[데이터넷] “AI를 보안관제에 적용했을 때 10만명의 관제요원을 투입한 것과 같은 효과를 볼 수 있다.”

고광선 국가정보자원관리원 과장은 26일 열린 ‘사이버 보안 AI 데이터셋 우수 활용 성과 공유회’에서 “보안관제에 AI를 적용했을 때 하루 1000만건 이상의 신·변종 사이버 공격에 대응할 수 있으며, 이는 관제요원 10만명을 투입한 것과 같은 효과다. 또 수동으로 작업했을 때 10분 소요되는 것을 AI 자동화해 30초 이내로 단축할 수 있다”고 말했다.

국가정보자원관리원(국정자원)은 중앙행정기관과 공공기관의 정보시스템과 국가정보통신망 등을 안전하게 운영할 수 있도록 다단계 통합보안관제를 수행하고 있으며, 관제 효율성을 높이기 위해 AI를 적용하고 있다. 더불어 지속적으로 AI 모델 정확도를 개선할 수 있도록 학습 데이터를 추가하고, 정확한 이상행위 판단을 위한 기준점을 조정하고 있다.

고광선 과장은 “AI를 도입하면 모든 것이 자동화될 것이라고 생각하기 쉽지만, 정확도 개선을 위해 지속적으로 모니터링하고 대응해야 한다. 이 과정에서 많은 시간과 비용이 든다. 한국IDC 보고서에서도 AI 데이터 준비에 예상보다 많은 투자가 요구된다는 사실을 의사결정자와 현업에게 전달해야 한다고 조언하고 있다”며 “그러나 AI를 적용했을 때 더 빠르고 정확하게 지능적인 위협을 탐지·대응할 수 있다는 효과가 있다는 점은 분명히 알릴 필요가 있다”고 강조했다.

“사이버 재난, AI로 예방해야”

이 행사는 한국인터넷진흥원(KISA)이 지난해 진행한 ‘사이버 보안 분야 AI 데이터셋’ 구축 사업의 성과와 활용 사례를 소개하기 위해 마련됐다.

AI를 보안분야에 활용하기 위해서는 대규모 양질의 데이터가 필요한데, 민간에서 직접 데이터를 수집하는 것이 어려울 뿐만 아니라 비식별조치 등 여러 규제준수 요건이 있어 까다롭다. 그래서 정부는 AI 데이터셋 수축과 분석 활용 환경을 지원하기 위한 선행투자로 2021년부터 ‘사이버 보안 분야 AI 데이터셋’ 구축 지원사업을 지원하고 있다. 인터넷침해대응센터(KISC)와 유관기관, 백신·관제기업, 보안기업 등이 갖고 있는 데이터를 수집해 AI 분석에 사용할 수 있도록 가공해 데이터셋으로 공개하고 있다.

이 사업을 통해 지난 한 해 동안 ▲악성코드 4억건 ▲침해사고 4억건 ▲애플리케이션 보안 1억건 ▲위협 프로파일링 3억건 ▲능동형 보안관제 2억건 등 총 14억건의 데이터셋을 완성했으며, 각 분야별로 실제 활용사례를 통해 검증했다.

이원태 KISA 원장은 “전 지구가 이상기온 현상으로 인해 심각한 재난을 겪고 있는데, 이는 사이버 보안 환경에서도 벌어지는 일이다. 공격표면이 확대되고, 생활 밀착 서비스가 사이버 공격으로 마비되는 사이버 재난 상황을 겪고 있다”고 말했다.

그는 “새롭고 지능적인 위협에 효과적으로 대응하기 위해서는 AI를 제대로 활용할 수 있어야 하며, 양질의 데이터셋이 필수다. KISA는 성장성 높은 분야에서 AI 데이터셋 구축 사업을 지원하고 있으며, 그 실증사례를 공개해 AI 사이버 보안 기술의 장벽을 낮출 수 있도록 돕고 있다”고 말했다.

기존에 탐지 못한 위협 식별해 대응

이날 행사에서 발표한 한국지역정보개발원(KLID)은 AI 데이터셋을 활용해 보안관제를 진행, 기존에 탐지하지 못했던 363종의 위협을 새롭게 식별할 수 있었다고 설명한다. 또 새로운 데이터에 대한 인공지능 탐지 성능도 평균 50% 정도 개선되는 효과를 보았다고 밝혔다.

이 성과를 소개한 강한마다 KLID 선임은 “AI 이용 보안관제 효과를 분명히 경험했다. 그런데 외부에서 받은 데이터셋을 그대로 사용하는 것 보다 기관 환경에 맞게 변환해야 하며, 주기적으로 재학습해야 한다. 무엇보다 중요한 것은 AI를 사용하는 기관 자체 역량을 키우는 것”이라고 설명했다.

보안관제 전문기업 이글루코퍼레이션은 AI 시스템이 없지만 이를 활용해보고자 하는 기업/기관을 대상으로 AI 데이터셋을 이용한 온라인 탐지모델 서비스를 적용해봤다. 이글루코퍼레이션이 입증하고자 한 것은 ▲보안 데이터 입력·수정이 가능할 것 ▲AI 모델 선택이 자유로울 것 ▲비식별화 조치가 지원될 것 ▲보안 담당자가 쉽게 이해할 수 있어야 할 것(XAI) ▲다른 서비스와 연계할 수 있을 것 등이었다.

