본문 바로가기

신동아 로고

통합검색 전체메뉴열기

4차 산업혁명과 미래

피싱 하는 인공지능 피싱 잡는 인공지능

사이버 전쟁과 AI

  • 유성민 IT칼럼니스트|dracon123@naver.com

피싱 하는 인공지능 피싱 잡는 인공지능

2/2

IBM 왓슨도 사이버 ‘보안관’

최근 해킹대회 등 사이버 보안 관련 행사에서는 인공지능 기술이 크게 주목받고 있다.

최근 해킹대회 등 사이버 보안 관련 행사에서는 인공지능 기술이 크게 주목받고 있다.

이 중에서 가장 중요한 단계는 첫 단계, 즉 ‘대상 정보 파악과 침투’다. 각 기관의 사이버 보안 시스템 체계는 겉은 단단하고 속은 부드러운 수박에 비유할 수 있다. 시스템 외곽은 사이버 공격에 견고하지만, 그 내부는 상당히 취약하다. 그러므로 사이버 공격의 성공 여부는 첫 단계에서 좌우된다. 스피어 피싱이 성공하면 사이버 공격에 거의 성공한 것이나 다름없다.

현재 AI는 스스로 시스템의 취약점을 찾아낼 뿐만 아니라 스피어 피싱까지 해낼 수 있는 수준에 와 있다. 이제는 AI가 단독으로 사이버 공격을 실행할 수 있음을 의미한다. 가까운 미래에는 AI가 모든 사이버 공격을 맡아서 진행할지도 모른다.

그러나 창이 있으면 방패가 있는 법. 사이버 보안 쪽도 AI를 활용하기 시작했다.

사이버 보안은 크게 세 단계로 나뉜다. 먼저 사전 단계로 사이버 공격을 예측하는 것이고, 그다음 탐지 단계는 악성코드 유무를 탐지하는 것이다. 마지막 사후 단계는 사이버 공격이 발생했을 때 피해를 최소화하는 것이다. AI는 사전·탐지·사후 단계 모두에 사용된다.

우선 사전 단계에서 AI 역할을 살펴보자. 사이버 공격이 개시되면 몇 가지 징후가 포착된다. 가령 네트워크 용량이 갑자기 증가한다든지 적대 국가의 IP 주소에서 e메일이 발송된다든지 하는 것이다. AI는 이러한 이상 징후를 포착하고 사이버 공격인지 아닌지를 판별한다. 사용자행위분석(UBA·User Behavior Analysis)과 네트워크행동분석(NBA·Network Behavior Analysis)이 이러한 부류에 해당한다.



UBA와 NBA는 기계학습 방식으로 정상적 행위와 비정상적 행위를 학습하고 이를 판별한다. 그간 당해온 사이버 공격 행위 데이터를 비정상적 행위로 학습한다. 따라서 악성코드를 검사하기 전에 사이버 공격 행위 여부를 탐지해 시스템을 보호한다.

탐지 단계에서는 AI 활용으로 탐지 능력을 더욱 강화할 수 있다. 악성코드 탐지 방법은 보통 두 가지로 나뉜다. 첫 번째 정적 분석이다. 악성코드는 말 그대로 ‘악성 행위를 수행하게끔 하는 코드(명령어)’다. 정적 분석은 악성코드 존재 여부만 판별한다. 특정 시스템 및 파일에 악성코드가 있으면 정적 분석 기반의 보안 시스템은 이를 찾아낸다.

정적 분석은 악성코드 정보를 모으는 것으로 시작한다. 그다음 보유한 악성코드 데이터베이스를 기반으로 악성 공격 여부를 판별한다. 따라서 데이터베이스에 없는 새로운 악성코드가 침투하면 이를 탐지하지 못한다는 단점이 있다. 물론 이를 보완해 악성코드 정보에서 나타나는 특징을 기반으로 사이버 공격 여부를 탐지하는 기술도 있다. 이를 시그니처(Signature) 기반 탐지라고 한다.

그러나 보안 전문회사 맥아피(McAfee)에 따르면 시그니처 기반 탐지는 별로 효과가 없다. 완전히 새로운 악성코드 침투는 정적 분석으로 탐지할 수 없는데, 시그너처 기반의 탐지 역시 기존 악성코드 정보에 국한해 추출된 데이터베이스를 바탕으로 하기 때문이다.

