‘메타디펜더 이더’, 기존 샌드박스 한계 극복… 탐지 속도·효율성 대폭 개선
옵스왓(OPSWAT)이 AI 기반 차세대 샌드박스 엔진 ‘메타디펜더 이더(MetaDefender Aether)’를 공개했다고 3월 19일 밝혔다.
‘메타디펜더 이더’는 네트워크 경계(perimeter)에서 파일을 사전에 분석해 알려지지 않은 위협을 탐지하는 AI 기반 의사결정 엔진이다. 파일 전송, 이동식 저장장치, 이메일 첨부파일, 클라우드 스토리지, 웹 트래픽 등 다양한 유입 지점에서 파일을 포착해 사용자나 내부 시스템에 도달하기 전에 위협을 차단한다고 업체 측은 전했다.
모든 파일은 위협 평판, 동적 분석, 위협 점수화, 위협 헌팅으로 구성된 AI 기반 4단계 분석 파이프라인을 거친다. 이를 통해 옵스왓은 99.9%의 제로데이 탐지율과 VM 기반 샌드박스 대비 100배 높은 자원 효율성을 달성했다고 설명했다. 또한 파일 단위로 단일화된 통합 보안 판단 결과(Verdict)를 제공해 보안 운영센터(SOC)의 대응 효율을 높인다.
기존 백신 및 샌드박스 솔루션이 엔드포인트 중심으로 설계된 것과 달리, 메타디펜더 이더는 경계 보안 환경에 최적화된 구조를 갖춘 것이 특징이다. 기존 방식은 대규모 환경에서 분석 대기열 증가, 불명확한 결과, 알림 과부하 등의 한계를 드러냈다.
특히 최근 공격자들이 AI와 머신러닝을 활용해 탐지를 회피하는 난독화 및 우회형 공격을 시도하면서, 정적 분석이나 시그니처 기반 탐지만으로는 대응이 어려워지고 있다. 이에 따라 보다 정교한 분석과 빠른 의사결정이 가능한 보안 기술의 필요성이 커지고 있다.
옵스왓은 메타디펜더 이더를 통해 이러한 문제를 해결하고, 현대적인 SOC 운영 환경에 최적화된 보안 체계를 제공한다는 방침이다.
주요 특징으로는 △실시간에 가까운 빠른 위협 판단 △SIEM·SOAR 연동을 통한 자동화 대응 △단일 판단 결과 제공으로 분석가 과부하 감소 △VM 대비 100배 높은 자원 효율성 △지속적으로 강화되는 AI 기반 위협 인텔리전스 등이 꼽힌다.
특히 초기 위협 평판 단계에서 전체 위협의 약 절반을 즉시 판별하고, 추가 분석이 필요한 파일만 다음 단계로 전달함으로써 불필요한 자원 소모를 줄이고 분석 병목 현상을 방지한다는 설명이다.
메타디펜더 이더는 4단계 다계층 탐지 구조를 기반으로 한다. 1단계에서는 글로벌 위협 인텔리전스를 활용해 알려진 악성 파일을 즉시 차단하고, 2단계에서는 가상머신이 아닌 명령어 에뮬레이션 기반 동적 분석을 통해 숨겨진 악성 행위를 탐지한다. 3단계에서는 머신러닝 기반 위험 점수화를 통해 오탐을 줄이고, 4단계에서는 대규모 악성코드 데이터베이스와의 유사성 분석을 통해 최종 판단을 내린다.
이러한 분석을 통해 생성된 결과는 신뢰도 점수와 보안 맥락 정보가 포함된 단일 통합 결과 형태로 제공되며, SOC 분석가와 자동화 보안 시스템이 즉시 활용할 수 있도록 설계됐다.
메타디펜더 이더는 클라우드, 하이브리드, 에어갭 환경에서 모두 운영 가능하며, NERC CIP, NIS2, SWIFT CSP, CMMC, IEC 62443, GDPR, HIPAA 등 다양한 글로벌 보안 규제와 프레임워크를 지원한다. 또한 메타디펜더 생태계 전반과의 통합도 가능하다.
옵스왓 국내 총판 인섹시큐리티의 김종광 대표는 “기존 샌드박스 기술은 AI 기반 공격이 대규모로 발생하는 환경을 충분히 반영하지 못했다”며, “메타디펜더 이더는 개별 분석을 AI 네이티브 파이프라인으로 통합하고 단일의 신뢰도 높은 판단 결과를 제공함으로써, 보안 대응 속도와 정확도를 동시에 높인다”고 말했다. 이어 “이를 통해 SOC 팀과 자동화 시스템은 파일이 네트워크에 유입되기 전에 즉시 대응할 수 있다”고 덧붙였다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
