인공지능(AI)은 정보통신기술(ICT) 분야에 국한되지 않고, 전 산업군의 생태계를 뒤바꿀 기술로 주목받는다. 보안 업계에서도 마찬가지다. 고도화된 보안 위협이 기하급수적으로 증가하면서 한정된 시간·자원·인력으로 대응 가능한 수준을 넘어서면서 AI의 중요성이 날로 커지는 추세다.
글로벌 보안 시장은 물론, 국내 보안 업계에서도 AI를 접목하려는 시도가 활발하다. 최종 결정은 어디까지나 사람이 해야 하지만, 기계에 맡길 수 있는 부분은 AI 기술을 이용해 최대한 자동화함으로써 빠르게 증가하는 지능화된 사이버 위협에 신속하게 대응하겠다는 취지에서다.
보안 업계에서 가장 먼저 주목한 AI 활용 분야는 악성코드 분석이다. 최근의 신·변종 악성코드는 전통적인 룰 및 시그니처 방식으로는 탐지하기 어렵고, 수동 분석을 하는 데는 시간이 너무 오래 걸린다. 이 경우 악성코드 샘플을 학습한 머신러닝(기계학습) 알고리즘을 적용해 비정상적인 행위를 분류한 모델을 만들고, 위협으로 의심되는 행위 데이터가 군집된 악성코드 분류에서 얼마나 벗어나 있는지를 확인하면 유사·변종 및 악성 여부를 빠르게 가려낼 수 있다.
한국인터넷진흥원은 사이버 위협 정보 분석·공유 시스템(C-TAS)에 행위 기반 유사·변종 악성코드 분류 기술을 적용해 악성코드 분석 효율을 높였다. 이 시스템은 1일 평균 10만건 이상의 샘플을 분류해내는 등 새롭게 탐지한 변종 악성코드를 분석하는 시간을 대폭 줄이는 데 기여한다.
이스트시큐리티는 최근 AI 기반 악성코드 위협 대응 솔루션 ‘쓰렛 인사이드(Threat Inside)’를 선보였다. 쓰렛 인사이드는 딥러닝 기술을 활용해 악성코드를 식별·분류하고, 현재 위협이 되는 악성코드 정보와 유형별 대응 방안을 제시한다. 보안 담당자가 탐지한 위협 종류와 대응 방법을 검색하는 데 들이는 시간을 줄여 보다 신속하게 위협에 대응할 수 있도록 해준다.
◇ 불필요한 이벤트 분석 줄여 보안관제 효율 ↑
보안관제 역시 AI 기술 적용으로 높은 효과를 얻을 것으로 기대되는 분야 중 하나다. 매일 생성되는 방대한 보안 이벤트 분석을 자동화해 우선 처리해야 할 고위험 이벤트를 선별할 수 있게 되면, 분석에 드는 시간을 줄이고 보안 위협에 대한 대응력을 한 단계 높일 수 있다.
예를 들어 보안관제 전문가가 업무를 수행하며 축적한 이벤트를 머신러닝 기반 시스템으로 분석해 정상적인 90%의 이벤트를 걸러내고, 보안관제 전문가는 나머지 10%의 의심스러운 고위험 이벤트만 집중적으로 분석하는 식이다.
이글루시큐리티는 AI 보안관제 시스템 구축 외에도 AI 기반 보안관제가 효과적으로 수행될 수 있는 보안관제 방법론을 개발하고 있기도 하다.
이규환 이글루시큐리티 보안관제기술연구팀 부장은 "같은 보안관제 인력이 투입되고, 동일한 AI 보안관제 시스템을 구착했다고 할지라도 기업이 어떤 보안관제 방법론을 적용하느냐에 따라 AI 보안관제의 정확성과 효율성이 달라질 수 있다"고 말했다.
◇ IoT 기기 숙주 삼는 디도스 공격 ‘꼼짝마'
AI 분석 기술은 트래픽에 과부하를 일으키는 분산형 서비스 거부(디도스, DDoS) 공격을 방어하는 데도 활용 될 수 있다. 최근 사물인터넷(IoT) 기기를 숙주로 삼는 디도스 공격이 광범위하게 확산되는 만큼 실시간 디도스 공격 탐지 및 차단의 중요성이 더욱 높아질 전망이다.
네트워크 보안업체 라드웨어는 알려지지 않은 디도스 공격을 탐지하기 위해 머신러닝을 활용한다. 실시간 트래픽을 수초 내 자동 분석하는 행동 기반 솔루션을 이용해 공격 트래픽의 특성을 찾아내고, 이에 따라 시그니처를 생성해 공격을 막아내는 식이다.
한편, 한국인터넷진흥원의 2018년 3분기 사이버 위협 동향 보고서에 실린 ‘머신러닝·AI에 대한 인식도 및 사용 현황 설문조사'에 따르면, 보안 업계는 AI 기술이 적용되면 유용할 것 같은 분야로 악성코드 분석 63%, 취약점 분석 45%, 디도스 대응 44%(복수응답) 순으로 꼽았다. 또 머신러닝이나 AI 기술 발전에 가장 필요한 기술을 묻는 질문에는 ‘양질의 데이터 수집·가공'이라는 답이 42%로 가장 많았다.