• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[블랙햇 맛보기-4] 기계학습, 어디까지 왔을까? 2014.08.01

기계학습을 강점으로 내세운 보안 툴들 우후죽순으로 늘어나

현대 수학으로는 스스로 학습하는 솔루션 내놓을 수 없어


[보안뉴스 문가용] 여기저기서 보안 툴들이 출시되고 있으며 하나 같이 대용량, 이상 탐지, 행동 분석과 같은 알고리즘 테크놀로지를 이야기하고 있다. 학습이 가능한 기계, 이른바 기계학습을 전면에 내세우고 있는 것이다. 하지만 보안담당자들은 이럴 때 발 뻗고 자는 게 아니라 더 촉각을 곤두세워야 한다. 왜냐하면 아직은 실제 기술력보다 마케팅의 목소리가 더 큰 상황이기 때문이다.

 ▲ 자, 완성했다는 알고리즘을 증명해보시지?

“오해하지 마셨으면 합니다. 분명히 특정 환경에서는 제대로 작동할 수도 있습니다.” 실제 업체들에서 생성하는 실제 데이터를 바탕으로 기계학습에 대해 1년간 연구해 온 임시 프로젝트 팀인 MLSec Project의 창립자이자 전 보안상담가인 알렉스 핀토(Alex Pinto) 씨가 조심스럽게 입을 열었다. “하지만 대부분 회사에서 제품의 강점이라고 내세우는 것들은 그냥 이름만 새로 붙은 오래된 기술에 불과합니다.”


핀토 씨가 설명하듯 대부분의 툴들이 가진 장점이란 것들은 이미 십년 전부터 시장에 나돌았던 것이다. 행동을 분석하고 이상한 현상을 탐지한다는 기술을 연구해온 건 30년도 넘었다. 게다가 이런 마케터들이 ‘파훼했다’고 주장하는 수학적 기능들은 이론가들 사이에서 ‘깨기 불가능하다’고 판명된 것들이 많다.


“이상 탐지나 행동 분석이란 기능을 한 번 생각해보세요. 가장 먼저 필요한 게 뭘까요? 바로 어떤 행동이나 사건이 이상한 건지 정상 범주 내에 있는 건지 판단할 수 있는 알고리즘입니다. 그런데 이게 현재 가능할까요?” 핀토 씨의 설명이 이어졌다. “한 가지 변수에 대해서만 알고리즘을 만든다면 가능합니다. 하지만 오늘날 네트워크의 현실은 그렇지 않죠. 수백에서 수천 대의 컴퓨터와 기기들이 한 네트워크 안에서 소통하고 있습니다. 현대 수학으로는 이 많은 변수들을 한 가지 알고리즘에 넣는 게 불가능합니다.”


마케터들이 말하는 것처럼 이런 알고리즘이 정말로 개발되었다면 아마 유전공학 쪽에서도 난리가 났을 거라는 게 핀토 씨의 설명이다. 바탕에 깔리는 수학 원리가 비슷하기 때문이란다. “이런 알고리즘이 생겨날 정도로 수학이 발전하면 DNA를 분석해서 한 개인이 어떤 병에 걸리기 쉬운지 알아낼 수도 있습니다. 아니면 행동 분석을 하거나 이상을 탐지하는 것보다 더 심오한 기술을 가진 툴이나 기기가 나와 더 큰 돈을 벌 수 있겠죠.”


핀토 씨는 8월 2~7일에 열리는 블랙햇에서 이런 주제를 심도 있게 다룰 예정이다. “수학을 잘 몰라도 이해하기 쉽게 이야기를 진행할 예정입니다. 최소한 누군가 보안 툴이 새로 나왔다며 마치 기계학습이 구현되는 것처럼 이야기 할 때 반박할 수 있을 정도의 지식은 갖출 수 있을 겁니다.”


핀토 씨는 보안 툴을 구매할 때 세 가지 점을 주의 깊게 살펴야 한다고 한다. 먼저는 툴이 ‘학습’하기 위해 정보를 어디서부터 가지고 오느냐를 이해하는 것이다. “툴이 학습을 위한 정보를 사용자의 주변에서부터 가지고 온다면 해커가 그 정보를 조작해 툴에 영향을 줄 수 있습니다. 이처럼 무엇을 ‘이상’하다고 판단해야 할지 정확히 정의하지 않는다면 그 또한 그 툴을 무력하게 만듭니다. 그래서 현대 기술로 구현한 ‘이상 탐지’는 대부분 오히려 위험을 초래하는 경우가 많습니다.”


둘째로는 그 툴이 가지고 있는 기본 전제에 대해 알아야 한다고 한다. 사용자 행동 분석이나 이상 탐지 기술이란 대부분 ‘사용자가 정보를 체계적으로 분류해서 관리할 줄 알고 이미 그렇게 하고 있다’는 걸 전제로 하고 있다. 하지만 이는 국제적인 기업이라고 해도 아직 제대로 수행하고 있지 못한 부분이다.


마지막은 그 대단한 기술을 어떻게 사용해야 하는지와 현재 보안 상태에 어떤 식으로 적용해야 하는지를 알아야 한다. “최고의 성능을 가진 제품이라도 ‘이상’과 ‘정상’을 매번 정확하게 판가름하지는 못합니다. 그래서 어느 정도는 사용자 측에서 이 과정에 개입해야 합니다. 즉 사용자를 완전히 해방시켜줄 수 없다는 것이죠. 구글에서도 사용자의 행동 패턴을 분석해 광고를 내보낸다고 하지만 실제로는 전혀 엉뚱한 광고가 출력될 때가 많죠? 보안 툴들도 마찬가지입니다.”


핀토 씨는 이번 강연의 목적이 “이런 툴들을 판매하는 업체들을 자극하기 위해서”라고 솔직하게 밝혔다. “마케팅 문구만 생각할 것이 아니라 그들의 제품에 대해 좀 더 투명하게 소통했으면 좋겠어요.” 또한 이렇게 판매자들을 자극하는 내용 뿐 아니라 그가 운영하고 있는 MLSec Project가 최근까지 행해온 연구 결과를 공개하기도 할 예정이다. “결국 기계학습을 통째로 부정하기 위해서 강연을 하는 게 아닙니다. 더 나은 발전에 일조하기 위한 것이죠.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>