인공지능 보안, 대응 강화와 악성코드 분석 효율 지원

기사승인 2019.07.09  18:45:50

공유

- 오버피팅 오류, 성향적 오류 등의 단점 존재해 보안 솔루션 측면으로 접근 필요

[CCTV뉴스=이승윤 기자] 현재 정보보안 생태계를 살펴보면, 사이버 공격자들은 예측하기 어려운 새로운 형태의 신ㆍ변종 사이버 공격을 감행하고 있으며, 자동화 기술을 활용해 매일 대규모의 사이버 보안 공격도 시도하고 있다. 이처럼, 사이버 공격이 다양화되고 고도화됨에 따라 기존의 보안 솔루션으로는 대응에 어려움이 발생한다. 최근, 정보보안 기업들은 이런 문제를 해결할 수 있는 방안으로 인공지능(AI)을 주목되고 있다. AI와 보안이 결합되면 악성코드 분석, 네트워크, 취약점 분석, 위협 인텔리전스 등 다양한 보안 분야에서 향상될 것으로 예상된다. 그렇다면 AI는 어떤 방법을 통해 보안을 향상시키는 것일까? 정보보안업계에 새로운 방향을 제시하고 있는 AI 보안에 대해 알아보자.


■ 급증하는 정보보안 위협

오늘날 정보보안에서는 다양한 문제점으로 인해 보안 유지에 어려움이 발생하고 있지만, 그 중 주요한 문제점을 꼽으라면 감당할 수 없을 정도로 전송되는 대량의 사이버 공격일 것이다. 이전의 정보보안은 사이버 공격자들의 컴퓨팅 기술이 높지 않아 다각화된 공격과 대량의 사이버 공격을 진행하기 어려웠다. 현재는 컴퓨팅 기술이 지속적으로 발전해 다양한 사이버 공격 방법이 나타나고 있다. 또한, 악성코드를 자동으로 생성할 수 있는 자동화 툴(Tool)과 봇넷(Botnet)까지 개발되면서, 사이버 공격자들은 이를 활용해 지능화된 공격과 함께 대규모의 사이버 공격도 시도하고 있어 보안 위협이 급증하고 있다.
경찰청이 발표한 2018년 사이버 위협 분석 보고서에 따르면, 지난해 전체 사이버 범죄는 14만 9604건이 발생했으며, 2017년(13만 1734건)에 비해 13.6% 증가했다. 보안 기업 카스퍼스키랩은 지난해 자사 솔루션이 전 세계적으로 온라인 리소스에서 시작된 18억 7699만 8691건의 공격을 차단했다고 발표했다.
보안 위협 급증과 함께 신종 악성코드도 지속해서 증가하고 있다. 오늘날 국가기관과 기업들은 보안사고 발생 시 큰 피해가 나타나기 때문에 방화벽, 안티 바이러스, 문서보안 등 다양한 보안 솔루션을 구축하고 있다. 사이버 공격자의 경우, 한 번의 공격이 성공하면 치명적인 피해를 줄 수 있기 때문에 보안이 구축된 기관과 기업의 방어망을 뚫기 위해 신종 악성코드를 생성해 우회 공격을 지속해서 시도하고 있다. 국내 보안 기업인 세인트시큐리티는 지난해 자사가 운영하고 있는 위협 인텔리전스 서비스 멀웨어즈닷컴에서 1억 1700만 건의 악성코드가 발견됐는데, 이 중 약 67%인 7900만 건이 기존에 알려지지 않은 신ㆍ변종 악성코드였다고 설명했다.
세인트시큐리티 김기홍 대표는 “과거의 경우 신종 악성코드는 한번 개발되면 2~3일, 길게는 7일씩 유통이 됐으나, 최근에는 자동화된 악성코드 제작 도구 등을 이용해서 악성코드를 유포하기 때문에 하루 만에도 새로운 악성코드가 나타나고 있다”며 “즉, 현시점의 악성코드 생태계를 말한다면 제로 데이(Zero Day) 악성코드의 시대는 지났고 제로 아워(Zero Hour) 악성코드 시대가 도래한 것이라고 말할 수 있다. 같은 공격 기법의 악성코드라고 할지라도 몇 시간 단위로 악성코드 구성 자체를 바꾸어서 유포하고 공격하기 때문이다”라고 설명했다.
향후 기술이 지속해서 발전해 악성코드 공격이 더욱 고도화된다면, 정확한 대응도 못하고 속수무책으로 보안 위협에 노출될 것으로 예상되고 있다. 이에 보안업계는 이런 문제를 해결할 수 있는 기술로 AI를 주목하고 있다.