그래서 ‘동적 분석’이 필요하다. 동적 분석은 해당 코드를 실행할 경우 나타나는 증상을 보고 악성코드 여부를 판별하는 것이다. 보안 관리자가 랜섬웨어를 동적 분석 방법으로 분석한다고 가정해보자. 랜섬웨어 의심 코드를 분석용 시스템에 실행할 때 랜섬웨어 증상인 파일 잠금이 동작하면, 보안 관리자는 해당 코드를 랜섬웨어용 악성코드로 결론을 내린다.

정적 분석은 ‘대조’만 하면 되므로 보안 시스템을 자동으로 설정할 수 있다. 그러나 동적 분석은 각각의 파일을 실행해 그 결과를 일일이 확인해야 한다. 복잡한 작업이라서 대개 보안 관리자가 직접 수행한다.

그런데 최근 동적 분석을 자동으로 처리해주는 시스템이 늘고 있다. 이 역시 AI를 활용한 것이다. AI가 악성 공격 실행 시 나타나는 증상을 학습하고, 자동으로 동적 분석을 수행해 전에 없던 새로운 악성코드를 찾아낸다. 시스코(CISCO)가 개발한 AMP(Advanced Malware Protection)가 이러한 기술의 대표 사례다. AMP는 약 700개의 행위 요인을 기반으로 새로운 악성코드 유형을 탐지한다. 악성코드 행위 판별은 물론 기계학습 기반으로 이뤄진다. 보안업체 사일런스(Cylance)가 제공하는 악성코드 탐지 프로그램은 동적 분석만 하는데, 그 정확도가 95%를 넘는 것으로 알려진다. 이외에도 수많은 보안 회사에서 동적 분석에 AI를 적용해 악성코드 탐지 능력을 강화하고 있다.

마지막으로 AI 적용으로 사후 대응 속도를 높일 수 있다. 이는 2차 사이버 공격을 차단함으로써 피해를 최소화할 수 있게 한다. 사이버 공격이 발생했을 때 이를 사람이 분석하면 시간이 매우 오래 걸린다. 거의 모든 소스를 일일이 살펴봐야 하기 때문이다. 이 일을 AI가 하면 분석 시간을 상당히 단축할 수 있다. 연산 처리 능력이 사람보다 수백 배 이상 빠르기 때문이다. 더구나 AI가 사이버 공격의 흐름까지 분석해준다면, 사이버 보안 관리자는 사이버 공격 현황을 쉽게 파악할 수 있다. 이를 ‘전후사정(Context)’ 혹은 ‘능동형 지능(Actionable Intelligence)’이라고 표현한다.

IBM에서 개발한 큐레이더(Q radar)가 AI를 사후 대응에 적용한 대표 사례로 볼 수 있다. 지난 2월 IBM은 큐레이더를 더 강화한 ‘IBM 큐레이더 왓슨 어드바이저’를 선보였다. 큐레이더에 IBM이 개발한 최첨단 AI 기술인 왓슨(Watson)을 적용한 버전이다.


AI가 사이버 국방력의 ‘지표’

물론 현재로서는 AI가 사이버 공격과 방어를 완벽하게 감당할 수 있는 건 아니다. 때로는 인간과 AI가 협업하고, 때로는 AI가 인간을 지원하는 역할을 맡는다. 그러나 가까운 미래에는 인간은 ‘배제’되고 AI가 단독으로 사이버 공격과 방어를 맡을 것으로 보인다.

이러한 전망은 전혀 비현실적인 것이 아니다. 인간의 일상 세계와 달리 사이버 세계는 코드로 이뤄져 있다. 현실처럼 오감(五感)이 필요하지 않고, 또 복잡하지도 않다. 사이버 전쟁의 승패는 각 국가의 AI 수준에 달렸다. 이제는 AI가 사이버 국방력을 평가하는 지표가 된다.




신동아 2017년 11월호

2/2
유성민 IT칼럼니스트|dracon123@naver.com
목록 닫기

피싱 하는 인공지능 피싱 잡는 인공지능

댓글 창 닫기

2019/12Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.