[AI 활용 보안 기술①] 보안 전문가 역량 확대하는 AI
상태바
[AI 활용 보안 기술①] 보안 전문가 역량 확대하는 AI
  • 김선애 기자
  • 승인 2018.07.31 16:17
  • 댓글 0
이 기사를 공유합니다

사이버 위협 탐지 속도·정확도 높이는 AI…성공적 활용 사례 축적하며 고도화

사이버 보안에서 공격자와 방어자를 쫓기는 자와 쫓는 자로 비유하는 것은 맞지 않다. 사이버 세상에서 쫓기는 자는 쫓는 자 보다 절대적으로 우위에 있기 때문이다. 수많은 보안 솔루션으로 경계를 보호하고, 내부위협 탐지 시스템으로 내부 보안에도 완벽을 기한다 해도, 공격자는 취약한 점을 찾아낼 때 까지 공격을 시도한다.

공격자는 타깃 조직이 사용하는 보안 시스템을 분석해 취약점을 찾아내고, 보안 정책을 지키지 않는 사용자를 노리며, 외부 협력사, 원격지 사용자, 클라우드 등 보안의 약한 고리를 노리고 지능적으로 들어간다.

공격자들은 더 적은 비용으로 더 높은 수익을 얻기 위해 공격하기 쉬운 사용자와 방치된 시스템을 노리며, 공격에 사용한 도구와 공격 방법을 방어조직이 알아내지 못하도록 증거를 지우거나 조작한다. 수사에 혼선을 주어 자신들이 원하는 목적을 충분히 이뤄낼 수 있도록 시간을 번다.

공격자들이 가장 많이 사용하는 첫번째 공격 거점은 도용된 계정이다. 우리은행 인터넷뱅킹 부정 로그인 사고와 같이, 이미 유출된 계정정보를 사용해 시스템에 정상 사용자로 위장하고 로그인 한 후 추가 정보를 유출하거나 금전적인 이익을 취한다.

탈취된 계정 이용해 정상 사용자 위장해 공격 가능

실제로 최근 발견된 악성코드에서 가장 많이 포함하고 있는 기능이 계정정보 탈취하는 것이다. 한국인터넷진흥원(KISA)의 ‘악성코드 은닉사이트 탐지 동향 보고서: 2018년 상반기’에 따르면 올해 상반기 탐지된 악성코드의 25.3%가 정보유출(계정정보)을 위한 것으로, 이용자 PC나 모바일 기기에 저장된 ID/PW 등을 탈취하는 악성코드였다.

이어 많이 발견된 것이 다운로더(24.5%)로, 추가 악성코드를 인터넷이나 네트워크를 통해 다운로드 후 설치·실행하는 악성코드다. 3, 4위는 랜섬웨어(14.9%), 암호화폐 채굴(14.1%) 악성코드였다.

악성코드를 유포하는 가장 쉬운 방법은 웹사이트로, 상기 보고서에서는 악성코드 경유지로 쇼핑몰(27%)이 가장 많이 사용되며, 제조업체(22%), 커뮤니티(17%)의 순으로 나타났다.

사이버 공격에 공격자들은 악성코드를 가장 많이 사용하고 있지만, 최근 보안 솔루션의 악성코드 탐지 성능이 높아지면서 악성코드 형태 외에도 파일 없는 공격 도구를 사용하거나 기존에 유출된 계정정보를 이용해 시스템에 직접 침투하는 공격을 사용하기도 한다. CCTV, 가정용 공유기, 가정용 네트워크 스토리지 등 보안 관리가 잘 되지 않는 IoT 기기들도 공격자들의 단골 도구이다.

전문가 통찰력 얹은 AI

공격 도구와 방법이 다양해지자 방어 전략의 전면적인 수정이 필요하게 됐다. APT 공격 방어에 록히드마틴이 제안한 ‘사이버 킬 체인’이 기본 전략으로 인정돼 왔으며, 위협이 실제로 발생하기 전 탐지하고 방어하는 선제방어 전략으로 발전했다. 이제는 선제방어가 실패했을 때의 전략으로 ‘위협 탐지와 대응’이 새롭게 추가됐으며, 인공지능(AI)이 공격 탐지율을 높이고 보안 전문가의 업무를 줄일 수 있는 대안으로 꼽히고 있다.

