[디지털데일리 최민지기자] 샌즈랩(대표 김기홍)은 지난달 24일부터 26일까지 독일 베를린에서 열린 세계 최고 권위 사이버보안 컨퍼런스 '바이러스블러틴 2025(이하 VB2025)'에서 생성형 인공지능(AI)을 이용한 차세대 사이버위협인텔리전스(CTI) 기술을 발표했다고 1일 밝혔다.

VB2025는 글로벌 안티바이러스 평가 기관 바이러스블러틴(Virus Bulletin)이 주최하는 국제 보안 컨퍼런스로 1989년부터 매년 전세계 보안 기업과 연구자들이 모여 최신 위협 분석 성과를 공유한다.

샌즈랩은 올해 메인 트랙인 그린룸(Green Room)과 TIPS(Threat Intelligence Practitioners’ Summit) 두 부문 모두에서 발표를 진행하며, 연구 역량을 인정받았다.

그린룸 세션에서 샌즈랩 연구팀(전찬빈·김창균·임승범 선임연구원)은 대규모언어모델(LLM) 기술로 전문 악성코드 분석가를 모사해 지난 1월 발견한 신종 사물인터넷(IoT) 봇넷 악성코드 ‘x86’을 자동 추적·분석한 사례를 발표했다.

‘x86’은 전세계 100만대 이상 IoT 기기를 감염시킨 사례로, 단순 구조임에도 높은 파급력을 보였다. 연구팀은 함수 단위 임베딩 벡터 분석과 LLM을 결합한 하이브리드 자동화 프레임워크를 적용했다. 마치 전문 악성코드 분석가를 생성형 AI 기술로 모사해 자동 추적·분석하는 방식으로, 기존 수작업 한계를 극복했다는 평가다.

샌즈랩은 해당 기법을 통해 ‘x86’ 악성코드 계보를 명확히 규명했으며, 배후 위협 그룹을 ‘CTX-5341’로 특정했다. 또, 유튜브·디스코드·텔레그램 등 공개 소셜 채널과 연계 분석해 위협 행위자 활동 양상까지 추적했다.

이와 함께 샌즈랩 허수만 위협분석팀장은 TIPS세션에서 수집 배경·평가 목적·생성 근거를 명확히 하는 ‘품질·신뢰 기반 평가 모델’을 제안했다. 그는 글로벌 사이버 위협 연합(CTA) 커뮤니티 내 공유 데이터 상태를 진단하고, 신뢰성 있는 데이터 교환 체계로 발전시키기 위한 구체적인 개선 방향도 제시했다.

김기홍 샌즈랩 대표는 “이번 VB2025에서 공개한 연구는 생성형 AI 기술을 활용한 차세대 CTI 기술로 전문 분석가 역량을 모사해 악성코드를 자동 추적·분석한 성과”라며 “앞으로도 진화하는 사이버 위협에 대응할 수 있는 AI·LLM 기반 보안 기술을 선도해 글로벌 보안 생태계 발전에 기여하겠다”고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -