AI, 악성앱·악성코드·취약점 탐지에도 필수
[데이터넷] AI 중심 시대가 도래했다. 그러면서 AI 부작용도 심화됐다. AI의 편향성과 불투명성 문제를 근본적으로 해결할 수 있는 뚜렷한 방법이 없으며, 범죄자가 AI를 사용해 더 지능적으로 공격을 진행하고 있다. 이에 윤리적이고 신뢰할 수 있는 AI에 대한 요구가 높아지고 있으며, AI 이용 공격을 막는 AI 기술에 대한 수요도 크게 늘고 있다. AI 보안 문제와 대응 방법을 알아본다.<편집자>
SOC 효율성 높이는 AI
AI는 보안운영센터(SOC) 효율화를 위해 사용했을 때 큰 효과를 거둘 수 있다. SOC는 중요도가 낮은 이벤트 처리에 많은 시간을 써야 해 중요한 이벤트 분석을 위한 충분한 시간을 갖지 못한다 문제를 안고 있다. AI는 이벤트를 자동 처리해 분석가의 업무를 크게 줄이면서 우선순위에 따라 중요한 위협 분석에 더 집중할 수 있게 한다.
실제로 지난해 새로 출시된 생성형 AI 보안 기술의 1/3이 SOC를 돕기 위한 것으로, 대화형 도움말, 사고 대응 및 상태 평가를 위한 분석 자료 제공 등이 주를 이뤘다. 가트너는 위협 탐지와 사고 대응에 멀티 에이전트 AI를 도입하는 비율이 2028년 70%로 증가할 것이며, 직원을 대체하는 것이 아니라 보강하는 역할을 할 것이라고 내다봤다. 또 2025년까지 생성형 AI와 결합한 SOC가 반 자율 플랫폼으로 진화해 사이버 보안 조직의 업무를 강화하게 될 것으로 전망했다.
팔로알토 네트웍스는 SOC 플랫폼 ‘코어텍스 XSIAM’에 AI를 결합해 빠른 위협 탐지와 대응, 간소화된 보안운영을 지원한다. 여기에 최근에는 고객이 자체 머신러닝 모델을 생성하고 커스터마이징 할 수 있는 BYOML 프레임워크를 적용했다. 이 솔루션을 도입한 한 석유가스 회사는 조사가 필요한 인시던트가 75% 감소됐으며, 하루 1000건 발생하던 이벤트를 250건으로 줄여 SOC 효율성을 높였다.
보안운영(SecOps) 플랫폼 기업 로그프레소는 처음부터 자체 개발한 AI와 빅데이터 기술을 적용한 통합로그관리(LMS), SIEM, SOAR 제품을 공급하고 있다. 시나리오 기반 기술로 탐지하기 어려운 내·외부 침해시도를 정확하게 탐지해 대응할 수 있게 하며, 플레이북도 쉽게 커스터마이징 할 수 있게 한다. 로그프레소 스토어를 통해 사전 통합된 애플리케이션을 지원해 빠르게 SIEM/SOAR를 도입, 플랫폼 기반 보안운영을 지원한다.
보안관제 서비스 기업들도 위협 탐지와 대응 서비스를 고도화하기 위해 AI를 적극 사용하고 있다. 이글루코퍼레이션이 그 대표적인 기업으로, AI 기반 탐지 기술과 AI 효율성 증대를 위한 특허 기술을 확보하며, AI 사업 포트폴리오를 확대하고 있다
이글루코퍼레이션은 자체 개발한 AI 탐지 모델 서비스 ‘에어(AiR)’와 복수의 생성형 AI를 연계해 고객 선택의 폭을 넓히며, 보안에 최적화된 이글루코퍼레이션 고유의 소형언어모델(sLLM)도 개발해 적용할 계획이다. CTI 서비스인 ‘클루 쓰렛 인텔리전스(KLU)’ 연동으로 내외부 위협 정보 수집과 분석 역량을 강화할 계획이다. 더불어 정상적인 AI 서비스를 악용한 우회 및 적대적 공격에 맞서, 현재 진행 중인 AI 방어 기술 및 방법론 연구에 속도를 붙인다.
