As cyber threats become increasingly diverse and sophisticated, traditional rule-based security approaches alone are finding it difficult to effectively identify anomalous or malicious network behaviors.
In response, AI-based detection enables more precise threat identification by comprehensively analyzing traffic patterns across packets, flows, and sessions.
Accordingly, Detect supports detection performance validation and analysis by constructing nine attack scenarios based on recently observed real-world attacks, providing corresponding attack traffic and environments for each scenario. This allows flexible detection not only of known threats but also of previously undefined new types of attacks.
Furthermore, relying solely on AI carries the limitation that it can be difficult to understand why a particular detection result was produced. To address this, XAI clearly explains which features and behaviors influenced the decision during the detection process. The Detect and XAI technologies currently in preparation will be released soon, delivering a highly reliable next-generation security detection solution that reflects real-world attack environments.
[글쓴이:] 신 강식
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.
사이버 위협이 점점 다양하고 정교해지면서, 기존의 규칙 기반 보안 방식만으로는 이상하거나 악성인 네트워크 행위를 효과적으로 식별하기 어려워지고 있다.
이에 따라 AI 기반 탐지는 패킷, 플로우, 세션 전반의 트래픽 패턴을 종합적으로 분석해 보다 정밀한 위협 탐지를 가능하게 한다.
따라서, Detect는 이러한 분석을 바탕으로 최근 실제로 발생한 공격을 기반으로 한 9개 공격 시나리오를 구성해, 각 시나리오에 맞는 공격 트래픽과 환경을 함께 제공함으로써 탐지 성능 검증과 분석을 지원을 통해 이미 알려진 공격은 물론, 기존에 정의되지 않았던 새로운 유형의 위협까지 유연하게 탐지하도록 제공합니다.
그 뿐만 아니라 AI에만 의존할 경우, 탐지 결과가 왜 도출되었는지 알기 어렵다는 한계가 존재하기 때문에 이를 해결하기 위해 XAI는 탐지 과정에서 어떤 특징과 행위가 결정에 영향을 미쳤는지를 명확히 설명한다. 현재 준비 중인 Detect와 XAI 기술은 곧 출시될 예정으로, 실제 공격 환경을 반영한 신뢰도 높은 차세대 보안 탐지를 제공하게 될 것이다.
2025년에 실시간 안티바이러스 기능 및 성능 분석 연구는 이전 성능 분석 연구와 다르게 일부 테스트 시나리오에서 사용자 및 기업(기관)등의 의견을 받아 궁금한 점을 기반으로 수행했습니다. 이번 안티바이러스 성능 테스트를 위한 제품은 전 세계 및 국내에서 인지도가 높은 안티바이러스 제품을 선정하고 기존과 동일하게 사용자 환경과 10대를 동시에 테스트 할 수 있는 환경을 구축하여 수행했습니다. 이를 통해 분기별 안티바이러스 테스트결과와 유/무료 안티바이러스의 성능 차이점 그리고 모바일 안티바이러스의 VirusTotal 엔진 제공/미제공 제품의 탐지 성능을 비교해보았습니다. 안티바이러스 제품의 기능 및 성능 평가 결과는 각 실험 결과 표에서 확인할 수 있습니다.
2024년에 실시된 안티바이러스 제품의 기능 및 성능 분석 연구에서는 다섯 가지 기준을 바탕으로 연구가 진행되었습니다. 이를 통해 안티바이러스 제품의 성능 평가를 수행하였으며, 성능 평가 기준으로 개인 사용자를 위한 안티바이러스 제품을 선정하고, 사용자 환경 중심의 기능 및 성능 분석을 위한 환경을 구축해 테스트를 진행했습니다. 이를 통해 악성코드 패밀리별 탐지 성능, 실시간 탐지 정확도, 그리고 생성형 AI를 기반으로 한 악성코드 변종 탐지 성능 등이 분석되었습니다. 안티바이러스 제품의 기능 및 성능 평가 결과는 그림 5에서 확인할 수 있으며, 각 안티바이러스 제품마다 탐지 편차가 있음을 보여주었습니다.
15개의 안티바이러스 제품 중에서 10개를 선정하여 성능에 대한 비교 평가를 진행했습니다. 또한, 안티바이러스의 성능 평가를 위해 기존과 다른 평가 방법을 제시하였습니다. 그 예로 생성형 AI 기술을 사용하여 악성코드를 생성하는 가능성이 제기되고 있는데, 이에 대한 안티바이러스 제품의 탐지 능력을 추가로 평가할 예정입니다. 따라서 이번 포스팅에서는 생성형 AI를 활용해 어떻게 악성코드를 만들 수 있는지, 그리고 어떠한 방법으로 안티바이러스 제품에 대한 기능 및 성능 분석을 하는지에 대해 소개해드리겠습니다.
