[머신러닝과 보안①] 전문가 역량 높여주는 머신러닝
상태바
[머신러닝과 보안①] 전문가 역량 높여주는 머신러닝
  • 김선애 기자
  • 승인 2016.06.03 08:31
  • 댓글 0
이 기사를 공유합니다

보안 인텔리전스 확보 위해 머신러닝 이용…임계치 기반 모니터링 시스템 보완

머신러닝이 보안 업계의 최대 화두가 되고 있다. 보안 시스템이 스스로 자신의 상태를 학습해 정상적인 상태와 비정상적인 상태를 분류하고, 비정상적인 상태(공격)가 발생했을 때 관리자에게 알려 문제를 해결하도록 한다. 정밀한 기계학습은 보안 전문가의 역량을 시스템이 스스로 갖출 수 있도록 해 보안 시스템을 우회하는 공격을 지능적으로 차단할 수 있다. 보안 시스템의 머신러닝활용 방법을 소개한다.<편집자>

다양한 분야에서 사용되고 있는 머신러닝

머신러닝이 최근 주목을 받는 이유는 ‘알파고’라는 흥미 있는 이벤트 때문만은 아니다. 이 기술이 실제 생활에 적용돼 성공적으로 사용되고 있으며, 적용분야가 빠르게 확대되고 있다는 사실에 주목해야 한다.

머신러닝은 각종 마케팅 활동과 이상행위/사기행위 탐지, 주식시장 예측, 장애 예측, 불량 탐지 등 많은 분야에서 사용되고 있다. SNS에서 이미지를 자동으로 인식하는 기술이나 사이버 공격 탐지, 불법적인 정보유출 탐지 등에도 적용되고 있다.

박희준 코바이노베이션 대표는 “현재 머신러닝은 완벽하게 인간처럼 지능을 갖추고 생각하는 수준은 아니더라도 비즈니스 전문가가 놓칠 수 있는 부분을 보완해주거나 분석성과를 높이는 데는 충분한 역할을 하고 있다. 인간이 분석업무에 할애하는 시간과 노력을 줄여 업무성과를 높일 수 있게 하고 있으며, 미래 행위를 예측해 비즈니스 인텔리전스, 보안 인텔리전스를 높이고 미래에 발생할 변화에 대응할 수 있도록 도와준다”고 말했다.

김학균 MDS테크놀로지 부장은 “데이터 사이언티스트가 특정 분야에서 쌓은 높은 수준의 전문지식의 상당부분을 머신러닝이 대체할 수 있다. 전문가의 일을 빼앗는 것이 아니라, 전문가의 역량을 다양한 분야에서 활용할 수 있다는 뜻”이라며 “머신러닝 기술을 이용해 시스템의 이상징후를 쉽고 편리하고 더욱 정밀하게 파악할 수 있다”고 말했다.

임계치 기반 모니터링 시스템 한계 해결

머신러닝은 임계치 기반 모니터링 시스템의 한계를 해결한다. 예를 들어 하루 한 번씩 외부의 신뢰할 수 없는 서버와 통신을 하는 것을 공격이라고 진단한다면 2~3일에 한 번씩 통신했을 때 모니터링 시스템에서 탐지되지 않는다. 한 사람이 하루에 100건 이상 개인정보를 조회했을 때 이상행위라고 간주했다면, 99건씩 매일 조회하거나, 근무를 하지 않는 주말에 조회한다 해도 이상행위로 탐지하지 않는다.

머신러닝이 결합되면 변화되는 행위를 학습해 이상징후를 알아낼 수 있어 보안·관리 시스템이 찾아내지 못하는 이상징후를 탐지할 수 있다.

실제로 화력발전소에서 석탄을 옮기는 컨베이어벨트가 갑자기 중단돼 몇 시간 동안 발전 설비가 가동되지 못하는 사고가 있었다. 관제 시스템을 확인한 결과 컨베이어벨트가 가동되는 동안 평소와 다른 미세한 이상행위가 있었지만, 임계치 이하의 이벤트였기 때문에 관제 시스템에 탐지되지 않았던 것으로 분석됐다. 만일 머신러닝을 적용해 장기간 지속된 미세한 변화를 추적한다면, 이러한 장애를 예측하고 대응할 수 있었을 것이다.