강필용 KISA 정보보호 R&D 기술공유센터장은 “디지털 트랜스포메이션이 가속화되고, 네트워크에 연결된 기기가 증가하면서 위협이 급증하고 있다. 일례로, 지난해 새롭게 발견된 악성코드는 7억건인데, 이는 악성코드 분석 전문가 혹은 보안 기업의 자동화된 툴로 해결할 수 있는 범위를 넘어선다”며 “AI가 방대한 악성코드 의심 샘플, 내부 의심 정황 모니터링 정보 등을 분석해 실제 위협을 찾아내는데 좋은 기술로 사용될 수 있다”고 말했다.

기존의 공격도구 분석 솔루션은 코드의 일부만 바꿔 신종 코드로 만들면 탐지하기 어려웠다. 유사도 분석 기법 등을 이용해 신변종 코드를 탐지하는 기술을 사용하면서 탐지율을 높여왔지만, 자동화된 분석 툴이 수행하기에는 오탐·미탐을 해결할 수 없었다. AI는 자동화된 분석에 전문가의 통찰력을 얹기 때문에 이전의 위협 탐지 기술 수준을 한 차원 끌어올릴 수 있다.

IBM의 2016년 보고서에 따르면 현재 사이버 보안에 있어 가장 위협이 되는 것으로 CIO의 45%가 사고 탐지와 대응 시간을 줄이는 것을 꼽았으며, 2~3년 후에 위협이 되는 것으로 53%가 속도, 52%가 복잡성을 꼽았다. 즉 디지털 트랜스포메이션으로 인해 야기되는 IT 및 보안 관리의 복잡성을 해결하면서 빠르게 위협을 탐지하고 대응하는 것이 필수적인 요건이 될 것이라는 전망이다.

이를 AI가 해결할 수 있을 것이라고 많은 전문가들이 예측한다. 2017년 ‘글로벌 오퍼튜니티 리포트’ 보고서에서는 85%의 기업이 사이버 공격 예측에 AI를 사용할 것이라고 밝힌 바 있다. AI는 위협 탐지와 대응에 대한 의사결정을 신속하게 내릴 수 있도록 도와주며, 사고대응 시간과 오탐을 줄여 보안을 효율화 한다.

보안 기술에 널리 사용되는 AI

AI를 이용한 보안 탐지와 대응은 이상금융거래 탐지(FDS), 네트워크 침입 탐지, 악성코드 분석, 소프트웨어 취약점 분석 등에 사용되며 ▲비정상·악성 행위 탐지와 공격 저지 ▲사람의 분석 능력과 결과 보강 ▲보안 반복 작업 자동화 등에 활용되고 있다. DARPA, 데프콘 등 세계적인 해킹대회에서는 AI를 이용한 해킹 자동화 기술을 선보이면서 대응 방법 마련을 촉구한 바 있다.

다크트레이스, 사일런스 등이 대표적인 AI 기반 보안 솔루션으로 꼽히고 있으며, 우리나라에서도 SK인포섹, 이스트시큐리티, 세인트시큐리티, 이글루시큐리티, 바이오닉스진 등 많은 기업들이 AI 알고리즘을 이용해 위협 탐지와 대응 역량을 높이고 있다.

한국인터넷진흥원(KISA)도 AI를 이용해 ▲모바일 결제사기 통합 대응 기술 ▲IoT 보안 취약점 검색·공유 및 시험 기술 ▲행위기반 유사·변종 악성코드 분류 기술 등을 개발했으며, ▲사이버 위협 인텔리전스(CTI) 분석 및 정보 공유 기술 ▲자가학습형 사이버 면역 기술 ▲클라우드 기반 IoT 위협 자율분석 및 대응 기술을 개발하고 있다.

또한 지능형 침해사고 종합분석 및 대응 체계와 사이버 위협 빅데이터센터 구축을 통한 위협정보 분석·공유(C-TAS) 고도화를 시행하고 있다.

▲행위기반 유사·변종 악성코드 분류 시스템(자료: KISA)

AI, 만병통치약 아니다

그러나 AI가 만병통치약은 아니다. AI는 오탐이 많을 뿐 아니라 정확한 판단을 내리지 못해 사람이 결과값을 보정해야 하는 경우가 많다.

강필용 센터장은 “알파고 시리즈로 AI의 능력이 인간을 압도하는 것처럼 느껴지지만, 실제로 현재 AI는 인간 지능을 모방해 특정한 문제를 해결하는 능력이 뛰어난 것일 뿐, 인간처럼 사고하고 창의적으로 문제를 해결하지는 못 한다”며 “현재 보안에 적용된 AI 알고리즘은 시각/자연어 처리에 최적화된 모델로, 사이버 보안에 적합하다고 할 수 없다. 보안을 위한 AI 알고리즘 연구는 기초적인 수준”이라고 지적했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.