AI가 보안 분야에서도 활발하게 활동하고 있다. 수많은 위협 정보를 스스로 학습해 새로운 위협을 탐지, 분류하고, 다양한 IT 시스템에서 나오는 이벤트를 연계 분석해 은밀하게 진행되는 내부위협을 찾아낸다. AI는 보안 전문가의 업무를 줄일 수 있는데, 대부분의 위협은 AI가 판단해 처리하고, 전문가의 통찰력이 필요한 일부 이벤트만 처리할 수 있어 전문가가 더 정교한 위협에 집중할 수 있다. AI를 적용한 보안 기술의 현재와 미래를 살펴본다.<편집자>
대부분의 보안 기업들은 보안연구소와 침해대응센터를 통해 위협정보를 수집하고 분석하는 자동화된 시스템을 갖추고 있으며, 이를 통해 분석가의 업무를 효율화한다. 여기에 머신러닝 기술을 접목해 많은 위협 데이터를 효과적으로 분석하고 분류하는 것은 새로운 소식이 아니다. 다만 머신러닝 알고리즘을 어떻게 적용해 실제 위협을 정확하게 찾아내고, 대응 조치까지 걸리는 시간을 단축하는가에 따라 위협 정보의 수준이 달라질 수 있다.
주니퍼의 경우 네트워크에서 일어나는 수백만개의 변수에 대한 상관관계를 분석해 정상 상황과 비정상 상황을 학습한다. 학습한 내용은 악성 행위를 파악하고 임박한 공격을 차단하는데 활용되며, 공격자의 다음 행동을 예측함으로써 기업 내 IT 담당자가 사이버 위협과의전쟁을 치르는데 필요한 효율적인 방어책을 제공한다.
주니퍼의 ‘스카이 ATP 탐지 프로세스’는 모든 단계에서 머신러닝 기술을 적용했다. 지속적으로 업데이트되는 대량의 악성/양성 샘플로부터 정적·동적·하이브리드 방식으로 분석하며, 수천개의 특성들을 추출해 머신러닝 분류자(classifier)를 구축함으로써 새로운 악성코드 유형들을 식별하고 차단한다. 이를 통해 급속히 진화하는 랜섬웨어 등 사이버 위협을 효과적으로 방어한다.
박달수 주니퍼기술영업부장은 “스카이 ATP는 처음 발견된 위협을 인텔리전스 기능을 통해 전 세계 모든 스카이 ATP 고객들과 즉시 공유해 가장 빠르게 피해를 예방할 수 있도록 돕는다. 주니퍼의 SRX 방화벽 시리즈와 통합돼 위협을 즉시 차단하고, 감염된 정보에 대해 카테고리별 실시간 확인할 수도 있다”고 설명했다.
한편 주니퍼는 보안 분석 전문업체 사이포트(Cyphort)를 인수하고 머신러닝과 행동분석 기술을 강화하고 있다. 사이포트는 자체 분석엔진을 통해 SIEM 플랫폼을 보완할 수 있다. 사이포트는 스카이 ATP와 통합돼 보안 탐지 효율성을 높이게 될 것이다.
인텔리전스 중심 분석으로 ‘위협 지능’ 높여
시스코의 경우 ‘위협 중심 보안’의 일환으로 AI 기반 위협 인텔리전스를 축적하고 있다. 시스코는 침해가 시작되는 시점부터 탐지·대응이 완료되는 시점까지의 시간을 이르는 ‘위협 탐지 시간(TTD)’을 줄이기 위해 AI를 위협 인텔리전스에 적용한다.
시스코의 위협분석 대응조직인 탈로스에 AI가 적용되며, 하루 200억개의 공격, 1년 7경2000조개의 공격을 막아내고 있다. 탈로스가 분석한 위협 정보는 시스코의 모든 제품에 배포돼 신종 위협을 막는다.
