최근 사람의 심리를 이용하는 ‘사회공학적 이메일 해킹’ 기법으로 피해를 입는 기업이 늘어나면서 이에 대응할 수 있는 ‘인간’이 배제된 인공지능 기술이 도입된 보안 솔루션 출시가 필요할 것으로 보인다. 인간의 감정, 습관 등 심리의 허점을 파고드는 해킹 기법이 고도화될수록 여기서 약점을 보이지 않는 머신러닝 등의 기법이 중요하기 때문이다.
머신 러닝(Machine learning)이란 단어 그대로 ‘기계가 스스로 답을 찾아낼 수 있도록’ 만들어 내는 분야를 의미한다. 엄밀히 말하면 컴퓨터가 주어진 데이터에서 의미 있는 정보를 자동으로 찾아낼 수 있도록 해 주는 모든 기술 영역을 일컫는다.
시스템 스스로 악성코드 분류·확인
머신러닝은 악성코드 분석기술에 도입할 수 있다. 악성코드를 가상머신에서 실행하고 분석한 결과를 이용해 그 파일만의 특정한 프로세스 흐름 정보를 추출한 다음, 다른 파일들의 분석결과에서 추출한 프로세스 흐름 정보와 비교한다.
이를 통해 악성코드와 얼마나 유사한지를 판별하고 지금까지 악성코드를 탐지하기 위해 사용해왔던 패턴매칭 기술만이 아닌 여러가지 데이터마이닝 기법을 활용해 분석할 수 있다.
악성코드 분석을 통해 얻은 ‘프로세스 흐름도’와 ‘API 호출순서’ 데이터를 활용해 이와 유사한 신/변종 악성코드들을 찾아낼 수 있고, 비슷한 유형들을 모아 그룹화할 수도 있다.
보안을 요하는 핵심 정보가 기업 어디에 있는지 파악하고, 외부 공격의 패턴을 통해 일반적인 접근 패턴인지 아니면 불순한 의도가 있는 공격인지를 구별하며 외부 보안위협에 대한 필터링과 공격 유형 분석, 기업 내부보안 요소들의 상관관계를 밝히는데 머신러닝 기술이 적용되지만, 최근 들어 인간의 행위 자체를 분석하기 위한 머신러닝 기법 도입이 활발하다.
시스템에 이상 행동이 나타나게 되면 경고를 주게 되는 방식을 보면, 특정 사용자가 최대 한 건에서 두 건 정도의 파일 공유 행동을 하다가 20메가 정도의 용량을 다운로드할 경우 이상 행동을 한다고 머신이 판단해 경고하게 된다. 사회공학적 보안 공격의 가속화 덕분에 이처럼 기업 내부에서 행동기반 탐지가 이제 필수적이다.
사용자 행위분석 통해 사이버 공격 탐지
내부자 위협을 보안담당자가 주관적으로 판단해 찾아내는 것은 불가능하다. 만약 보안담당자의 지인일 경우 ‘이 사람이 보안 위협을 가할 사람이 아니다’고 생각하는 것이 일반적이기 때문이다.
이에 대응하기 위해서는 IP 기반으로 차단하는 것은 부족하고 직원이 기업 내에서 어떤 관계를 가지고 있는지 패턴을 자동화된 솔루션으로 찾아내야 한다. 머신러닝 기법을 이용한 정보보안에서의 행동기반 분석을 사용자 행위 분석(UBA)이라고 정의한다.
머신러닝 기법을 통한 사이버 공격 방어에 대해 많은 기술들이 점차 소개되고 있지만, 수학적 기법을 통한 알고리즘 개발로 진행하는 방식이어서 파일에 대해서는 한계가 발생한다.
이러한 머신러닝 기술이 완벽해지기 위해서는 오랜 기간에 걸친 많은 분석 데이터를 통해 신뢰도 높은 판단 결과를 기반으로 악성코드와 정상코드와의 상관관계 또는 악성코드와 악성코드간의 상관관계 등 한 차원 높은 양질의 데이터를 얻을 수 있도록 해야 한다.
