[2020 보안 키워드] ④양날의 검, AI
상태바
[2020 보안 키워드] ④양날의 검, AI
  • 김선애 기자
  • 승인 2020.01.02 09:46
  • 댓글 0
이 기사를 공유합니다

공격자도 이용하는 AI…보안 분석 더 어렵게 만들 수도
위협 대응 최적화 AI 알고리즘으로 보안 수준 높여야

[데이터넷] 본보는 2020년 보안 시장을 예측하고 새로운 보안 모델 수립에 참고할 수 있도록 주목해야 할 보안 키워드 10가지를 정리했다. ▲정부 보안 산업 육성 정책 ▲클라우드 보안 가속화 ▲OT·IoT 보안 위협 현실화 ▲양날의 검, AI ▲진화하는 공급망 공격 ▲랜섬웨어와 암호화폐 해킹·채굴 ▲지능형 공격의 진화 ▲개인정보 보호와 활용 ▲제로 트러스트 보안 모델 ▲통합과 자동화 등을 정리해본다.<편집자>

AI가 보안 영역에 널리 사용되고 있다. AI를 사용하지 않는 보안 솔루션을 찾아보기 어려울 정도다. 위협이 다양화, 대규모화, 지능화되면서 보안인력만으로 모든 위협에 대응할 수 없게 되자 AI 기술을 이용해 위협을 자동으로 찾도록 하고 있다. AI는 위협으로 의심되는 것을 찾아 유형별로 분류하고 정책에 따라 격리하거나 차단, 프로세스 삭제, 보안팀에게 알림, 다른 보안 분석 솔루션으로 이관 등을 진행한다. AI 보안 탐지·대응 프로세스를 표준화·자동화해 보안조직의 업무를 줄여준다.

보안 탐지에 AI가 필요한 이유는 위협이 너무 많이 발생하기 때문이다. 시스코 조사에 따르면 기존 보안툴을 우회한 공격이 65%, 보안 침해 원인을 규명하지 못한 조직이 55%에 이르며, 공격이 탐지되기까지 100일 이상 걸린다. 공격이 어떤 경로로 시작해 진행됐으며, 어떤 취약점을 이용했는지, 공격이 진행되는 동안 어떤 피해가 일어났는지 파악하지 못하는 것이 상당수에 이른다는 뜻이다.

시큐리온은 2019년 새롭게 발견된 악성코드가 9억800천만개에 이른다는 AV테스트의 조사결과를 인용하며, 기존의 전통적인 악성코드는 전년 대비 절반 수준으로 줄었지만, 잠재적 위협을 가진 앱(PUA)과 같은 새로운 형태의 위협이 급증하고 있다고 설명했다.

보안 진영에서 따라갈 수 없는 속도로 공격도구가 쏟아지는데, 보안 분석가의 역량에만 의존할 수는 없다. 팔로알토네트웍스는 ▲기존에 알려진 위협을 지능적으로 차단하는 선제방어를 통해 99% 이상의 공격을 자동으로 차단하고 ▲AI, 머신러닝을 이용해 증가하는 고급 분석 업무를 줄이고 보안 이벤트의 상관관계를 파악하며 ▲자동화를 통해 보안팀의 개입 없이 확실한 위협이 차단될 수 있도록 해야 한다고 주장했다.

AI 이용해 진화하는 공격자

AI는 공격자들도 사용한다. 공격자들은 AI를 이용해 보안기술을 분석하고 우회 방법을 찾아낸다. 공격도구 개발을 자동화해 대규모 악성코드와 봇넷을 생산해낸다. AI를 이용해 네트워크 취약점을 자동으로 찾아 침입을 시도하며, 다양한 경로로 입수한 개인정보를 AI로 분석해 개인을 매칭하고 고급 개인정보로 완성시킨다.

소포스는 머신러닝이 공격받을 가능성을 제기했다. 보안 시스템이 사용하는 AI 분석을 교란시키기 위해 대량의 오염된 데이터를 보내기도 하며, 공격 목표가 된 사람을 성공적으로 속일수 있는 방법을 찾는데 AI를 사용한다는 설명이다. 예를 들어 다수의 사람들에게 스피어피싱 메일을 발송한다 했을 때 각각의 사용자에 대한 정보를 학습시킨 후 그 사람에에게 맞는 문구와 내용, 악성파일을 제작하는데 AI를 사용할 수 있다. 백신이 차단하기 전 까지 짧은 시간 동안 많은 사람들에게 스피어피싱 공격을 해 공격 성공률을 높인다.

이글루시큐리티는 AI의 양면성에 대해 ▲AI는 특정한 용도로 사용되도록 정해진 기술이 아니고(이중성) ▲비정상적 데이터로 학습할 시 오류가 유발되는 등 아직 해결되지 않은 다수의 취약점이 존재한다고 설명했다.

