일상화된 사이버 공격, AI로 대응한다
상태바
일상화된 사이버 공격, AI로 대응한다
  • 김선애 기자
  • 승인 2019.01.13 08:31
  • 댓글 0
이 기사를 공유합니다

AI 기반 악성코드 탐지·보안관제 시스템 인기…공격자도 AI 사용해 공격 기법 고도화

사이버 공격이 일상화, 대규모화 되고 있으며, 기존의 보안 기술을 쉽게 우회하고 무력화한다. 개별 보안 솔루션을 우회하는 공격을 탐지하기 위해 SIEM과 같은 보안관제 솔루션을 사용하지만, 너무 많은 이벤트가 발생하기 때문에 어떤 것이 실제 위협인지 알 수 없다. 폭증하는 보안 이벤트에서 실제 위협을 판별하기 위해 전문가의 통찰력을 학습한 AI를 적용하는 방안이 대안으로 꼽힌다.

AI는 수많은 보안 이벤트 중에서 실제 위협이 되는 것을 골라내고, 우선순위화 해 공격을 방어할 수 있게 한다. AI 중에서도 머신러닝 기술이 주로 사용되며, 일정한 학습 기간을 거친 후 사용하는 지도학습 기법의 머신러닝이 초기에는 많이 사용돼왔다. 현재는 학습 없이 즉시 위협을 탐지할 수 있는 비지도학습 기법으로 탐지 효과를 높이고 있다.

▲ AI의 양면성(자료: 시만텍)

악성코드 분석에 사용되는 AI
AI 기반 보안 기술은 악성코드 탐지, 보안관제 시스템에 주로 사용된다. 현재 지하세계에서는 자동화된 악성코드 생성 기계를 사용해 하루에도 수십만개에 이르는 신변종 코드를 쏟아내고 있다. 새로 생성된 악성코드의 숫자를 세는 것도 의미 없을 만큼 많은 악성코드가 생성되고 있다.

그러나 백신 시그니처에 등록되는 악성코드는 아무리 많아도 수백개 수준이다. 모든 악성코드가 공격에 사용되는 것이 아니며, 탐지된 의심 코드가 악성인지 여부를 파악하는 것도 상당한 시간이 걸리기 때문이다. 새롭게 생성된 악성코드는 단 며칠만 사용되고 버려지는 반면, 악성코드가 백신 시그니처에 등록되는데 상당한 시간이 걸린다. 시그니처에 등록된 후에는 더 이상 악성행위를 하지 않는 것도 부지기수다.

백신에 AI를 접목시키면 시그니처 없이 대량의 악성행위를 찾아낼 수 있다. AI 기반 백신은 엔드포인트에 이벤트만을 수집하는 경량 에이전트를 설치하고, 수집된 이벤트는 클라우드 혹은 중앙서버에서 분석한다. 지도학습 혹은 비지도학습 기반 머신러닝 엔진을 이용해 수집된 이벤트가 실제 악성인 것으로 판단되면 차단하고 이를 글로벌 위협 인텔리전스에 등록시킨다. 다른 엔드포인트에서 이와 유사한 행위가 다시 발견되면 차단하는 등의 방법을 지속하면서 악성코드 탐지 정확도를 높인다.

숙련된 관제인력 역할 수행해 관제팀 업무 줄여
보안관제 시스템에서 사용되는 AI는 관제 시스템의 네트워크 트래픽에서 이상행위를 찾아 분석하고 위협을 탐지하는 기능을 한다. 현재 관제 시스템이 갖고 있는 문제는 개별 보안 시스템에서 발생되는 이벤트를 연계분석하지 못한다는데 있다. 이벤트마다 데이터 포맷과 보안 사고를 표시하는 방법이 각각 다르기 때문에 이종 데이터를 통합·분석하는데 어려움이 있다.

또한 수많은 이벤트 중에서 어떤 것이 실제 위협인지, 의심스러운 행위로 분류된 것 중 정상 활동이 있는지 등을 가려내는 것도 쉽지 않은 일이다. 지금까지 이 일은 관제요원이 직접 분석하고 대응해왔으며, 관제요원의 숙련도에 따라 위협 탐지·대응 효과가 크게 달라지게 됐다.

AI를 이용하면 숙련된 관제요원의 통찰력을 관제 시스템에서 사용할 수 있기 때문에 초보 관제인력이라 해도 숙련된 관제인력처럼 심각한 위협에 정확하게 대응할 수 있다. 숙련된 관제인력은 단순하고 반복되는 업무에서 벗어나 더 지능화된 위협 대응에 집중할 수 있기 때문에 보안관제 효과를 한층 더 높일 수 있다.

최근 등장하는 거의 대부분의 보안관제 시스템은 AI를 접목하고 있다. SIEM, TMS 뿐 아니라 네트워크 패킷 분석 시스템, 네트워크 포렌식 시스템 등에서도 지도학습 혹은 비지도학습 기법의 머신러닝을 접목해 보안 탐지 효과를 높이고 있다.

공격자도 AI 사용해 공격 효과 높여
AI가 다양한 보안 영역에 사용되면서 탐지·대응 효과를 높여가고 있지만, 공격자도 AI를 사용해 공격 효과를 높이고 있다는 사실도 염두에 두어야 한다. 공격자들은 AI를 이용해 타깃 시스템의 취약점을 파악하고 보안 시스템의 작동 방법을 학습해 우회기법을 찾아낸다. 잘못된 보안 이벤트를 대량으로 발생시켜 AI 기반 보안 시스템이 잘못된 학습 결과를 내놓게 하는 것도 충분히 가능한 일이다.

AI를 이용하는 공격자를 막을 수 있는 방법은 보안조직이 더 정확한 AI 알고리즘을 사용해 공격에 대응하는 것이다. AI 기술을 더욱 발전시켜 정확하게 공격을 탐지하고 자동으로 대응하며, 광범위한 글로벌 위협 인텔리전스를 통해 이전에 발견된 공격에 선제방어하며 이후에 발생할 유사 공격에도 효과적으로 대응하도록 해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.