[데이터넷] AI 중심 시대가 도래했다. 그러면서 AI 부작용도 심화됐다. AI의 편향성과 불투명성 문제를 근본적으로 해결할 수 있는 뚜렷한 방법이 없으며, 범죄자가 AI를 사용해 더 지능적으로 공격을 진행하고 있다. 이에 윤리적이고 신뢰할 수 있는 AI에 대한 요구가 높아지고 있으며, AI 이용 공격을 막는 AI 기술에 대한 수요도 크게 늘고 있다. AI 보안 문제와 대응 방법을 알아본다.<편집자>

AI 보안 투자 늘며 AI SW 기술 시장 급성장

AI를 이용하는 공격은 AI로 막아야 한다. 공격자는 AI를 이용해 인터넷에 노출된 취약점을 찾고 공격에 이용할 수 있는 사용자를 찾아 침투 방법을 고안하며, 생성형 AI 봇을 이용해 타깃 사용자와 직접 대화하면서 공격을 이어간다. 공격자는 AI를 이용해 맞춤형 공격을 자동화 대규모화 하는데, 보안에서 이를 수동으로 찾아 대응하는 것은 불가능하다.

클라우드 보안 연합(CSA)은 AI를 이용한 공격은 AI가 정확하게 탐지할 수 있다고 설명한다. AI는 사람과 같은 경험이 부족하기 때문에 반복적인 문구와 문장을 만들 수 있다. 지나치게 많은 정보를 담고 있거나, 아니면 자세한 이야기와 긴 텍스트에 대해 일관성을 갖지 못한다. 의미 없는 질문에도 답을 하는 AI의 특성으로 인해 혼란스러운 답변을 늘어놓을 수 있다. 이러한 특징을 이용하면 AI로 제작된 피싱과 악성코드를 식별할 수 있다.

AI 이용 공격이 늘어나면서 AI 보안 시장 성장률도 높아지고 있다. 포레스터는 AI 소프트웨어가 연 평균 22% 성장해 2030년 2270억달러 수준에 이를 것이며, 그 중 13%가 사이버 시큐리티 기술이 차지할 것이라고 예상했다. 또 AI 소프트웨어 지출을 끌어올리는 가장 큰 요인이 사이버 시큐리티라고 분석했다.

가트너는 올해 생성형AI가 보안에 적용돼 실제 효과를 거두는 첫 해가 될 것이며, 2025년에는 보안 워크플로우에 생성형 AI가 통합될 것이라고 내다봤다. 지난해 가트너는 하이프사이클 보고서에서 ‘생성형 사이버 보안 AI(Generative Cybersecurity AI)’를 처음 언급했다. 하이프사이클에서 처음 언급한 혁신적인 기술이 주류로 채택되기까지 5~10년 걸린다는 사실을 감안, 2028년에는 상당히 발전적인 AI 기반 보안 기술이 완성될 것으로 예측했다.

생성형 사이버 보안 AI는 원본소스 데이터의 대규모 리포지토리에서 학습해 보안 관련 콘텐츠와 기타 콘텐츠, 전략, 설계, 방법 등의 파생 버전을 생성하는 기술이다. 인시던트 대응, 노출·위험관리, 구성관리, 코드 분석 등에 사용할 수 있으며, 보안 조직의 효율성을 올릴 수 있다.

AI 보안 비서로 보안탐지 업무 효율화

보안 솔루션에 AI를 적용한 시도는 이미 오래 전부터 있었지만, 지난해에는 AI를 단독 솔루션으로 사용해 보안운영 탐지와 대응에 활용할 수 있는 ‘AI 보안 비서’ 모델이 등장하면서 새로운 시장으로 만들고 있다.

이 시장의 문을 연 마이크로소프트의 ‘시큐리티 코파일럿’은 GPT4 모델을 이용해 마이크로소프트의 보안 전문지식, 글로벌 위협 인텔리전스, 보안 전용 모델과 결합시켰다. 보안 전문가로부터 질문을 받으면 시큐리티 코파일럿이 학습한 결과물과 현재 운영 중인 마이크로소프트 보안 솔루션의 탐지 기술을 사용해 답을 준다. 3~4시간 걸리는 보안 분석 작업을 10분 이내에 끝낼 수 있어 분석가의 시간을 효과적으로 사용할 수 있게 한다.

시큐리티 코파일럿은 고객의 데이터를 학습하지 않으며, 마이크로소프트가 수집하는 하루 65조건의 보안 신호와 8500여명의 마이크로소프트 보안 전문가의 분석 결과를 지속적으로 학습하면서 응답 결과를 개선한다.

한편 마이크로소프트는 차세대 사이버 보안을 위한 ‘시큐어 퓨처 이니셔티브(SFI)’를 발표하고 AI를 위협 탐지와 대응 전반에서 사용할 수 있게 했다. SFI에는 시큐리티 코파일럿 기능 개선 내용과 마이크로소프트 위협 분석 센터(MTAC)가 고급 AI 도구와 기술을 통해 사이버 위협을 감지하고 분석한다는 내용을 담았다. EDR 기능도 AI로 강화한다. ‘엔드포인트 용 디펜더’는 노트북, 휴대폰, 서버 등의 사업 공격을 실시간 차단, 무력화했다.

