[데이터넷] AI는 핵보다 위험할까? AI는 진실을 왜곡하고 편향된 가치관을 고착화시킬 수 있으며, 지능적이고 교묘한 사기범죄를 자동화할 수 있다. AI로 인한 부작용이 많다고 해서 AI 사용을 중단시킬 수 없다. AI로 인해 인류의 삶을 개선시키고, 더 안전한 사회를 만들 수도 있다. AI로 보안을 강화하는 방법을 살펴본다.<편집자>

대규모 위협을 식별하고 분류하는데 탁월한 AI의 장점을 이용한다면 TI 서비스에 AI/ML을 적용했을 때 큰 효과를 거둘 수 있다. TI는 전 세계에서 발생하는 위협정보, 다크웹 등 지하포럼에서 수집되는 정보를 분석해 공격자의 동향을 파악하고 새로운 공격도구를 분석하며, 현재 진행중인 위협을 식별해 대응할 수 있도록 돕는 인텔리전스를 제공한다.

TI는 국내외 많은 기업들이 사용하고 있는데, 엔터프라이즈 전략그룹(ESG) 조사에 따르면 전 세계 직원수 1000명 이상 기업 95%가 TI 예산을 보유하고 있으며, 98%는 향후 관련 예산을 늘릴 계획이라고 답했다. 많은 기업이 TI를 사용하고 있지만, 모두가 만족하는 것은 아니다. TI에서 제공하는 위협 정보가 자사 위협환경과 맞지 않고 과도한 노이즈로 인해 보안 업무를 증가시키는 경우가 많다.

고객들은 제조, 금융, 이커머스 등 각 산업별로 특화된 TI를 받을 수 있으며, 금융ISAC과 같이 정부·공공기관에서 제공하는 위협정보를 연동시킬 수도 있지만, 제공받는 모든 이벤트가 자신의 조직에 해당하는 것도 아니다. 많은 위협정보 중에서 실제로 위협이 될 수 있는 정보를 식별하고 적용하는데 더 많은 인력이 필요해 결과적으로 보안운영 효율성을 떨어뜨리게 된다.

TI는 이러한 문제를 해결하기 위해 ‘실행가능한 인텔리전스’를 제공해야 한다. 풍부한 컨텍스트를통해 노이즈 없이 정확한 정보를 제공할 수 있어야 하며, 이미 발생한 공격뿐 아니라 현재 진행중인 실시간 위협에 대한 정보도 제공할 수 있어야 한다.

GPT 적용 ‘인텔리전스용 AI’ 공개

레코디드퓨처는 인터넷 전체에서 데이터를 수집하고, 디지털 트윈을 만들어 AI를 이용해 분석, 현재 진행중인 위협 정보를 제공한다. 이를 API 등을 이용해 기존 보안 솔루션과 연결시켜 자동으로 조치할 수 있게 하거나 위협 우선순위를 알려줘 보안조직의 대응을 효율화한다.

가짜 도메인을 탐지해 정교하게 제작된 스피어피싱도 식별하며, 감정을 분석할 수 있는 기능까지 갖춘 자연어 처리 모델로 이벤트에 대한 사람들의 감성까지 분석할 수 있다. 거의 대부분의 위협 이벤트를 AI를 이용해 자동으로 식별, 대응해 전 세계에서 발생하는 위협을 정확하게 파악하고, 즉시 활용 가능한 정보를 제공한다.

레코디드퓨처는 오픈AI의 GPT 모델을 적용한 ‘인텔리전스용 AI’를 출시하고 보안 조직의 업무를 획기적으로 줄이고 정확한 보안 대응이 가능하도록 돕겠다고 밝혔다. 이 서비스는 위협 인텔리전스 분석가 팀 인식트 그룹(Insikt Group)이 10년간 쌓은 전문가 통찰력을 바탕으로 오픈AI GPT 모델을 훈련시킨 것으로, 인식트 그룹의 4만개 이상 분석가 노트, 인텔리전스 그래프의 통찰력을 기반으로 훈련받았으며, 100테라바이트가 넘는 텍스트, 이미지, 기술 데이터로 구축된 레코디드퓨처 인텔리전스 클라우드와 결합시켰다.

