[언론 보도] 샌즈랩, 세계적 보안 컨퍼런스 ‘VB2025’서 발표…생성형 AI 기반 차세대 CTI 기술 공개
샌즈랩
2025.10.13
샌즈랩, 세계적 보안 컨퍼런스 ‘VB2025’서 발표…생성형 AI 기반 차세대 CTI 기술 공개
- 생성형 AI 활용한 자동 악성코드 계보 추적 연구 발표, 글로벌 보안 무대서 주목
- CTI 생태계 신뢰 구축과 평가 체계 개선 위한 데이터 공유 프레임워크도 제시
- 그린룸 및 TIPS 트랙 동시 채택으로 기술력과 연구 성과 입증
사진 설명 1. VB2025그린룸 트랙에서 발표한 샌즈랩 연구팀(왼쪽부터 전찬빈·임승범·김창균 선임연구원).
AI 보안 전문기업 샌즈랩(KOSDAQ 411080, 대표 김기홍)은 9월 24일부터 26일까지 독일 베를린에서 열린 세계 최고 권위의 사이버보안 컨퍼런스 ‘바이러스블러틴 2025’(Virus Bulletin 2025, 이하 VB2025)에서 생성형 AI를 이용한 차세대 CTI(사이버 위협 인텔리전스) 기술을 발표했다고 밝혔다.
VB2025는 글로벌 안티바이러스 평가 기관 바이러스블러틴(Virus Bulletin)이 주최하는 국제 보안 컨퍼런스로 1989년부터 매년 전 세계 보안 기업과 연구자들이 모여 최신 위협 분석 성과를 공유한다. 샌즈랩은 올해 메인 트랙인 그린룸(Green Room)과 TIPS(Threat Intelligence Practitioners’ Summit) 두 부문 모두에서 발표를 진행하며 글로벌 보안 업계로부터 연구 역량을 인정받았다.
그린룸 세션에서 샌즈랩 연구팀(전찬빈·김창균·임승범 선임연구원)은 LLM 기술을 이용해 전문 악성코드 분석가를 모사해 지난 1월 발견한 신종 IoT 봇넷 악성코드 ‘x86’을 자동 추적하여 분석한 사례를 발표했다.
‘x86’은 전 세계 백만 대 이상의 IoT 기기를 감염시킨 사례로 단순 구조임에도 높은 파급력을 보였다. 연구팀은 함수 단위 임베딩 벡터 분석과 대규모 언어모델(LLM)을 결합한 하이브리드 자동화 프레임워크를 적용했다. 이는 마치 전문 악성코드 분석가를 생성형 AI 기술로 모사해 자동 추적·분석하는 방식으로, 기존 수작업 한계를 극복한 것이 특징이다.
해당 기법을 통해 ‘x86’ 악성코드의 계보를 qBot → Demon → Rebirth → Rebirth Reborn으로 명확히 규명했으며, 배후 위협 그룹을 ‘CTX-5341’로 특정했다. 나아가 공개 소셜 채널(YouTube, Discord, Telegram 등)과 연계 분석을 통해 위협 행위자의 활동 양상까지 추적해냈다. 이번 샌즈랩의 기술 연구는 단일 사례를 넘어, 다양한 악성코드 패밀리에도 적용 가능한 차세대 CTI 기술로 평가되며 글로벌 보안 전문가들의 주목을 받았다.
TIPS 세션에서는 샌즈랩 허수만 위협분석팀장이 사이버 위협 인텔리전스(CTI) 데이터의 품질과 활용성에 대한 CTI 평가 체계 개선을 주제로 발표했다.
매일 수십, 수백만 건 이상 생성되는 현재의 위협 인텔리전스의 단순한 양적 공유 치중에 따른 실제 신뢰성과 지역적 맥락적 가치 하락의 한계점을 꼬집으며 단순 IoC 공유를 넘어 수집 배경·평가 목적·생성 근거를 명확히 하는 ‘품질·신뢰 기반 평가 모델’을 제안했다. 또한 CTA(Cyber Threat Alliance, 글로벌 사이버 위협 연합) 커뮤니티 내 공유 데이터의 상태를 진단하고, 질 중심의 신뢰성 있는 데이터 교환 체계로 발전시키기 위한 구체적인 개선 방향을 제시해 주목을 받았다.
김기홍 샌즈랩 대표는 “이번 VB2025에서 공개한 연구는 생성형 AI 기술을 활용한 차세대 CTI 기술로 전문 분석가의 역량을 모사해 악성코드를 자동 추적·분석한 성과”라며, “앞으로도 진화하는 사이버 위협에 대응할 수 있는 AI 및 LLM 기반 보안 기술을 선도해 글로벌 보안 생태계 발전에 기여하겠다”고 말했다.
사진 설명 2. VB2025 프로그램 內 샌즈랩의 발표 세션 (출처: VirusBulletin)