금융보안원도 생성형 AI를 활용한 침해대응 플랫폼을 구축, 금융사 대상 서비스를 시작할 계획이다. 3분기 출시 예정인 이 서비스는 침해대응 분석 보고서에서 침해지표를 추출하고, 지표 간 관계를 정의하는 데 챗GPT를 사용한다. 이를 통해 침해대응 조직의 업무를 크게 줄일 수 있다. 이 서비스는 기존 보고서 간 연관성 분석으로 침해위협 정보를 관리할 수 있어 침해사고 대응과 예방을 위한 인사이트를 제공한다.
악성코드·악성앱 탐지, AI 필수
악성코드 탐지에도 AI는 필수다. 엔피코어는 ‘좀비제로 EDR’ 솔루션에 AI 챗봇을 활용해 위협 이벤트를 자동 분류, 판단하는 기능을 탑재했다. 엔드포인트 에이전트를 통해 수집된 이벤트로그를 분류하고, 프로세스 별로 전처리한 후 악성코드별 특징을 야라 룰, IOC, 마이터 어택 등을 이용해 특징을추출한다. 그리고 머신러닝으로 침해사고 여부, 공격기법, 공격그룹, 판단을 자동화하고 대응한다.
좀비제로 EDR은 여러 공공기관에 공급됐으며, SaaS 방식으로 중소규모 기관에 서비스하고 있다. EDR 단독설치 혹은 사이버 위협 인텔리전스(CTI) 플랫폼의 AI 분석 플랫폼 모듈로 활용할 수 있다. 더불어 악성코드 유사도와 유형, 공격기법과 유형 분류를 위한 위협 인텔리전스를 제공해 위협 대응 판단근거로 사용할 수 있다.
취약점, 잘못된 설정과 구성, 컴플라이언스 위반 등의 여부를 찾는 것도 AI가 사용된다. 중요 정보, 개인정보가 공개된 클라우드에 업로드되거나 관리되지 않은 ID가 인터넷 등에 노출된 채로 방치되는 것, 애플리케이션 개발에 취약한 코드가 사용되는 것, 패치되지 않은 취약점에 영향을 받는 애플리케이션과 시스템, 위협 헌팅 등 다양한 분야에 AI가 사용된다.
시큐리온은 악성 앱 분석에 AI를 사용한다. 악성앱은 난독화, 암호화 등으로 분석을 방해하는데, 시큐리온은 앱 실행에 필요한 정보를 AI로 분석해 악성 여부를 판단한다. 시큐리온의 악성앱 자동 분석 시스템 ‘온앱스캔(OnAppScan)’은 분석 방해 기술이 적용된 악성 앱을 탐지하는데 특화돼 있으며, 각종 글로벌 평가를 통해 우수한 성능을 입증했다.
한편 시큐리온은 독자 개발한 AI 탐지 시스템 ‘크로스 밸리데이션 시스템(CVS)’을 적용한 IoT 보안 솔루션 ‘온트러스트(OnTrust)’를 스마트홈, 재난망, 스마트오피스, 통신망 보안 등 다양한 분야에 제안하고 있다. 온트러스트는 저사양 IoT 기기에서도 원활하게 작동하며 관제까지 가능하다. 특허 받은 ‘공격 흔적 탐지 기술’을 이용해 제조사의 보안 지원을 받기 어려운 구형 IoT 기기나 보안 리소스 사용이 어려운 저사양 기기도 보호할 수 있다.
안전한 코드 개발에도 AI 이용
안전한 코드 개발에도 AI가 효과적으로 사용될 수 있다. 가트너는 애플리케이션 보안 테스트(AST) 공급업체의 80%가 코드를 AI로 자동 교정하는 기능을 제공하고 있으며, 2026년까지 개발조직의 40%가 이 기능을 사용해 보안 문제를 자동으로 수정할 것이라고 내다봤다.
2023년 말 기준으로 이 기능을 사용하는 개발조직은 5% 미만이며, 오탐과 노이즈가 많아 개발자들이 사용을 주저하는 경향이 있다. 그러나 점점 갈수록 더 많은 플러그인과 통합개발환경(IDE) 도입으로 자동으로 코드를 수정하고 결합하면서 취약점 분석에 있어 AI를 사용하는 것이 주류의 추세로 이어질 것으로 보인다.