마이크로소프트는 소프트웨어 개발 수명주기(SDLC)에 보안을 내재화한 보안 개발 수명주기(SDL)를 운영하고 있으며, AI를 이용하는 동적 SDL(dSDL)로 업그레이드했다. 엔지니어가 시스템과 서비스를 코딩, 테스트, 배포, 운영하는 동안 발생하는 새로운 위협 패턴에 대한 사이버 보안 보호를 지속적으로 통합하는 체계적인 프로세스를 적용하게 한다. 이 프로세스는 AI 기반 보안 코드 분석과 지능형 위협 시나리오에 대한 소스 코드 감시·테스트를 깃허브 코파일럿 및 다른 엔지니어링과 결합시킨다.

마이크로소프트는 책임 있는 AI를 위해 ‘애저 AI 콘텐츠 세이프티’도 제공한다. 고급 언어와 비전 모델을 사용해 증오, 폭력 등 잠재적으로 유해한 콘텐츠를 감지하고 심각성 점수로 표시한다. 안전한 콘텐츠 사용 환경을 제공할 수 있으며, 기업·조직의 내부 정책에 맞춤화할 수 있다.

XDR·SIEM·SOAR와 결합되는 AI 보안비서

마이크로소프트가 시큐리티 코파일럿을 발표한 후 이와 유사한 모델의 서비스가 경쟁적으로 나오기 시작했다. 트렌드마이크로의 ‘트렌드 컴패니언’의 경우, 자연어 인터페이스로 보안 분석가의 수동 위험평가와 위협 조사 시간을 절반으로 줄이고, 정교한 위협 헌팅 쿼리를 개발, 실행할 수 있게 한다. 사고 대응자가 IR과 포렌식 모듈에서 OS 쿼리를 개발할 수 있게 한다.

트렌드 컴패니언은 트렌드마이크로 버그바운티 프로그램 ‘제로데이 이니셔티브(ZDI)’ 데이터를 학습해 경쟁사보다 효과적인 위협 탐지 기능을 제공한다. ZDI는 전 세계에서 가장 빠르게, 가장 많은 취약점을 찾는 프로그램으로 평가받고 있어, 트렌드마이크로가 직접 찾은 취약점 데이터를 학습한 트렌드 컴패니언의 취약점과 관련된 응답 정확도가 매우 높다.

트렌드마이크로는 공격표면위험관리(ASRM)에 ZDI 학습을 추가한 AI를 적용해 공격표면을 제거하고 제로 트러스트 아키텍처 구현을 돕는다. 또 적응형 모델 기반 XDR 플랫폼 ‘비전 원’, ASRM, ‘트렌드 컴패니언’을 결합해 사고대응 시간을 30% 줄이고, 보고시간을 보고서당 2시간 단축시켜 완벽한 고격 차단을 지원한다.

포티넷의 ‘포티넷 어드바이저’는 ‘포티SIEM’, ‘포티SOAR’에서 사용할 수 있으며, 상황에 맞는 사고 분석, 교정 지침, 플레이북 템플릿을 제공해 중요 정보를 단 몇 초 안에 자연어로 전달해 탐지 및 대응에 드는 평균 시간을 단축하고, 조직의 전반적인 보안 태세를 향상시킨다.

몇 초 안에 알림을 빠르게 분석해 맥락의 상관관계와 잠재적 영향을 파악하고 이해하기 쉬운 ‘사고 요약본’을 생성한다. 보안 분석가들이 사고 조사에 필요한 쿼리를 작성할 수 있도록 지원하며, 위협에 대한 교정 계획을 제안해 신속한 위협 대응을 지원하고, 분석가의 실시간 피드백을 기반으로 제안된 대응 계획을 구체화할 수 있다.

포티넷은 10년 이상 AI를 통해 보안 패브릭과 포티가드랩 위협 인텔리전스, 보안 서비스를 혁신해왔다. 포티넷의 보안운영 솔루션은 위협을 식별, 차단하는 데 필요한 시간을 20일 이상에서 단 1시간 내로 단축시키고, 조사·교정 시간을 18시간 이상에서 15분 이내로 단축시키고 있다.

시스코도 ‘보안 AI 어시스턴트’를 공개하면서 시장에 뛰어들었다. 이 서비스는 웹, 이메일, 엔드포인트, 네트워크, 애플리케이션에서 매일 5500억건 이상의 보안 이벤트를 분석하는 보안 특화 데이터를 학습했다. 이를 기반으로 이벤트 분류, 영향, 범위, 근본 원인 분석, 정책 설계 등 보안 사고의 다양한 측면을 파악해 사이버 보안으로 시스템을 안전하게 보호할 수 있도록 한다.