[AI 이용한 보안 기술②] AI로 위협 인텔리전스 구축

수많은 악성코드, AI 통해 자동 분류·분석해 위협 인텔리전스 만들어…보안관제에도 AI 사용

AI가 보안 분야에서도 활발하게 활동하고 있다. 수많은 위협 정보를 스스로 학습해 새로운 위협을 탐지, 분류하고, 다양한 IT 시스템에서 나오는 이벤트를 연계 분석해 은밀하게 진행되는 내부위협을 찾아낸다. AI는 보안 전문가의 업무를 줄일 수 있는데, 대부분의 위협은 AI가 판단해 처리하고, 전문가의 통찰력이 필요한 일부 이벤트만 처리할 수 있어 전문가가 더 정교한 위협에 집중할 수 있다. AI를 적용한 보안 기술의 현재와 미래를 살펴본다.<편집자>

AI로 악성코드 분석·분류

사이버 공격은 주로 악성코드를 이용하며, 최근에는 취약점, 매크로 등과 같은 비실행파일을 이용하는 공격이 늘고 있다. 워너크라이처럼 많은 시스템이 갖고 있는 취약점을 이용해 웜처럼 퍼져나가는 공격도 있다. 그러나 여전히 많은 공격이 악성코드를 이용한다.

안티바이러스 테스트 기관인 AV테스트가 조사한 바에 따르면 2016년 한 해 동안 새롭게 발견된 멀웨어는 1억3000만개에 육박한다. 1초에 247개의 새로운 악성코드가 발견되는 셈이다.

2017년 10월 현재까지 누적된 멀웨어는 7억여개에 이른다. 발견된 악성코드만 집계하기 때문에 발견되지 못한 악성코드까지 생각하면 엄청난 수의 악성코드가 활동하고 있는 것이다.

▲현재까지 발견된 멀웨어(좌), 최근 10년간 새롭게 발견된 멀웨어(우)(자료: AV-Test)

쏟아지는 악성코드 의심 파일을 분석하는데 샌드박스와 같은 동적분석 기술을 이용하지만, 분석 결과가 정확한지는 분석가가 다시 확인해야 한다. 샌드박스는 너무 많은 이벤트를 발생시키기 때문에 분석가가 개입하지 않으면 정확하게 공격을 분류해내지 못한다.

현재 많은 보안 기업들은 AI의 일종인 머신러닝과 딥러닝을 활용해 악성 의심 파일을 실제 위협인지 아닌지 분류한다. 정상 파일의 행위를 학습한 후 학습되지 않은 행위가 나타날 경우 의심파일로 여기고 알람을 띄운다. 파일 정보를 참조해 샌드박스에서 일어나는 행위를 분석하고, 샌드박스를 우회하는 공격을 막기 위한 새로운 기법도 사용한다.

맥아피의 ‘리얼 프로텍트’는 파일이 실제 컴퓨터에서 하는 행위를 살펴보는데, 파일 이름을 변경하거나 해시를 변경하는 등의 이상행위가 발생하는지 지켜본다. 이를 통해 시그니처에 없는 악성파일도 찾아낼 수 있다.

AI 이용한 위협 인텔리전스로 위협 차단

시만텍은 업계에서 가장 먼저 인공지능 기술의 하나인 머신러닝을 보안 제품에 추가했다. 데이터 유출 방지(DLP) 제품에 추가된 시만텍 벡터 머신러닝(VML) 기술은 데이터 고유의 특성을 이해하고 민감한 데이터와 그렇지 않은 데이터 사이의 미묘한 차이를 파악하기 위해 샘플 문서를 이용한 학습 과정을 거친다.

키워드 기반 정책이나 신규 문서 작성에 따른 지문 생성 과정이 필요 없으며, 샘플 문서만으로 충분히 정확한 정책을 생성할 수 있고, 중요한 문서와 중요하지 않은 문서를 자동으로 학습하고 분류한다.

통합 엔드포인트 보안솔루션 ‘시만텍 엔드포인트 프로텍션(SEP)’에도 머신러닝이 적용된다. 수집되는 악성코드 중 동일한 행동을 보이는 악성코드는 같은 그룹으로 분류하고, 그 중 유일한 내용을 찾아내 시그니처를 자동으로 생성한다.

그 다음 오탐 방지를 위해 정상파일 등에서 생성된 시그니처를 분석하고 이러한 일련의 과정을 머신러닝 기술을 통해 자동화한 후 시그니처를 생성하게 된다. 이렇게 머신러닝을 사용하면 향후 발생하는 변종도 해당 악성코드 그룹의 특징을 가지고 쉽게 탐지할 수 있다.

시만텍은 모바일 보안 제품에 딥러닝을 적용했다. 이를 통해 고객이 더 나은 결정을 빠르게 내릴 수 있도록 방대한 양의 위협 데이터로부터 인사이트를 얻어낸다. 사이버 보안 제품에 딥러닝 기술을 적용해 수동적인 서비스에서 벗어나 적극적으로 대응 시간을 단축시키고 탐지를 개선했다. 딥러닝 기술이 적용된 ‘노턴 모바일 시큐리티’는 안드로이드 기기를 효과적으로 보호한다.

시만텍의 글로벌 위협 인텔리전스인 ‘글로벌 인텔리전스 네트워크(GIN)’에도 AI가 접목된다. 다양한 위협정보를 수집해 AI로 분석해 위협을 탐지하며, 그 결과는 시만텍의 모든 보안 제품과 보안운영센터(SOC)의 보안관제, 위협 분석 플랫폼에도 접목한다. 시만텍 SOC는 AI를 이용해 보안 이벤트의 상관관계를 분석하고, 보이지 않았던 위협과 비정상 트래픽을 탐지하고 있다.

점차 지능화되는 공격에 대응하기 위해 머신러닝을 구동, 스스로 학습하고 분석할 수 있는 역량을 갖춤으로써 시스템 자체를 이해할 수 있도록 해나갈 예정이다.

김선애 기자 다른기사 보기