“악성코드가 홍수를 이루고 있으며, 하루 100만개 이상의 신종 악성코드가 발견된다. 그러나 대부분의 악성코드는 이전에 발견된 것의 변종이며, 완전히 새로운 악성코드는 5~10% 수준에 불과하다.”
이대효 지니언스 실장은 8일 서울 삼성동에서 열린 ‘차세대 보안 비전 2018’에서 ‘인공지능과 사이버 범죄’라는 제목의 세션을 통해 “완전한 신종 악성코드는 의외로 많지 않지만, 실제로 많은 악성코드가 정상파일과 상당한 유사성을 갖고 있기 때문에 오탐을 줄이면서 탐지 정확도를 높이는 것이 어려운 일”이라고 설명했다.
홍수처럼 쏟아지는 악성코드를 분류하고 제어하기 위해 인공지능(AI) 기술의 하나인 머신러닝이 부상하고 있지만, 실제로 머신러닝을 보안에 접목하는 것이 쉬운 일은 아니다. 공격은 정상적인 파일과 정상적인 행위로 위장하고 있기 때문에 보안 분석가의 전문 분석 역량이 필요하다.
전문가 없이도 악성행위를 분석할 수 있도록 도와주는 솔루션이 최근 글로벌 시장에서 각광받고 있다. 일부 기업은 정부의 전폭적인 투자 지원을 받고 있고, 유명 벤처투자사들의 막대한 투자를 받고 있다. IBM은 왓슨을 보안 인텔리전스, SIEM에 적용해 보안 탐지율을 높이고 있다.
글로벌 AI 기술, 국내에 정확하게 맞지는 않아
그러나 글로벌 환경에서의 머신러닝 분석 결과와 국내에서의 결과는 다소 다른 점이 보인다. 예를 들어 왓슨의 경우, 미국 메모리얼슬로언케터링 암센터(MSKCC)에서는 95%의 진단 정확도를 기록했지만, 우리나라 가천대길병원에서는 56%에 그쳤다. 인종적 특성과 암 발병 원인, 항암제 반응 등 여러 조건에 따라 분석 결과가 달라진다는 것이다.
지난해 가장 맹위를 떨친 랜섬웨어의 경우, 글로벌 시장에서는 낫페트야, 워너크라이, 크라이시스 등이 많은 피해를 입혔지만, 국내에서는 이 공격으로 인한 피해가 미미한 상황이었다. 지난해 글로벌 톱 10으로 꼽힌 랜섬웨어 악성코드 케르베르, 록키, 스포라 등 3개만이 국내 톱10에 꼽혔으며, 매그니베르, 세이지, 매트릭스 등 국내에서 많은 피해를 입힌 랜섬웨어는 글로벌 시장에서는 찾아보기 어렵다.
또한 글로벌 시장에서는 대부분의 공격(73%)이 이메일을 통해 이뤄지지만, 우리나라에서는 웹사이트(74%)를 통해 이뤄지며 이메일은 23%에 불과하다.
이대효 실장은 “글로벌 시장에서 인정받는 머신러닝 기술이 국내에서도 똑같은 효과를 보일 것이라고 생각해서는 안된다. 입력되는 데이터의 성격이 다르고, 공격 타깃과 공격 방법 등도 다르기 때문”이라고 설명했다.
글로벌·로컬 위협 인텔리전스 연동한 AI 기반 보안 기술 필수
머신러닝 기법 중 학습이 필요 없는 딥러닝은 입력되는 데이터의 질과 양에 따라 결과값이 달라지는 지도학습 기반 머신러닝보다 AI에 더 가깝다고 여겨진다. 그러나 아직까지 딥러닝 분석은 정확도가 75%에 그쳐 완성도가 떨어진다.
이와 같은 AI의 한계를 해결하는 방법으로 기존에 축적한 보안 기술과 글로벌 위협 인텔리전스(CTI)를 연동하는 것이 제안된다. 지니언스는 고객사로부터 위협 정보를 수집해 기존 위협 DB 및 지니언 CTI와 비교하고, 샌드박스 분석과 외부 CTI와도 연계 분석해 위협을 탐지한다. 새로운 위협 정보는 머신러닝 트레이닝 시스템에서 학습하면서 위협 탐지 정확도를 지속적으로 높여간다.
이대효 실장은 “현재 전 세계에서 가장 많은 투자가 일어나는 IT 분야가 AI이고, 이를 이용한 보안 기술도 경쟁적으로 등장하고 있지만, 국내에서는 국내 환경에 맞는 AI가 필요하다”며 “글로벌·로컬 위협을 함께 비교하면서 오탐 가능성을 줄이는 방법의 기술 진화가 이뤄져야 한다”고 강조했다.
