시만텍은 기존 보안 기술이 갖는 한계를 극복하기 위해 2011년부터 머신러닝 기술(VML)을 채택해 왔다. 데이터 유출방지 솔루션(DLP)과 시만텍 엔드포인트 프로텍션(SEP)을 비롯해 보안관제플랫폼, 데이터 분석기술, 차량용 사물인터넷(IoT) 보안 솔루션에도 머신러닝 기술이 적용돼 있다.
기업이 핵심 정보를 효과적으로 보호하기 위해서는 가장 먼저 핵심 정보가 어디에 있는지 위치를 정확히 파악해야 한다. 지금까지 데이터 유출방지 솔루션(DLP)은 ‘핑거프린팅’과 ‘데이터 정의’의 2가지 탐지 기술에 의존해 왔다.
핑거프린팅 방식은 보호 대상 문서를 모두 수집한 후 각 파일에 고유한 지문을 할당하는데 데이터가 광범위하게 흩어져 있는 기업의 경우 적용하기 힘들다. 데이터 정의는 생성하는데 시간이 오래 걸리고 핑거프린팅보다 정확성이 떨어진다.
이에 시만텍은 머신러닝 기술 VML(Vector Machine Learning, 벡터 머신러닝)을 개발했다. VML 기술은 데이터 고유의 특성을 이해하고 민감한 데이터와 그렇지 않은 데이터 사이의 미묘한 차이를 파악하기 위해 샘플 문서를 이용한 학습 과정을 거친다. 이에 키워드 기반 정책이나 신규 문서 작성에 따른 지문 생성 과정이 전혀 필요 없다. VML 기술을 사용하면 샘플 문서만으로 충분히 정확한 정책을 생성할 수 있고, 시간이 지날수록 정확성은 더욱 높아진다.
변종 악성코드와 제로데이 위협을 빠르게 차단하는 시만텍 통합 보안 솔루션 ‘시만텍 엔드포인트 프로텍션(SEP)’은 보다 진화한 머신러닝 기술을 탑재해 실시간으로 비정상적인 행위를 즉시 차단하고 표적 공격을 중지시킨다.
일반적으로 악성코드에 대한 시그니처는 자동화된 툴에 의해 생성되지만 분석가가 개입해야 보다 정확한 탐지가 가능하다. 그러나 하루 110만개의 악성코드가 출현하는 환경에서 사람이 모든 시그니처를 생성하기에는 역부족이다. 시만텍은 이를 보완하기 위해 머신러닝 기술을 도입했다. 머신러닝을 사용하게 되면 향후 발생하는 변종도 해당 악성코드 그룹의 특징을 가지고 쉽게 탐지할 수 있다.
◆모바일 보안과 보안관제, 더 똑똑해졌다=시만텍은 모바일 보안 제품에 처음으로 딥러닝(Deep Learning) 기술을 탑재했다. 시만텍은 딥러닝 기술을 통해 고객들이 더 나은 결정을 빠르게 내릴 수 있도록 방대한 양의 위협 데이터로부터 인사이트를 얻어낸다. 사이버 보안 제품에 딥러닝 기술을 적용해 수동적인 서비스에서 벗어나 적극적으로 대응 시간을 단축시키고 탐지를 개선했다.
딥러닝 기술은 이미 노턴 모바일 시큐리티(Norton Mobile Security)를 사용하는 고객들의 안드로이드 기기를 효과적으로 보호하는데 사용되고 있다. 딥러닝 기술은 공격 가능성이 보여지는 행위의 시그널과 상황적인 시그널을 연결해 안드로이드 기기에서 일어나는 비정상적인 활동을 파악함으로써 노턴 모바일 시큐리티의 제로데이 탐지 정확성을 3배 이상 높여준다.
관제의 경우, 상관관계 분석이 탐지에 있어 가장 중요한 역할을 담당하게 된다. 수집되는 로그를 얼마나 빠르게 실시간으로 분석하는지, 얼마나 다양한 인텔리전스 정보를 통해 탐지하는지가 탐지 효율성을 결정하게 된다. 시만텍의 관제 플랫폼은 시만텍 글로벌 인텔리전스 네트워크(GIN)의 인텔리전스 정보와 고객으로부터 수집되는 정보를 머신러닝 기술을 통해 실시간 분석하는 것은 물론 상관관계 분석을 통해 침해사고를 식별하도록 지원한다.
시만텍은 글로벌 보안운영센터(SOC)의 보안관제, 위협 분석 플랫폼에도 인공지능 기술을 접목해 보이지 않았던 위협과 비정상 트래픽을 탐지하고 있다. 점차 지능화되는 공격에 대응하기 위해 머신러닝을 구동, 스스로 학습하고 분석할 수 있는 역량을 갖춤으로써 시스템 자체를 이해할 수 있도록 할 예정이다.
◆머신러닝 기반 커넥티드카 보안 솔루션=커넥티드카의 비정상 행위를 탐지하는 ‘시만텍 어노멀리 디텍션 포 오토모티브(Symantec Anomaly Detection for Automotive) 솔루션’은 자동차 해킹과 같은 문제를 탐지, 해결할 수 있는 핵심 보안 기능을 제공한다.
가트너에 따르면 커넥티드카는 2020년에는 2억2000만대로 늘어날 것으로 예상된다. 향후 자율주행 혹은 운전자 건강 상태나 혈중 알코올 농도를 파악해 운전 가능 여부를 판단하는 등 관련 기술은 점차 진화될 것으로 전망되지만, 동시에 해커의 공격 대상이 될 수 있어 운전자와 승객들이 위험에 빠질 수 있다.
시만텍 차량용 IoT 보안 솔루션은 머신러닝 기술을 기반으로 차량 탑재용 보안 애널리틱스를 제공한다. 차량에 전혀 영향을 주지 않고 정상 상태를 자동 학습함으로써 공격 가능성을 암시하는 이상 행동을 알려준다. 이 솔루션은 대부분의 자동차 모델에서 적용 가능하다.
이 외에도 시만텍은 급증하는 악성코드 신·변종 출현을 대응하기 위한 다양한 머신러닝 엔진을 확보하고 있다. 파일 평판 기술, 행동기반 탐지기술, 시그니처 자동 생성 기술을 통해 신·변종 악성코드와 공격 탐지에 활용하고 있다.