[보안특집⑦] 딥러닝·UBA 결합된 이상행위 탐지 ‘주목’
상태바
[보안특집⑦] 딥러닝·UBA 결합된 이상행위 탐지 ‘주목’
  • 김선애 기자
  • 승인 2015.12.30 09:05
  • 댓글 0
이 기사를 공유합니다

인텔리전스 높인 이상행위 탐지 기술, 보안 분야에 적용…FDS·SIEM·정보유출 탐지에 활용

2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>

지난해 전자금융사기 피해가 심각한 사회문제로 확대되자 금융감독당국은 금융기관의 이상거래탐지시스템(FDS) 구축을 의무화하며 피해 차단을 위한 대책을 주문했다. 이에 따라 금융기관들은 FDS를 구축하는 한편, 단말지정 서비스, 휴대전화 SMS 인증, ARS 인증 등 강력한 본인인증 절차를 추가하면서 이상행위를 철저하게 차단하고 나섰다. 전자금융사기가 완전히 사라졌다고 할 수는 없지만, 상당부분 FDS와 추가 본인인증 절차에서 차단된 것으로 분석된다.

오탐 없는 이상거래 탐지 기술 시급

현재 금융기관에 구축된 FDS는 초기단계라고 할 수 있다. 신용카드사, 보험사 등에서는 오래 전 부터 이상거래 탐지 시스템을 구축해 운영하고 있었지만, 실시간성이 민감하게 적용되지는 않았다.

제1금융권에 적용된 FDS는 실시간 거래에서 이상행위를 찾아야하는데, 실시간 거래는 예외가 많기 때문에 신용카드·보험 등과 같은 확실한 패턴을 찾아내기 어렵다. 부동산 거래와 같은 큰 금액이 오가는 거래는 자주 발생하는 것이 아니며, 개인간 금전거래의 경우도 상시적으로 일어나지 않기 때문에 기존 FDS를 그대로 적용하지 못한다.

제1금융권에 도입된 FDS는 IP·MAC 정보와 사용자의 평소 거래패턴을 기준으로 이상행위를 탐지하고 있으며, 대포통장이나 사기 범죄가 발생하는 주요 국가로 거래가 발생했을 때 엄격하게 차단하는 방법을 사용하고 있다.

제1금융권의 FDS 운영 기간이 어느 정도 지나면서 거래 데이터가 쌓이게 됐고, 이를 기반으로 보다 정교하게 이상거래를 탐지할 수 있는 방법이 제안되기 시작했다. 또한 이 기술을 응용한 개인정보·내부정보 유출방지를 위한 기술도 등장하고 있다.

KISA의 ‘산업체가 주목해야 할 10대 정보보호 기술’ 보고서에서도 이상행위 분석기술을 통해 이용자의 개인정보 유출 불안을 해소할 수 있다고 설명하고 있다. 보고서에서는 기업 내 보관 중인 개인정보의 유출을 방지하기 위해 이상징후를 분석하거나, 이상금융거래를 탐지‧차단하여 신용카드 등의 분실/도난으로 인한 금융피해를 최소화하는 기술이 주목받고 있다고 밝혔다.

예를 들어 주로 낮 시간대에 마트, 서점 등에서 소액을 결제하는 사람이, 새벽 유흥업소에서 고액을 결제하는 경우 FDS가 이상행위로 탐지하고 거래를 차단하게 된다. 공공·민간 기관에서는 내부 기밀정보의 은밀한 탈취 시도에 대응하기 위해 조직 내부의 정상 사용자 별 네트워크 사용 패턴과 상이하여 사이버공격으로 의심되는 이상징후를 사전 탐지하는 기술이 적용된다.

인텔리전스, FDS 정탐률 높여

FDS는 사용자 행위분석(UBA) 기술과 결합돼 정탐률을 높이고 있으며, 머신러닝·딥러닝 기술로 고도화되고 있다. UBA는 일정한 패턴을 기반으로 정상행위와 이상행위를 구분하기 때문에 오탐이 발생할 수 밖에 없다.

예를 들어 권한 있는 사용자에 의한 정보유출을 막기 위해 하루 100건 이상의 개인정보 조회를 이상행위로 규정했다면, 하루 99건씩 개인정보를 조회하는 것이 정상행위라고 판단한다. 근무를 하지 않는 주말에 99건의 개인정보를 조회한다면 정상적인 업무로 판단한다. 매일 99건의 개인정보를 수개월간 꾸준히 유출한다면 상당한 규모의 개인정보가 쌓이게 된다. 이러한 정황을 규칙 기반 UBA에서는 막을 수 없다.

▲UBA의 개념(자료: 스플렁크)

머신러닝을 적용하면 UBA를 보다 정교하게 활용할 수 있다. 머신러닝은 시스템이 운영되면서 자동으로 규칙을 만들어 이상행위와 정상행위에 대한 인텔리전스를 갖도록 한다. 머신러닝 기술은 로그관리 솔루션에서 적용해 대량의 로그에서 이상행위를 자동으로 검출하는 기법을 발전시켜왔다.

