[머신러닝과 보안③] FDS·내부정보 유출 방지 ‘굿’
상태바
[머신러닝과 보안③] FDS·내부정보 유출 방지 ‘굿’
  • 김선애 기자
  • 승인 2016.06.08 09:12
  • 댓글 0
이 기사를 공유합니다

정상거래는 간편하게·사기거래는 정확히 차단…중요정보 자동으로 학습해 불법유출 차단

머신러닝이 보안 업계의 최대 화두가 되고 있다. 보안 시스템이 스스로 자신의 상태를 학습해 정상적인 상태와 비정상적인 상태를 분류하고, 비정상적인 상태(공격)가 발생했을 때 관리자에게 알려 문제를 해결하도록 한다. 정밀한 기계학습은 보안 전문가의 역량을 시스템이 스스로 갖출 수 있도록 해 보안 시스템을 우회하는 공격을 지능적으로 차단할 수 있다. 보안 시스템의 머신러닝활용 방법을 소개한다.<편집자>

차세대 FDS, 머신러닝으로 고도화

머신러닝에 관심을 갖는 분야 중 하나로 사기거래탐지(FDS) 시스템을 들 수 있다. 다양한 채널로 제공되는 온·오프라인 거래를 실시간으로 중단 없이 제공하면서 사용자 불편을 최소화한 금융 서비스를 제공하기 위해서는 고도화된 FDS가 반드시 필요하다는 인식이 높아지고 있다.

유경식 인피니그루 대표이사는 “FDS 구축 후에도 사기거래는 계속 발생하고 있는데, 기존에 사용하던 탐지 룰이 정확한 사고를 근거로 구축된 것이 아니고 대략적인 추정에 의한 것이기 때문이다. 또한 오탐·미탐을 줄일 수 없으며, 299만원씩 나눠 이체하는 등 룰을 우회하는 공격이 일어나는 것을 막을 수 없다”고 말했다.

머신러닝을 이용하면 개인별, 계좌별 금융거래 패턴을 학습하고 평소와 다른 거래가 발생했을 때 추가인증을 요구하거나 금융기관이 직접 본인에게 확인하도록 추가 절차를 더 거치게 할 수 있다. 평소와 같은 거래라면 인증과 전자서명 단계를 최소화해 편의성을 높이도록 할 수 있다.

기존에 구축된 룰셋과 보안사고 시나리오를 머신러닝에 적용하고, 새롭게 발생하는 거래/사고 패턴을 지속적으로 업데이트하면서 탐지 정확도를 높여나가며, 룰을 지속적으로 변경해 우회공격을 차단할 수 있다.

실시간 거래를 보장하기 위해 학습기간 없이, 패턴을 만들지 않고, 데이터 자체에서 이상행위의 통찰을 얻을 수 있도록 하는 방법도 연구되는데, 딥러닝 기술을 활용한 FDS도 등장했다.

인피니그루의 ‘그루딥(GruDeep)’은 정상거래 그룹에 속하지 않은 거래를 비정상 거래로 분류하고, 비정상거래를 학습해 유사한 공격을 차단한다. 인메모리 기반 실시간 탐지를 제공하는 ‘그루FDS’와 함께 사용해 알려진 공격은 그루FDS로, 새로운 공격은 그루딥을 사용해 차단한다. 그루딥에서 탐지한 신종 공격은 룰셋을 만들어 그루FDS에 적용해 지속적으로 고도화한다.

유경식 대표는 “딥러닝은 데이터의 특징마다 다른 가중치를 주기 때문에 더욱 정확한 분석 결과를 도출해낼 수 있다. 사용자별, 계좌별로 다른 거래 패턴을 보이는 금융거래에서 이상거래를 찾아내는데 적합하다”며 “또한 개인식별정보를 이용하지 않고 이상거래를 탐지해 개인정보 보호 측면에서도 안전하다”고 말했다.

▲룰 기반 FDS와 딥러닝 기반 FDS(자료: 인피니그루)

보안 시스템 우회하는 정보유출, 머신러닝으로 탐지

머신러닝을 이용해 이상행위를 탐지할 수 있다는 측면에서 내부정보 유출방지(DLP) 분야에도 머신러닝이 활용된다. 공격이 지능화되면서 내외부에 존재하는 공격자들은 DLP 정책을 우회해 데이터를 유출해내기 때문에 매체제어나 키워드 기반 DLP로는 정보유출을 막을 수 없다.

이보다 진화한 DLP는 ‘핑거프린팅’과 ‘데이터 정의’의 2가지 탐지 기술을 사용했다. 핑거프린팅은 보호 대상 문서를 수집한 후 각 파일에 고유한 지문을 할당한다. 그러나 이 방식은  데이터가 광범위하게 흩어져 있는 기업의 경우 적용하기 힘들다. 핑거프린팅 기술의 대안으로 지목되는 데이터 정의 방식은 핵심 정보의 위치를 파악하기 위해 일정한 수식과 키워드 목록을 생성하지만, 생성하는데 시간이 오래 걸리고 핑거프린팅보다 정확성이 떨어진다는 단점이 있다.

시만텍은 2011년부터 DLP에 머신러닝 기술 ‘벡터 머신러닝(VML)’을 적용해 이러한 문제를 해결했다. VML은 데이터 고유의 특성을 이해하고 민감한 데이터와 그렇지 않은 데이터 사이의 미묘한 차이를 파악하기 위해 샘플 문서를 이용한 학습 과정을 거친다. 따라서 키워드 기반 정책이나 신규 문서 작성에 따른 지문 생성 과정이 전혀 필요 없다.

VML 기술을 사용하면 샘플 문서만으로 충분히 정확한 정책을 생성할 수 있고, 시스템이 포지티브 및 네거티브 추가 샘플을 활용할 수 있기 때문에 시간이 지날수록 정확성이 높아진다.

예를 들어 소프트웨어  개발사의 경우 개발사가 직접 개발한 자바 코드는 기밀 정보로 분류된다. 그러나 자바를 배우기 위한 자바용 코드는 기밀 정보는 아니다. 일반적으로 DLP는 자바 언어를 사용하는 명령어 코드명을 이용해 탐지하는데 이 경우 일반적인 자바로 만들어진 코드는 모두 기밀로 탐지되는 단점이 있다. 그러나 VML 기술은 자바 코드이나 SW 개발사가 만든 기밀 정보만을 기밀 정보로 탐지할 수 있는 효율성을 제공한다.

한편 시만텍은 모바일 보안 제품에 딥러닝 기술을 적용해 공격 가능성이 보이는 행위의 시그널과 상황적인 시그널을 연결했다. 안드로이드 기기에서 일어나는 비정상적인 활동을 파악함으로써 노턴 모바일 시큐리티의 제로데이 탐지 정확성을 3배 이상 높여준다.

시만텍은 딥러닝 기술을 전체 포트폴리오로 확대하고 있으며 DLP, ‘이메일 시큐리티 닷 클라우드’ 등에도 내부 위협과 스피어피싱 이메일 등의 탐지율을 높이기 위해 딥러닝 기술을 적용할 계획이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.