진화하는 해킹...머신 러닝 기술로 보안 인텔리전스 구현 가능

[보안뉴스 김태형] 한국인터넷진흥원은 최근 진화하는 사이버위협에 효과적으로 대비하기 위해 향후 2~3년 내에 산업적 수요가 증가할 것으로 예상되는 ‘산업체가 주목해야 할 정보보호 10대 기술’을 발표했다.


이번에 발표된 정보보호 기술들은 △사이버사기 등 사회적 문제 해결을 위한 국민안심기술 △사이버위협 예방을 위한 기관 및 기업보안기술 △국가·공공 인프라 등 안전사회 기반기술 등 3개 정보보호 연구개발(R&D) 분야의 선도적 기술이다.

특히, 국민안심기술에는 △개인정보 유출 불안감 해소를 위해 빅데이터 분석 및 머신러닝 기법을 활용한 ‘정보유출 이상행위 분석기술’ △급증하는 스미싱 피해 등 모바일 보안위협을 사전 예방하기 위한 ‘모바일 악성코드 분석기술’ △전자상거래 등 비대면 인증환경에서 안전성과 편리성을 높이기 위해 필요한 ‘바이오 인증 등 패스워드 대체기술’ 등 국민생활 민감도가 높은 분야의 기술들이 대거 포함되어 있다.

이 중에서 빅데이터를 활용해 컴퓨터를 사람처럼 학습시켜 인지·판단·예측 능력을 키우는 인공지능(AI) 기술인 ‘머신 러닝(기계학습, Machine Learning)’ 기법은 가전제품, 자동차, 웨어러블, 보안 등에 적용되면서 사물인터넷과 융합되면 파급력이 엄청날 것으로 보인다.

이와 관련 최근 구글은 2세대 기계학습 알고리즘 시스템의 인공지능 엔진 ‘텐서플로’(TensorFlow)를 오픈소스로 공개한다고 밝혔다. 이는 얼굴인식이 가능한 ‘구글 포토’ 등 구글 핵심 서비스에 사용되는 기술이다. 페이스북, 마이크로소프트, 트위터 등 미국 주요 정보기술(IT) 대기업들도 인공지능과 기계학습 분야에 대규모 투자를 통해 관련 서비스 개발을 위해 노력하고 있어 향후 인공지능, 기계학습 분야 기술 발전의 자극제가 될 전망이다.

이에 정보보안 분야에서도 머신 러닝 기술의 적용이 본격화되고 있다. 빅데이터를 유용한 정보로 바꿔주는 머신 러닝 기술을 멀웨어 탐지에도 도입하자는 목소리가 높아지고 있는 것. 실제로 멀웨어 탐지에 머신 러닝 기술을 활용하게 되면 10분의 1초 내에 코드가 멀웨어인지 아닌지를 판단할 수 있다. 뿐만 아니라 보호된 영역 내에서 프로그램을 작동시키는 샌드박스(Sandbox) 기술을 사용해 정보의 제한을 받을 필요가 없다는 점도 이점이다.

이제 어디서 어떻게 정보를 얻는 것에 관심 있는 이는 별로 없다. 대신 눈앞에 펼쳐진 정보들 가운데 유용한 정보를 골라내는 능력이 요구되고 있다. 보안업계도 마찬가지다. 사이버위협 정보가 넘쳐나는 상황에서 최대한 빠르게 필요한 정보를 추출해야 한다. 더욱이 정보를 추출하는 것은 첫 번째 작업에 불과하다. 추출한 정보를 분석하고 실제 상황에 접목시켜야 하는 과제가 남아 있기 때문이다.

올해부터 보안업계는 데이터를 학습해야 보안성을 높일 수 있다는 개념의 머신 러닝 기술에 많은 관심을 보이고 있다. 실제로 머신 러닝이 APT(지능형지속위협) 방지에 효과적이라는 보고도 있었고, 멀웨어 탐지에 있어 샌드박스보다 더 효율적이라는 연구결과도 제시됐다. 다만, 필요한 것을 찾아내는 것에는 능하지만 불필요한 것을 걸러내는 건 약하다는 지적도 존재한다.