텍스트, 이미지, 기술 소스에서 공격자와 피해자 모두와 관련된 데이터를 자동으로 수집하고 구조화하며, 자연어 처리, 머신러닝을 사용해 실시간으로 수십억 개의 독립체에 대한 통찰력을 분석하고 매핑한다. 분석가의 효율성을 제고시키고, 기술 부족을 보상할 수 있도록 하며, 적대적인 활동이 비즈니스 결과에 영향을 미치기 전에 조직이 의사 결정을 내릴 수 있도록 돕는다.

스태판 트루베 레코디드퓨처 CTO는 “대규모화, 자동화된 AI를 이용하는 공격에 대응하기 위해 레코디드퓨처는 각 공격 유형에 특화된 여러 AI 모델을 이용한다. 여러 AI 모델이 긴밀하게 커뮤니케이션하면서 지능적인 우회공격과 사회공학 기법 공격까지 찾아 선제적으로 대응할 수 있게 한다”며 “레코디드퓨처의 인텔리전스 서비스는 한국을 포함한 전 세계 1600여 정부 기관 및 기업을 보호하고 있으며, 악질적인 위협 행위자의 활동을 중단시키는데 결정적인 도움을 주고 있다”고 밝혔다.

대규모 보안 이벤트 분석 위해 AI 사용

AI 중에서도 생성형 AI를 사용해 보안수준을 한층 높일 수 있는 분야는 위협 탐지와 대응이다. 멀티 클라우드 전환으로 IT 환경이 복잡해지면서 위협을 정확하게 식별하고 대응하는 것이 더 어려워지고 있다.

마이크로소프트의 ‘2022 디지털 방어 보고서’에 따르면 지난 한 해 사이버 위협의 영향을 받은 조직의 84%가 멀티 클라우드 환경을 기존 보안운영 도구에 통합시킬 수 없다고 답했으며, 60%는 부족한 보안도구와 잘못된 환경설정으로 인해 보안 탐지와 대응 효율성이 감소했다고 답했다.

멀티 클라우드의 복잡한 위협에 대응하기 위해서는 가능한 모든 소스에서 데이터를 수집해 분석하며, 위협 우선순위를 정확하게 파악하고 대응해야 한다. 이를 위해서는 AI가 필수로 요구되며, 과도한 노이즈를 제거하고 정확한 의사결정을 내리는데 AI의 도움을 받아야 한다.

이스트시큐리티는 보안 위협과 탐지에 AI를 이용하기 위해 ▲가능한 많은 이벤트 수집 ▲정확한 라벨링과 분류 ▲데이터 보호·개인정보 관리 보안 정책과 지침 준비 ▲시스템 운영·업데이트 위한 인력·관리 시스템 구축 ▲AI 시스템에 대한 검증과 모니터링 방안 마련 등이 필요하다고 설명했다.

이스트시큐리티는 이스트소프트 AI랩과 공동으로 개발한 보안전문 데이터 학습 플랫폼 ‘딥코어’를 이용해 위협 탐지와 대응 정확도를 높인다. 이스트시큐리티는 이 기술을 기반으로 웹 기반 위협을 탐지하는 AI 모델을 한국인터넷진흥원(KISA) 등에 공급했다. 또한 한국과학기술정보연구원(KISTI), 한국전자통신연구원(ETRI) 등과 협력해 XAI와 차세대 AI 백신 연구 개발에 참여하고 있다.

AI 보안비서로 의사결정 효율화

마이크로소프트가 공개한 ‘시큐리티 코파일럿’은 오픈AI의 GPT-4를 기반으로 마이크로소프트의 위협 인텔리전스와 전문지식을 결합한 AI 비서다.

보안업계에서 시큐리티 코파일럿에 대한 기대가 매우 높다. 자연어 입력만으로 보안 대응에 필요한 작업을 단순화할 수 있기 때문이다. 예를 들어 프롬프트 바에 “우리 회사의 모든 인시던트(incident)에 대해 알려줘”와 같은 간단한 자연어만 입력하면 위협 우선순위에 따른 인시던트 목록과 그 내용을 안내한다. 취약점 요약을 시키거나 다른 보안 도구에서 발생한 인시던트 및 경보 정보도 요청 가능하다. 파일 혹은 URL을 첨부하면 관련 정보를 분석하기도 한다.