■ AI, 자동화 분석 통해 안티바이러스 보안 대응 강화

AI는 컴퓨터가 지도학습 또는 비지도학습을 통해 인간의 사고, 학습, 자기 개발 등의 능력을 배워 자동으로 분석 및 결과를 도출할 수 있다. 이런 AI와 보안이 접목되면, 여러 분야에서 보안 능력이 강화될 것으로 보인다. 특히, 주목해야 될 분야는 안티바이러스 보안이다.
안티바이러스 보안은 기본적으로 시그니처(Signature) 기반으로 운영되고 있다. 시그니처는 기존에 수집된 악성코드의 샘플 또는 패턴을 분석 및 진단해 치료 방법을 알아내고 이를 안티 바이러스 데이터베이스에 추가하는 방식이다. 시그너처 기반의 안티바이러스는 데이터베이스에 추가된 악성코드 공격이 다시 발생할 경우 신속한 대응이 가능하다. 현재, 보안위협이 급증하면서 시그니쳐 기반 안티바이러스의 한계점이 나타나고 있는 상황이다. 데이터베이스에 저장된 악성코드는 대응이 가능하지만, 저장되어 있지 않은 공격에 대해서는 방어할 수 없다. 이를 해결하기 위해서는, 새로운 악성코드를 빠르게 분석해 데이터베이스에 업데이트가 필요한데, 현실적으로 어렵다. 업데이트 속도에 비해 악성코드가 더 많이 발생하고 있기 때문이다. AI는 이런 악성코드의 분석을 지원해 분석 효율성을 향상시킬 수 있다.
우선, AI는 멀웨어즈닷컴 및 바이러스토탈 등과 같은 멀티 안티 바이러스 엔진을 통해 수집된 악성코드를 분석해 위험한 악성코드와 위험하지 않은 악성코드를 빠르게 식별한 뒤 위험한 악성코드는 데이터베이스에 추가할 수 있다. 또한, 신종 악성코드에 대해서는 AI가 학습한 보안 데이터를 활용해 비상식적인 행위 및 공격 흔적 에 대한 분석을 진행하며, 악성코드로 판별될 경우 데이터베이스에 추가해 대응한다.
AI를 통한 악성코드 분석은 보안 전문가의 분석 시간 대비해 2~10배 이상 빠르게 진행할 수 있다. 이를 통해 새롭게 추가되는 많은 악성코드의 대한 대응을 더 빠르게 강화할 수 있다. 또한, 신종보안에 취약한 안티바이러스에 대해서도 대응 능력을 높일 수 있을 것으로 예상된다.
외에도 AI는 사용자 이상 행위 분석을 지원해 내부자 보안 위협에 대응할 수 있을 것으로 예상된다. 내부자 악성 행위는 장기적인 분석 및 그룹의 관계자 간 비교를 통해 알 수 있어 보안 전문가라도 대응이 어려운 분야이다. AI는 일반적인 사용자의 로그, 이벤트, 수행, 자산 정보 등 다양하게 수집된 정보를 통해 자체적으로 학습을 진행한 뒤 분석 결과를 바탕으로 실제 사용자 기반으로 데이터 기반으로 분석해 이상 행위 판단 및 위험 점수를 제시할 수 있다. 이를 통해 기업은 내부자 위협에 대응할 수 있다. 또한, 악성 사용자가 아닐 경우에는, AI 분석을 통해 제시된 근거를 바탕으로 사용자들의 악성 행위를 미연에 방지할 수 있다.


■ AI 보안 솔루션을 출시한 보안기업들

AI 보안은 기존 보안 시스템에 대비해 전반적으로 보안 능력을 강화할 수 있을 것으로 전망되면서, 많은 보안기업들은 AI를 접목한 다양한 보안 솔루션을 출시하고 있다.
세인트시큐리티는 인공지능 기반 안티바이러스 ‘MAX’를 출시했다. MAX는 PC 기반 안티바이러스 제품으로, 자체 개발한 인공지능 기술을 이용해 다양한 악성코드를 식별하고 탐지ㆍ대응할 수 있다. 또한, 클라우드 기반으로 별도의 패턴 업데이트가 필요 없이 다양한 프로파일링 정보와 악성 파일 샘플 DB 정보를 실시간으로 통신한다. 이를 통해 다양한 악성코드를 식별하는 것이 특징이다.
트렌드마이크로는 자사 ‘클라우드 앱 시큐리티(Cloud App Security)’ 솔루션에 AI와 컴퓨터 비전 기술을 접목해 위협 감지 기능을 강화했다. 이를 통해 지능적인 가짜 웹사이트를 식별할 수 있으며, 발신자, 내용, URL 신뢰도를 분석해 필터링 한 피싱 의심 이메일을 분석할 수 있다.
트렌드마이크로는 이 기술을 이용해 전략적인 보안 서비스를 제공할 계획이다. 비즈니스 이메일 침해(BEC) 공격에 대항하는 AI 기반 문체 DNA, 머신 러닝 기반 이메일 내용 감지, 샌드박스 멀웨어 분석, 문서 익스플로잇 감지, 파일, 이메일ㆍ웹 신뢰도 관련 기술이 적용될 예정이다.
시만텍은 AI기반 산업제어시스템 보호 솔루션인 ‘시만텍 ICSP 뉴럴’ 솔루션을 발표했다. 시만텍 ICSP 뉴럴은 AI를 이용해 USB 기기에서 악성코드를 탐지하고, 대응함으로써 IoT 및 OT 환경을 겨냥한 알려진 공격은 물론, 특히 취약할 수 있는 알려지지 않은 공격을 차단한다.