MDS테크놀로지가 국내 총판을 맡고 있는 팔콘리(Falkonry)는 IoT를 위한 머신러닝 기술을 제공하는데, 임계치 이하의 미세한 변화도 알려주기 때문에 장기간 지속되는 작은 이상행위를 발견하고 장애를 미리 예측할 수 있다.

김학균 부장은 “발전소의 예를 들어본다면, 계절이나 바람이 강할때/약할때, 비가 올 때/날이 맑을 때, 내륙에 위치하고 있는지 바닷가에 위치하고 있는지 등 각각 다른 조건마다 다르게 임계치를 설정해야 하고, 그 때 마다 컨설팅을 받아야 하고 시간과 비용이 많이 든다”며 “팔콘리는 기계가 스스로 학습하기 때문에 사람의 개입 없이 여러 조건에 맞는 분석 결과를 알려줘 전문가 컨설팅을 줄이고 변화에 유연하게 대응할 수 있다고 말했다.

보안 인텔리전스 확보 위해 머신러닝 이용

보안 분야에서도 머신러닝을 이용해 신변종 공격을 예측하고 탐지하려는 시도를 계속하고 있다. 최근 사이버 공격은 해커들이 조직화되고, 해커 생태계를 만들고 있으며, 다양한 정보교류를 통해 타깃 공격 성공률을 높이고 있다.

공격자의 변화에 대응하기 위해 ‘보안 인텔리전스’가 제안되고 있으며, 공격 관련 정보를 공유하고 분석해 방어를 위한 생태계를 만들고자 하는 시도가 진행되고 있다. 방어 시스템이 공격 정보를 분석해 공격 패턴을 찾고 예측방어 시스템을 만들고 있다.

김혁준 나루씨큐리티 대표이사는 “기업은 보안을 위해 데이터를 수집하고 있지만, 정작 이를 보안을 위해 사용하지 못한 채 서버에 쌓아두고 있다. 수집된 데이터를 통해 공격을 탐지하고 예측하기 위해서는 반드시 실시간으로 발생하는 데이터를 분석해 이상징후를 포착해야 하는데, 머신러닝이 적절하게 활용될 수 있다”고 말했다.

보안 분야에서 머신러닝은 공격 탐지와 예측방어를 위해 사용되며, 기존의 보안 시스템을 우회하는 공격을 탐지하는데 적용된다. 구체적으로 보안 모니터링, 관제, 신변종 공격 예측, 이상행위 탐지 등의 분야에서 활용하고 있다.

머신러닝 정확도 높이기 위해 룰셋 설정 필요

머신러닝을 활용하기 위해서는 기계가 학습하는 기간이 필요하며, 기계가 생성해내는 패턴이 목적에 부합하는지 판단할 수 있는 전문성도 요구된다. 머신러닝은 수퍼바이즈드 모드(Supervised Mode)와 언수퍼바이즈드 모드(Unsupervised Mode)로 이 문제를 해결한다.

수퍼바이즈드 모드는 머신러닝에 일정한 패턴을 적용한 후, 이후 유입되는 데이터를 해당 패턴에 적용시켜 이상행위/정상행위를 판단한다. 그러면서 기계가 지속적으로 학습해 일정기간 후 새로운 데이터에 대한 패턴을 생성할 수 있도록 한다.

언수퍼바이즈드 모드는 군집화(Clustering)을 통해 즉각적으로 데이터를 자동 분류하는 기법을 말한다. 사자, 고양이, 컴퓨터, 키보드 등 무작위로 섞여있는 데이터를 주입시키면 컴퓨터가 이 데이터가 가진 각각의 특성을 찾아 구분해낸다. 딥러닝이 이와 같은 방법을 사용해 학습기간 없이 즉시 데이터를 분류할 수 있다고 설명한다.

이상준 유넷시스템 전무는 “머신러닝을 이용해 도출한 결과가 언제나 정확한 것은 아니다. 머신러닝은 대량의 데이터가 가진 패턴 혹은 그룹을 읽는 기술로, 해당 결과의 정확도를 높이기 위해서는 정책 혹은 룰셋을 추가하고, 컴퓨터가 이를 학습하면서 발전해나가도록 해야 한다”고 말했다. 

▲머신러닝 수퍼바이즈드 모드와 언수퍼바이즈드 모드(자료: MDS테크놀로지)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.