 학습을 시켜왔고 신뢰할 수 있는 탐지 결과를 20~30초 안에 받아 볼 수 있는 수준에까지 이르렀다. 악성 URL 정보들에 대해 철저한 학습이 이루어진 상태다”라고 설명했다.

이 제품이 바로 ‘그리핀(Griffin) AI’다. 다양한 URL Feature 추출 및 자체 학습을 통해 악성 URL 전문 분석 AI가 탄생한 것이다.

누리랩은 또 특정 대상만을 타깃으로 하는 표적화 된 스피어피싱 공격에서 다양한 악성 앱(APP)들이 유포되고 있는 상황이기 때문에 자동화된 악성 앱을 다운로드할 수 있는 가칭 ‘GetAPK’를 개발해 악성APK 수집도 자동화했다.

누리랩은 이러한 피싱, 스미싱, 악성APK, 악성코드 분석 기술을 통합해 신·변종 사이버 위협을 사전에 탐지하고 분석할 수 있는 AI 보안 플랫폼을 개발했다.

◆AskURL, URL 필터 우회하는 신종 공격 방식 분석 및 차단 가능해

바로 ‘미노스(MINOSS)’와 ‘그리핀 AI’ 즉, 누리랩 자체 AI 기술과 생성형 AI를 조합한 ‘AskURL(에스크유알엘)’ 제품이다.

AskURL은 URL 필터를 우회하는 신종 공격 방식을 실시간으로 분석하고 차단한다. 변조된 이메일, 식별이 불가능한 URL, 기호로 표현되어 필터를 우회하는 URL, 영어 알페벳과 비슷한 닮은 꼴 문자로 된 URL 등 기존 보안제품들이 할 수 없었던 한계를 극복할 수 있는 플랫폼이다.

최 대표는 “AskURL은 누리랩 자체 AI 악성코드 분석 기술인 미노스와 생성형 AI를 활용한 악성코드 및 APK 분석 솔루션 그리핀 AI를 통합한 플랫폼이다. AskURL의 인공지능 자동화 분석기술은 국내뿐 아니라 해외 특허 등록도 앞두고 있다”며 “사람의 개입없이 AskURL은 어떤 형태의 악성 URL부터 악성 APK, 불법 도박·유해사이트까지 탐지와 차단이 가능하다. AskURL은 실시간 자체개발 봇을 통해 지속적으로 화이트리스트, 블랙리스트를 업데이트하고 있으며 정상, 유해사이트, 성인사이트, 피싱사이트, 멀웨어까지 정확한 분석결과 및 판단근거 정보까지 제공할 수 있다. 분석 결과를 받아 보기까지 일반적인 분석은 1초면 끝나고 분석이 좀더 필요한 경우라도 20~30초면 끝난다”고 강조했다.

AskURL과 바이러스 토탈 주요 기능 비교

최원혁 대표는 AskURL 기술 수준은 바이러스 토탈과 견주어도 경쟁력이 있다고 말한다. 그리고 AskURL은 API를 통해 다양한 보안 제품과 연동도 가능하다. 조만간 크롬 브라우저 사용자들은 AskURL을 설치해 별도의 문의절차 없이 자동으로 알람이 뜰 수 있도록 서비스도 준비하고 있다. 일반인이든 악성코드 분석가들이든 AskURL 사이트를 통해 URL을 붙여넣기만 해도 분석결과를 받아 볼 수 있다.

AskURL을 통해 보안담당자들은 분석 시간을 단축하고 신속한 공격 차단 및 피해를 최소화활 수 있을 것으로 기대된다.

최원혁 대표 강연 현장
최원혁 대표 강연 현장

◆AskURL, 보안·금융 비롯해 다양한 서비스 분야에 활용 가능

AskURL을 적용할 수 있는 서비스는 분야는 다양하다.

▲클라우드, 온프레미스 기반의 스미싱(Smishing) 탐지 및 차단 시스템을 운영하는 기관이나 ▲카드사 모바일 앱을 이용하는 사용자에게 악성URL 차단 및 분석 서비스를 제공하는 기업 ▲SNS 상에서 주고받는 메시지를 실시간 분석해 악성URL이 포함된 메시지를 자동 차단하고 알림 서비스를 제공하는 기관 ▲인터넷 상에서 유입되는 모든 URL을 실시간 분석해, 이용자들에게 안전한 인터넷 환경을 제공하고자 하는 기업, 즉 ▲보안 서비스, 신용평가 서비스, 금융 서비스 등 다양한 서비스에 AskURL 적용이 가능하다.

AIS 2023 누리랩 최원혁 대표의 보다 상세한 강연내용은 아래 강연영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★