■ AI 보안, 모든 위협에 대응할 수 있는 보안의 마스터키는 아니다

보안 데이터를 학습한 컴퓨터를 통해 자동으로 보안 이벤트를 탐지ㆍ대응할 수 있는 AI 보안은 기존 보안 시스템에 2~3배 이상의 보안 효과가 나타날 수 있지만, 현재 발생하는 모든 보안 위협을 대응할 수 있는 만능 솔루션은 아니라는 점을 주목해야 한다. AI는 많은 장점과 함께 단점도 존재하고 있어 잘못 활용하면, 오히려 역효과가 발생할 수 있다.
AI의 단점 중 대표적으로 볼 수 있는 것은 오버피팅(Overfitting) 오류와 성향적(Variance) 오류가 있다. 오버피팅 오류는 과거의 데이터를 많이 학습하는 모델에서 볼 수 있는 오류로, 과거의 데이터만 지나치게 학습하다 보니 새로운 데이터 또는 앞으로 발생할 데이터를 제대로 예측하지 못해 발생한다. AI 보안에서 오버피팅 오류가 발생하면, 분석과정에 있어 복잡성이 증가하면서 정확한 분석을 진행하지 못해 나쁜 결과 값이 도출되는 문제가 나타날 수 있다.
성향적 오류는 데이터가 부족할 경우 발생하는 오류로, 결과를 나타내기에 부족한 데이터로 인해 부정확한 결과 값이 도출되는 문제가 발생할 수 있다. 성향적 오류와 관련한 대표적인 예로 마이크로소프트가 선보인 인공지능 챗봇 ‘테이’가 있다. 마이크로소프트는 지난 2016년 딥러닝 기술을 토대로 스스로 학습 하는 능력을 갖춘 챗봇 테이를 공개하고, 사용자들과의 실제 대화를 통해 학습하는 실험을 진행했다. 그러나 이 과정에서 악의적인 사용자들로부터 인종차별, 욕설 등을 학습해 부적절한 발언을 했다. 이로 인해 테이는 공개된 지 16시간 만에 서비스가 종료됐다. 이런 오류가 보안에서 발생하면, 앞서 언급된 쳇봇 테이처럼 전혀 다른 결과를 제시해 보안 운영에 혼란이 나타날 수 있다.


AI는 방어자가 아닌 공격자 그룹에서도 사용이 가능하다. 공격자들이 ‘적대적 머신러닝’을 토대로 새로운 방어 기법들을 우회하는 공격을 시도할 수도 있다. 시만텍 윤광택 CTO는 “공격자들도 AI 기술로 보안 솔루션의 탐지를 우회할 수 있어 앞으로 보안기업과 사이버 공격자 양 진영에서 AI 기술의 개발과 활용이 더욱 활발해질 것으로 예상한다”라고 말했다.
AI 보안은 기존 보안 시스템의 대응 향상점, 신ㆍ변종 악성코드 탐지 가능 등 다양한 이점을 제시해 전반적으로 안전한 보안 환경을 구성하는 많은 혜택을 줄 것으로 예상된다. 그러나 장점과 함께 단점도 존재하고 있어 무조건적으로 AI 보안에 의지하는 것이 아닌 좀 더 발전된 보안 솔루션으로 인식하고 활용하는 측면으로 접근해야 할 필요가 있다.
특히 일부 기업에서는 AI 보안을 활용하면, 기존의 보안 인력을 대체할 수 있을 것이라고 예측하고 있다, 향후 AI가 지속적인 개발을 통해 고도화될 경우 가능할 것으로 전망되고 있지만, 현 시점에서는 보안 인력을 완벽히 대체할 수 없을 것으로 보인다. 그렇기 때문에 많은 보안 전문가들은 AI를 보안 솔루션으로 활용해 보안 환경을 강화하는 것이 적합하다고 말하고 있다.

석주원 기자 jwseok@cctvnews.co.kr

<저작권자 © CCTV뉴스 무단전재 및 재배포금지>
default_news_ad4

인기기사

오피니언

1 2 3
item35

섹션별 인기기사 및 최근기사

조이뉴스 인기기사

item42
#top
default_bottom_notch