우리는 스마트폰 없이는 일상생활을 하기 어려울 정도로 스마트폰으로 많은 일들을 하고 있습니다. 전화와 문자는 물론 인터넷, 쇼핑 등 스마트폰으로 할 수 있는 일은 점점 늘어나고 있습니다. 그래서 스마트폰에는 우리의 개인정보는 물론 민감한 정보까지 모두 가지고 있어 해커들의 먹잇감이 되고 있습니다. 해커들의 먹잇감이 된 스마트폰은 스팸 문자와 보이스 피싱 등에 노출 되어 있으며, 국내 스마트폰을 이용한 피해 또한 점차 늘어나고 있습니다. 그렇다면 스마트폰의 보안을 책임지는 것은 무엇일까요? 바로 모바일 전용 안티바이러스앱을 통해 보호하고 있습니다. 모바일 전용 안티바이러스는 악성 앱 탐지는 물론 스미싱, 악성 URL 및 스팸 문자등을 차단하여 스마트폰을 안전하게 지켜주고 있습니다. 그렇다면 이러한 모바일 전용 안티바이러스는 과연 신뢰할 수 있을까요? 모바일 전용 안티바이러스에 대한 소개와 평가하는 국내외 인증 관련 기관에 대해 알아보고 다음 포스팅에서는 모바일 전용 안티바이러스앱에 대한 평가하기 위해 테스트 방법 정의와 성능 평가 방법에 대해 소개해드리겠습니다.
데이터 3법 시행 이후 가명처리 솔루션에 대한 관심이 대두되고 있습니다. 해당 포스팅에서는 개인정보 활용을 위해 사용되는 가명처리 방법과 가명처리라는 용어가 왜 생겨났는지에 대해 알아 보고 개인정보를 효율적으로 활용하기 위해 가명처리 솔루션을 어떻게 사용하는지, 그리고 가명처리 솔루션에서 어떤 점이 중요한지 가이드라인을 기반으로 솔루션을 평가하고 분석해 각 솔루션에 대한 특장점을 알아 보도록 하겠습니다.
We described the limitations of antiviruses and the reasons why we conducted this experiment. We tried to devise a better methodology than the existing certification system (evaluation method) to conduct the test. We defined 58 evaluation criteria based on seven scenarios to evaluate the function and performance of antiviruses, developed test tools to minimize external interference, and built an experimental environment. We selected six types of malware classified according to the experimental scenarios as the main experimental subjects. We conducted this experiment using major antiviruses in accordance with the experimental methodology. We will introduce the main experimental methods and the peculiarities of the results in this article.
안티바이러스의 한계점과 우리가 이러한 실험을 하게 된 배경에 대해 기술 하였으며, 기존 인증제도(평가 방법)보다 더 나은 방법론을 구상하여 테스트를 진행하고자 하였습니다. 안티바이러스의 기능 및 성능평가를 위해 7개의 시나리오를 기반으로 58개의 평가 기준 정의 하였고, 외부의 간섭을 최소화 하고자 테스트 도구를 개발하여 실험 환경을 구축을 하였습니다. 실험 시나리오에 따라 분류된 6개 유형의 악성코드를 주 실험 대상으로 선정하였습니다. 주요 안티바이러스를 이용해 실험 방법론에 맞추어 본 실험을 실시하였습니다. 주요 실험 방법 및 결과에 따른 특이점을 글에서 소개해 드리겠습니다.
우리가 자주 사용하는 PC의 보안을 책임지는 안티바이러스 소프트웨어는 설치해야 할 필수 소프트웨어 중 하나입니다. 그렇다면 안티바이러스 소프트웨어는 어떻게 어떤 방법으로 누가 평가하는 것일까요? 안티바이러스 소프트웨어에 대한 소개와 안티바이러스를 평가하는 국외 인증 관련 기관에 대해 알아보고 안티바이러스 성능 평가의 중요성에 대해 알아보겠습니다. 또한, 다음 포스팅에서 안티바이러스 소프트웨어를 평가하기 위해 테스트 방법을 정의하고 시나리오를 바탕으로 테스트 진행하기에 앞서 안티바이러스 소프트웨어 기능 및 성능 분석 방법에 대해 간단히 소개하도록 하겠습니다.