그러나 머신러닝 역시 미리 정의된 규칙을 우회하는 공격을 막을 수 없다는 문제를 갖는다. 시스템이 자동으로 규칙을 만들고 있지만, 예외규정에 대해서는 사람이 판단해야 한다. 고성능 컴퓨팅으로 역분석하면 머신러닝 기법으로 설정된 규칙을 파악할 수 있어 우회공격이 가능하다.

이러한 문제를 해결할 수 있는 기술로 머신러닝 기법 중 하나인 ‘딥러닝’이 제안된다. 딥러닝은 머신러닝에 ‘인공지능’을 부여하는 기술이라고 설명할 수 있다. 딥러닝은 패턴을 만들지 않으며, 미리 정의된 규칙이 없는 상태에서 특정한 행위의 그룹을 만들어낸다. 머신러닝은 장기간 시스템을 운영하면서 파악하게 된 행위 특징을 규칙화하기 때문에 일정한 학습기간이 필요하지만, 딥러닝은 학습기간 없이 즉시 적용 가능하다.

딥러닝 기술은 음성·이미지 인식, 사진분석 등에 광범위하게 활용돼왔으며, 구글, 페이스북 등이 이미지 검색에 딥러닝 기술을 적용해 주목을 받아왔다.

딥러닝을 설명할 때 사람이 개와 고양이를 구분하는 기법을 주로 이야기한다. 컴퓨터는 다른 종의 개와 고양이 사진을 섞어놓았을 때 이를 구분하지 못하지만, 대부분의 사람들은 개와 고양이를 구분할 수 있다. 수많은 다른 이미지 내에서 같은 종을 구분하는 지능을 컴퓨터에 적용한 것이 딥러닝 기술이라고 할 수 있다.

APT 공격 방어에도 탁월

딥러닝 기술이 보안분야에 적용되면서 지능형 공격 탐지 기술이 더욱 고도화 될 것으로 예상된다. 공격자들은 보안 시스템의 패턴을 파악할 수 있기 때문에 보안 시스템을 쉽게 무력화한다. 딥러닝은 패턴화된 규칙을 적용하지 않으며, 사람이 판단하는 것과 같은 ‘지능적인 판단’이 가능해 정확한 보안 정책 적용이 가능하다. 딥러닝 기술과 UBA가 결합하면 은밀히 진행되는 사이버 공격의 정황을 파악하고 대응할 수 있게 된다.

악성코드 탐지 솔루션에 딥러닝이 결합된 UBA를 적용하면 의심되는 모든 파일에서 악성행위를 찾아낼 수 있다. 예를 들어 엔드포인트에서 악성코드를 탐지하는 솔루션에 적용된다면 엔드포인트에서 일어나는 행위를 그룹핑해서 정상행위에 가까운 행위인지 이상행위에 가까운 행위인지 판달할 수 있도록 한다.

악성코드가 실행파일이 아니라 스크립트 형태로 유입되는 경우 샌드박스에서 분석이 어렵다. 딥러닝 기술과 UBA를 결합시켜 내부 네트워크에서 정상적인 행위에서 벗어나는 행위가 일어날때 이상행위를 수치화해 보여줌으로써 오/미탐 없이 공격을 차단할 수 있다.

UBA를 주목하는 보안 시스템은 보안관제, SIEM, 내부정보 유출방지, APT 방어 시스템 등이다. 네트워크 경계에서 실시간으로 위협을 차단하는 시스템보다 모니터링으로 위협행위를 탐지하는 시스템에서 UBA를 적용하고 있다.

SIEM에서 UBA는 가장 효과적으로 사용될 수 있다고 평가된다. SIEM은 IT 시스템에서 생성되는 데이터를 분석해 이상행위를 찾아내는 모니터링 시스템으로, 6개월 이상 쌓인 로그를 분석해 규칙을 만들고 정상행위를 벗어나는 행위를 수치화해 위험도를 판단할 수 있도록 한다.

UBA는 시스템에서 일어나는 행위를 분석하며, SIEM과 결합되면 더욱 정확하게 보안 위반을 찾아낼 수 있다. 딥러닝과 결합한다면 지능적이고 자동화된 이상행위 탐지가 가능해 고도로 발전하는 APT 공격을 차단할 수 있다.

FDS도 UBA를 고도화하면서 지능화되는 금융사기를 차단할 수 있다. 딥러닝·UBA가 결합된 FDS가 아직 출시된 것은 아니지만, FDS 개발사들은 2016년 FDS 고도화 사업에 이 기술을 접목해 안정화하면서 기술을 발전시켜나갈 것이라고 설명한다.

UBA는 클라우드·IoT·핀테크 환경으로 발전하면서 더욱 주목을 받게 될 것으로 보인다. 이 새로운 환경에서는 사용자의 편의성을 높이고 시스템은 자동화 해야 하며, 엔드포인트에 에이전트를 설치하지 않고, 다양한 환경에서 호환성을 보장할 수 있도록 개방형·표준화된 기술을 사용해야 한다.

이미 공개된 기술을 사용해야 하기 때문에 공격위협이 더욱 높아지게 될 것이며, 기존 보안 시스템을 무력화하는 공격도 다양하게 나타날 것으로 보인다. 따라서 인공지능 기술을 기반으로 한 보안 모니터링을 통해 지능형 방어가 가능하도록 하는 시도가 지속적으로 이어질 것으로 보인다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.