APT 방어 솔루션의 대명사격인 파이어아이 역시 AI를 사용해 위협을 탐지한다. 파이어아이는 인텔리전스 중심 분석(IDA) 엔진에 머신 인텔리전스, 공격자 인텔리전스, 희생자 인텔리전스를 부여하고, 악성 객체를 탐지, 차단한다. 또한 클라우드 기반 위협 인텔리전스 DTI에서 신종 위협을 효과적으로 차단한다.
보안 기업, 공격 방어 위한 연합 전선 구축
위협 인텔리전스는 보안 기업 내에서, 혹은 파트너십을 맺은 기업/기관들과 함께 위협 정보를 수집하고 분석해 신변종 위협을 찾아내는 인프라이다. 보안 기업들은 이를 고객에게 유료 서비스로 제공하거나 자사 제품에옵션 혹은 조건에 따라 무료로 제공하기도 한다.
위협 인텔리전스 서비스만을 비즈니스 모델로 하는 상품도 있다. 집단지성을 이용하는 구글의 ‘바이러스토탈’, 지란지교소프트가 아시아태평양 지역에 공급하는 ‘사이렌’ 등이 대표적이다. 우리나라에서는 세인트시큐리티의 ‘멀웨어즈닷컴’, 이스트시큐리티의 ‘아이마스’ 등이 활발하게 영업을 전개하고 있다. 이러한 서비스에는 필히 AI 기술이 접목돼야 하는데, 수백만건에 이르는 위협 정보를 실시간으로 분석하고 고객에게 서비스하기 위해서는 시스템이 스스로 위협을 학습하고 분류해야 하기 때문이다.
AI, 분석 전문가 대체 못해
보안 기업들은 머신러닝, 딥러닝 등 다양한 AI 기법을이용해 위협을 자동으로 탐지·차단하는 시스템을 갖추고 있지만, 아직은 이러한 시스템이 분석 전문가의 수준에 이르렀다고 하기는 이르다.
AI가 정확하게 위협을 탐지하기 위해서는 정상 행위와 비정상 행위에 대해 오염되지 않은 데이터가 충분한 양으로 공급돼야 한다. AI는 데이터가 많을수록, 운영기간이 길수록 정확도가 높아지지만, 학습되지 않은 전혀 새로운 데이터가 들어오거나 인위적인 변경이 일어날 때는 정확한 판단을 할 수가 없다. 그래서 위협 분석 과정에는 반드시 보안 전문가가 개입해 시스템이 걸러내지 못하거나 잘못 분류한 위협을 분류해 정확하게 대응할 수 있도록 해야 한다.
박달수 주니퍼 부장은 “머신러닝은 숙련된 보안 분석 전문가들의 지식을 대규모 데이터와 리스크 환경에서 활용할 수 있도록 돕는다. 또한 다른 보안 프로세스와 결합돼 점차 방대해지는 데이터양 및 복잡해지는 분석에 따라 해당 프로세스가 적절하게 확장 및 진행될 수 있도록 지원한다”고 말했다.
AI가 진화해 기보 없이 바둑을 스스로 깨우치기도 했지만 아직 AI는 어느 정도 패턴화가 가능한 학습 환경에서 효과를 발휘할 수 있다. 그러나 사이버 공격 패턴을 기계적으로 분류하기 어려우며, 정치·사회적인 배경까지 감안해 분류해야 하기 때문에 전문가의 손이 반드시 필요하다.
김기홍 세인트시큐리티 대표는 “우리나라의 경우 북한, 중국으로부터의 공격이 많이 발생하는 만큼, 우리나라 보안 분석가들은 북한·중국 공격자들의 특성을 그 어느 나라 분석가보다 더 정확하게 파악하고 대응할 역량을 갖추고 있다. 이러한 역량이 위협 인텔리전스 시스템에 접목되면서 이 분야에서는 세계 어느 나라보다 앞선 전문성을 갖고 있다고 자신한다”며 “보안 분석 전문가 육성을 위한 정부와 민간 기업, 교육기관의 더욱 적극적인 노력이 필요하다”고 강조했다.