AI의 이중성과 취약성으로 인해 ▲방어자의 보안 시스템 우회 ▲이미지 인식용 AI 알고리즘을 속이는 페이크 샘플을 생성해 오작동을 유도하고(적대적 스티커) ▲진위 여부를 가릴 수 없는 가짜 영상을 생성하며(모방 및 흉내) ▲공격 표적을 빠르고 정확하게 분석해 정교한 스피어피싱 공격을 자동 수행(사회공학적 공격 자동화) 하는 등 다양한 형태의 보안 위협이 발생할 것으로 전망된다. AI의 역기능에 대한 다각도의 대응 방안 마련이 요구될 것이다.

▲인공지능 대상 공격 예시(자료: 금융보안원)
▲인공지능 대상 공격 예시(자료: 금융보안원)

보안 전반에 사용하는 AI

요리사가 칼을 들고 있으면 맛있는 요리가 탄생하지만 살인범이 칼을 들고 있으면 사람의 생명을 위협하게 된다. AI도 보안 진영에서 사용하면 보안 탐지와 대응을 정확하게 하는 수단이 되지만, 범죄자가 사용하면 보안을 우회하는 지능형 공격 수단으로 사용될 수 있다.

이 같은 AI의 양면성에도 불구하고 보안 진영에서는 지속적으로 AI 활용 범위를 넓혀가고, 보안 업무에 사용할 수 있는 AI 알고리즘을 개선시킬 것이다. AI를 사용하지 않고 진화하는 위협에 대응하는 것이 불가능에 가까운 상황이 됐기 때문이다. 더 많은 정제된 데이터로 AI를 학습시켜 적대적 머신러닝 공격에도 잘못된 결과값을 도출하지 않도록 준비해야 한다.

AI가 보안에 사용되는 영역은 2가지로 나누어 볼 수 있다. 악성코드, 악성 URL, 악성문서 등 공격 도구를 찾아내는 것과, 시스템, 네트워크, 클라우드 전반에서 발생하는 이벤트를 연계 분석해 지능적으로 은밀하게 진행되는 위협을 찾아내는 것이다.

백신 기업들은 이미 오래 전부터 악성코드 탐지에 머신러닝을 사용했다. 최근에는 시그니처와 AI를 이용해 알려진/알려지지 않은 위협을 효과적으로 차단하는 방법을 사용하고 있다. 100% AI만으로 탐지하는 보안 솔루션이 있지만, 노이즈가 많고 고급 보안 전문가를 필요로 해 운영이 쉽지 않다.

AI 통해 글로벌 위협 대응 공조

위협 인텔리전스는 ‘악성코드 탐지의 꽃’이라고 할 수 있다. 위협 인텔리전스는 전 세계에서 발생하는 위협 이벤트를 정밀하게 비교·연계 분석해 최신 공격도구를 알아내고 이를 파트너엑 판매한다. 혹은 연결된 보안 솔루션에 내려 적절한 보안 조치가 이뤄질 수 있도록 한다. 위협 인텔리전스는 선제보안 전략을 위해 반드시 필요한 보안 사항이다.

과학기술정보통신부는 사이버보안 빅데이터 센터를 운영하면서 국내외에서 발생하는 위협 정보를 서비스한다. 파트너십을 맺은 보안 기업과 기관들로부터 위협 정보를 제공받아 분석해 새로운 위협을 찾아 공동대응하도록 한다.

사이버보안 빅데이터센터에서 제공하는 데이터로 보안 시스템을 개선한 사례로 피싱 사이트 차단, 악성 도메인 예측 등이 가능하다. 침해사고 조합 분석 플랫폼을 모니터링해 사고를 미리 탐지하는 것도 가능하다.

이글루시큐리티는 보안관제, 모니터링에 AI가 적용된 순 기능을 설명했다. 하루 수십만건의 보안 이벤트에서 AI가 자동으로 처리하는 것을 제외하고 보안분석가가 직접 대응해야 하는 높은 수준의 보안 이벤트만을 알려 보안 대응 수준을 한층 높이도록 했다.

AI가 만능은 아니다. AI는 노이즈가 심하고 오탐지 가능성이 언제나 열려있다. 따라서 AI를 사용하면서 보안조직은 AI가 분석한 결과를 점검하고 정확도를 개선하도록 알고리즘을 수정해야 한다.

AI는 영상보안 시스템에도 적용된다. AI를 이용해 방대한 영상정보에서 필요한 영상을 빠르게 찾아 보안관제와 수사에 도움을 줄 수 있다. 한화테크윈의 ‘2020년 주목해야 할 영상보안 트렌드’에 따르면 AI와 엣지보안 기술이 영상보안 기술과 결합돼 물리·사이버 영역에서의 보안을 강화하고 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.