[10월] 이상행위 탐지엔진, XBA(X Behavior Analysis)
지금까지 사이버 위협(Cyber threat)에 대한 주된 대응은 방어(Prevention)였습니다. 우리는 피해 또는 위험이 발생한 이후 위협(Threat)을 분석할 수 있었으며 이를 방어하기 위한 솔루션(Solution)을 만들거나 체계(Process)를 구축하였습니다. 내부 자원(PC 등)이 외부 네트워크와 연결되자 새로운 위협이 발생하였고 이를 방어하기 위해 방화벽(Firewall)을 개발하였습니다. 악성코드가 시스템에 위험을 초래하자 안티바이러스(Anti-Virus)를 개발하였습니다.
그러나 이러한 대응은 특정 위협에만 효과적입니다. 지능형 지속위협(Advanced Persistent Threat) 등 복합적인 위협이 발생하는 경우 감지 및 대응이 불가능합니다. 안티바이러스는 파일 기반의 알려진(Known) 악성코드에만 대응할 수 있습니다. 신종 또는 변종 악성코드에는 대응이 불가능합니다. 또한 파일 없이 동작하는 악성코드(Fileless Malware)에 대해서도 탐지가 어렵습니다. 방화벽은 외부에서 내부로, 또는 내부에서 외부로 향하는 트래픽을 조사하고 통제할 수 있지만 이미 내부로 들어온 공격에 대해서는 아무런 대응을 할 수 없습니다.