하지만 매일 매일 지속적으로 증가하는 방대한 양의 악성코드와 보안위협 관련 데이터들을 분석하고 보안에 위협적인 데이터를 찾아내는 일을 스스로 학습이 가능한 머신 러닝 기술을 활용하면 보다 효과적인 보안 인텔리전스 구현이 가능하기 때문에 보안업계의 움직임은 매우 적극적이다.

이미 글로벌 보안업체인 시만텍, 파이어아이, 팔로알토 네트웍스, 트렌드마이크로, 어베스트, 스플렁크 등은 물론 국내 보안업체인 안랩과 파수닷컴 등이 머신 러닝 기술을 보안 제품과 클라우드 서비스에 접목시키고 있다.

특히, 국내 대표적인 보안업체 안랩은 클라우드 기반의 ‘안랩 스마트 디펜스(ASD)’를 통해 악성코드를 수집해 분석하고 있다. 이를 통해 구축한 악성 URL정보가 약 3억개, 사이버 위협 활동 관련 정보도 약 천만개에 달한다. 안랩은 이러한 정보를 통해 특정 규칙을 만들어 악성코드 및 보안위협을 탐지하는데, 이는 클라우드와 머신 러닝 기술을 활용한 것이다.

또한, 국내 데이터 보호 전문기업 파수닷컴은 최근 출시한 인텔리전트 라이프로그 서비스, DigitalPage(디지털페이지)에 최신 머신 러닝 기술을 적용했다. 디지털페이지는 작성된 메모와 연관된 페이지가 하단에 제시되어 이전 기록들을 일일이 찾지 않아도 연관된 모든 정보를 손쉽게 볼 수 있는 솔루션이다. 디지털페이지에 연관도 학습과 연관도 활용 패턴 학습 등에 최신 머신 러닝 기술을 도입했다.

해외의 경우는 글로벌 백신업체 어베스트가 최근 악성코드 탐지에 머신 러닝 기법을 활용하고 있다고 밝혔다. 어베스트는 전 세계에 설치된 백신들이 이상징후 정보를 어베스트의 대규모 서버 클러스터에 전송하면 머신 러닝 기술을 이용해 이를 자동 분석하는데 활용한다.

최근엔 글로벌 소프트웨어 전문기업인 스플렁크(Slunk)가 자신들의 주특기로 ‘머신 데이터’를 내놓기도 했다. Splunk Enterprise 6.3은 머신 데이터를 수집·인덱싱·분석·보안 및 시각화하는 인텔리전스 플랫폼이다. 특히, 방대한 양의 데이터를 병렬 쿼리 방식으로 처리해 분석 결과 산출시간을 단축시키고, 데브옵스(DevOps, 개발운영)와 사물인터넷(IoT) 환경에서 데이터 수집을 지원하는 것이 가장 큰 특징이다.

이렇듯 글로벌 보안업체에서는 이와 같은 머신 러닝 기술을 적극 활용해 기존 보안 시스템을 지능형 보안 시스템으로 한층 업그레이드하고 있다. 스스로 학습을 통해 악성코드를 분석하고 이를 기반으로 보안위협을 탐지·차단하도록 하는 것이다.

前 시만텍 CTO인 아밋 미탈(Amit Mital)은 머신 러닝과 관련해서 “이제 남은 희망은 머신 러닝뿐이다”라고 말하기도 했다. 이처럼 머신 러닝 기술은 보안분야 뿐만 아니라 다양한 분야에서 활용이 가능하며, 빅데이터·클라우드와 연동하면 더 큰 효과를 낼 수 있다. 이에 국내 보안업체들도 빅데이터 기술과 클라우드, 그리고 머신 러닝 기술을 적극 활용할 필요가 있다. 이제 막 걸음마 단계지만, 아직 늦지 않았다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>