‘시만텍 TAA’는 시만텍 표적공격 전문 분석팀이 역대 주요 공격 분석 시 사용한 위협 탐지 기술과 머신러닝을 결합, 사이버 공격 그룹의 공격기법을 집중적으로 학습시킨 대응력을 제공하는 것이 특징이다.

‘시만텍 ATP(Advanced Threat Protection, 지능형위협보호) 솔루션’에서 제공되는 ‘시만텍 TAA’는 사이버 공격 그룹의 공격기법에 특화돼 EDR의 탐지 및 대응 성능을 향상시킨 기술이다. 기존에는 EDR에서 파일의 해시값, 악성코드 유포 도메인, 레지스트리, 프로세스 이름 등 다양한 침해지표(Indicator of Compromise) 정보를 통해 기업 내부의 침해사실을 파악할 수 있다.

반면, ‘시만텍 TAA’는 이러한 침해지표 기반의 공격 탐지는 물론, 공격자들이 사용하는 침투 방법, 측면 이동 시 사용하는 명령어 등 시만텍 전문 분석팀이 수년간 공격 그룹을 추적해 확보한 인텔리전스 정보에 머신러닝을 결합, 자동으로 해당 공격 그룹의 공격을 탐지한다. 더불어, 표적공격 활동을 식별하고 우선적으로 대응해야 하는 공격을 알려주는 침해 사고 리포트를 제공한다. 이를 통해 기업은 실제 대응해야 하는 공격을 파악할 수 있다.

‘시만텍 TAA’는 보안 위협 빅데이터를 구축하고 있는 시만텍 고객의 시스템 데이터와 네트워크 텔레메트리 데이터 등을 머신러닝 기술로 분석한다. 또한 클라우드 기반 기술로, 제품 업데이트를 할 필요 없이 수시로 분석 재학습과 업데이트를 제공해 새로운 공격 방법에 적응할 수 있도록 지원한다.

‘시만텍 TAA’는 수십여 개의 에너지 기업을 겨냥해 공격했던 ‘드래곤플라이 2.0(Dragonfly 2.0)’을 발견했을 때 사용한 툴셋을 기반 기술로 하고 있다. ‘시만텍 TAA’는 내부 개발 기간 동안 1,400여개 기업에서 보안 침해 사고를 식별하는 테스트를 거쳤다.

윤광택 시만텍코리아 CTO는 “시만텍은 오랜 기간 사이버 공격그룹의 분석을 통해 확보한 공격그룹 특징 및 속성 정보와 머신러닝을 결합, 표적공격에 특화된 ‘시만텍 TAA’ 기술을 선보이게 됐다”며, “이제 일반 기업에서도 시만텍 전문 분석팀의 표적공격 분석 기술을 솔루션으로 이용할 수 있게 돼 보다 효과적으로 표적공격에 대응할 수 있을 것으로 기대한다”고 말했다.

한편, ‘시만텍 ATP 솔루션’을 사용하고 있는 기업들은 별도의 추가 구입 없이 ‘시만텍 TAA’ 기술을 이용할 수 있다.