또한 위협 인텔리전스를 이해하고 요약해 알려줘 보안 복잡성은 줄이고 보안팀의 역량은 강화할 수 있게 한다. 시큐리티 코파일럿은 공격 데이터를 상호 연결 및 요약하고, 인시던트의 우선순위를 정하며, 다양한 위협을 적시에 신속히 교정하기 위한 최상의 조치를 제안하는 등 보안팀이 놓치는 것을 포착하는 일도 돕는다.

시큐리티 코파일럿은 보안팀이 공격자의 전술, 테크닉, 절차 등에 대한 최신 정보를 유지할 수 있도록 지속적으로 학습하고 개선된다. 까다로운 보안 작업과 앱을 지원하기 위해서는 가장 진보한 오픈AI 모델에 대한 접근권을 제공한다. 위협에 대한 시큐리티 코파일럿의 가시성은 고객 조직의 보안 데이터와 마이크로소프트의 방대한 위협 분석 결과를 통해 확보된다.

한편 마이크로소프트는 SIEM, SOAR 솔루션 ‘센티넬’, XDR 솔루션 ‘디펜더’를 연계 지원하며, AI 기반 위협 인텔리전스와 외부공격표면관리(ASM)도 제공해 내·외부의 위협정황을 신속하게 파악하고 대응할 수 있게 한다. 더불어 3가지 매니지드 서비스가 포함된 ‘보안 전문가(Microsoft Security Experts)’를 제공, 위협 헌팅, XDR용 MDR, 엔터프라이즈용 포괄적인 매니지드 서비스를 제공한다.

자동화된 AI 클라우드 보안 관제 지원

휴네시온 자회사 시큐어시스템즈는 AI를 이용하는 자동화된 클라우드 보안관제를 국내 140여 고객에 제공하고 있다. 클라우드 기반 웹방화벽 ‘딥파인더(Deepfinder)’에서 탐지하는 위협을 식별하고 분류해 AI를 이용한 자동화된 대응을 제공, 소수의 관제요원으로도 효과적인 보안관제가 가능하도록 했다. 이 서비스는 코스닥 상장사부터 소규모 사업자까지 다양한 산업과 규모의 고객에게 제공되고 있다.

손동식 시큐어시스템즈 대표는 “5년 전 서비스를 시작한 후 지금까지 한번도 오탐·미탐으로 인한 문제를 겪지 않았다. 머신러닝을 이용해 발견되는 위협 이벤트의 패턴을 분류하고 레이블링 해 리스크가 높은 위협은 자동 차단, 분석이 필요한 이벤트는 분석가에게 요청하는데, 거의 대부분 클라우드 시스템에서 자동 차단돼 분석요원의 업무를 크게 줄일 수 있었다”며 “시큐어시스템즈는 고급 보안 분석가와 전문가를 통해 탐지와 대응을 위한 AI 알고리즘을 지속적으로 보완하면서 새로운 위협에 대응할 수 있게 한다. 또 챗GPT와 연동해 사이버 보안 비서를 활용할 수 있게 한다”고 설명했다.

시큐어시스템즈는 SOAR 솔루션 ‘시큐어 오케스트라(Secure Orchestra)’에도 AI를 접목해 탐지·대응 정확도를 높이고 있다. 자체 개발한 AI 모델 ‘리차드(Richard)’를 적용, 보안 분석가가 1시간 정도 소요되는 분석·대응 업무를 1초 내에 수행할 수 있도록 한다.

시큐어 오케스트라는 반 자율화된 보안관제 운영이 가능해 적은 보안 인력으로도 지능적인 위협에 성공적으로 대응할 수 있게 한다. 또한 시큐어시스템즈는 AI를 이용한 악성메일 훈련 서비스도 제공하고 있으며, 모회사인 휴네시온과 함께 보안 침해 대응 서비스를 전국으로 확대시킬 계획이다.