정일옥 이글루코퍼레이션 위원은 “이번 사업을 통해 AI를 보안관제에 어떻게 사용할지보다, 실제 보안관제 조직이 사용할 수 있는 AI를 제안할 수 있도록 AI와 사람의 신뢰를 어떻게 만들것인지를 검증하고자 했다”며“소수의 보안 조직으로 운영되는 한 의료기관에 적용한 결과 평균 10분 소요되는 분석 시간이 2분으로 단축되는 효과를 얻었으며, 분석 결과에 대한 설명(XAI)을 함께 제공해 관제 담당자의 판단 근거를 제시하고 대응 속도를 한층 더 높이는 효과가 있었다”고 말했다.

정 위원은 “아직까지 AI가 사람을 대신하지는 못하지만, 사이버 보안 AI 데이터셋을 통해 만들어진 AI 모델과 서비스는 보안 강화를 도와줄 수 있는 ‘부 조종사’로서의 역할을 성공적으로 해 낼 수 있다”고 설명했다.

AI, 보안 분석 속도 60배 개선

AI 데이터셋은 보안 솔루션의 탐지 능력을 개선하는데에도 도움이 되었다. 이 사업에 참여한 시큐어링크는 2022년 1월 한 달간 위협 프로파일링 데이터셋 연동에 대한 실증과 서비스 적용 결과, 10명의 분석가가 악성코드를 분석했을 때 하루 58건을 처리할 수 있었지만, 데이터셋을 이용해 3600건을 처리할 수 있어 60배의 개선 효과를 거둘 수 있게 됐다고 설명했다.

박주선 시큐어링크 CTO는 “중소 보안기업이 AI를 보안 기술에 적용하기에는 비용이 너무 많이 들 뿐만 아니라 데이터를 수집할 소스를 찾기도 어렵다. 데이터셋 지원 사업을 통해 양질의 데이터를 확보하고 AI 모델을 검증할 수 있는 기회를 갖게 돼 AI 탐지 효과를 높일 수 있게 됐다”며 “시큐어링크는 중소기업을 위한 클라우드 기반 통합 엔드포인트 서비스와 악성코드 탐지·분석 서비스에 AI 보안 모델을 적용하며, 시큐어링크의 핵심 기술 암호화 위협 분석(ETA) 관련 위협 데이터셋 생성과 프로파일링에 연계해 기술을 고도화할 것”이라고 밝혔다.

사이버 위협 인텔리전스(CTI) 기업 샌즈랩은 글로벌 사이버 위협 공격그룹 추적과 공격기법 분석에 AI 데이터셋을 구축, 활용했다. 샌즈랩은 우리나라를 타깃으로 활동하는 공격그룹 75개와 봇넷 패밀리를 분석해 AI 데이터셋을 구축했다.

이 결과는 KISA 내부 깃랩에 구축해 지속적으로 검증, 관리하고 있으며, 국내 타깃 APT 공격 탐지를 위한 YARA룰 1600여종을 제작했다. 이를 KISA AI 빅데이터센터 내부에 보유한 악성코드 샘플 교차검증을 진행했으며, 바이러스토털을 통해서도 검증을 진행하고 있다.

김기홍 샌즈랩 대표는 “이번 사업을 통해 확인한 AI를 이용한 자동화된 공격그룹 식별과 대응규칙, 검증 기술은 11월 싱가포르에서 열리는 AVAR 컨퍼런스에서 발표하게 됐다. 그리고 이는 샌즈랩이 운영하는 멀웨어즈닷컴에도 적용해 공격 탐지 효과를 높이게 될 것”이라고 말했다.

협력업체 코드 검증에도 AI 사용

케이사인은 소프트웨어 취약점을 찾는데 데이터셋을 사용했다. SAST 등 취약점 분석 도구에 딥러닝 기반 자동화된 취약점 탐지 기술을 제공하는데, 이는 NIST에서 제공하는 SARD라는 가상코드를 사용한다. SARD는 패턴화된 오류 코드로, 실제 개발자들이 작성하는 복잡한 코드와는 수준차이가 있기 때문에 SAST의 딥러닝 기반 검출 기술은 오·미탐이 많다.

케이사인은 협력업체가 개발한 서드파티 소프트웨어를 통합해 고객에게 서비스하는 디에스멘토링과 함께 AI 데이터셋을 이용한 바이너리 취약점 테스트를 적용했다. 그 결과 소스코드가 없는 타사 소프트웨어에 대해서도 소스코드 분석과 유사한 수준의 가시성과 상세한 수준의 취약점 식별이 가능하다는 것을 확인했다.

김정미 케이사인 이사는 “클라우드·IoT를 안전하게 하기 위해서는 고객에게 배포하기 전 소프트웨어 코드를 검증하고 보안취약점을 완벽하게 제거해야 한다. 그러나 소스코드 없이 바이너리나 파일 형태로 제공받는 서드파티 코드는 SAST로 검사하기 어렵다”며 “이번 실증사업에서 서드파티 취약점 검사가 가능하다는 것을 입증했으며, 이후 자동검사 단계에 적용해 실제 활용 가능성을 확인하겠다”고 말했다.

김선애 기자 다른기사 보기