더 고급화 될 사이버 공격, 현존 솔루션과 방법론으로는 대응 불가
인공지능 앞세운 행동 분석 자동화로 ‘보안의 프로세스’ 자체를 바꿔야

[보안뉴스 문가용 기자] 작년 셰도우 브로커스(Shadow Brokers)의 등장은 보안 업계에 엄청난 파장을 불러일으켰다. 여태까지 공개되지 않은 취약점과 익스플로잇 방법이 다량으로 방출되면서 사실상 사이버 범죄자 및 사이버전 스파이들의 능력을 한껏 업그레이드시켰기 때문이다. 워너크라이나 낫페트야 사건에 모두 연루된 이터널블루(EternalBlue) 역시 그때 나온 무기 중 하나다.


더 무서운 건 그 이터널블루조차 시작에 불과하다는 것이다. 앞으로 12~36개월 내에 해커들은 전혀 새로운 공격 방법을 들고 나올 것이고, 우리가 여태껏 보지 못했던 멀웨어의 폭풍이 휘몰아칠 것이다. 그러니 방어는 더욱 힘들어질 것이 분명하고, 추적마저 불가능에 가까운 것으로 변모할 가능성이 높다. 멀웨어는 항상 진화할 것이고, 어제의 그 멀웨어는 다시 나타나지 않을 것이다. 백신 몇 개로는 도저히 쫓아갈 수 없는 페이스가 유지된다는 뜻.

그것뿐인가. 빅 데이터, 머신 러닝, 자연어 처리 엔진의 성능 향상 덕분에 피싱 및 사회 공학적 공격은 훨씬 그럴듯해질 것이고, 실제로 진짜 메일과 허위 메일의 분간이 사람으로서는 대단히 힘든 것이 될 것으로 보인다. 웜 몇 마리가 새롭게 업그레이드 되는 문제가 아니라 웹 전체의 환경이 크나큰 산통의 기간을 보낼 것이 거의 확실해 보이는 지금이다. C&C 서버도 완전히 변모해 IP 명성 필터와 같은 기본적인 보안 장치는 고대의 기술과 같은 취급을 받을 것이 분명하다. 자, 우린 이제 뭘 해야 할까?

우리의 대비 수준이 어찌됐든 새로운 현실은 우리를 향해 두 팔을 벌리고 뛰어오는 중이다. 기존의 방법으로는 방어도 어렵고, 추적도 안 되는 새로운 공격의 시대에 우리가 향상시켜야 하는 건 단연 정보 분석 능력이다. 특히 자동화를 기반으로 한 행동 분석에 초점을 맞추는 것이 올바른 선택으로 보인다. 행동 분석을 위한 새로운 유형의 로그 정보를 쌓고, 데이터와 네트워크로 다가오는 모든 행동들을 모니터링 해 수상한 것들을 걸러낼 수 있어야 한다. 그것도 항시 말이다. 보안 담당자라면 모니터링과 탐지, 대응의 부드러운 순환을 위한 업무 체계를 떠나, 행동과 관련된 정보 수집과 분석을 위한 업무 순환 구조를 구축해야 한다.

현존하는 보안 장비 및 툴들은 기본적으로 ‘이어폰’과 ‘스위치’의 기능을 수행한다고 정리할 수 있다. 현상을 ‘듣고’, 행동에 필요한 스위치를 ‘누를 수 있게’ 해주는 것이다. 탐지하고 대응한다는 지금 보안 업무 체계와 맞물리기 때문이다. 하지만 가까운 미래에는 지금의 능력만으로 충분치 않을 것이다. 더 많이(혹은 더 크게) 듣고, 더 빨리 판단하고, 더 빈번히 스위치를 누르되 성능에 전혀 이상이 없어야 한다.

혼자 하기 힘들 것이니, 같이 듣고, 자동으로 판단하고, 스위치 조작도 공유하거나 대행할 수 있어야 한다. 이 때 필요한 것이 머신 러닝이다. 기계에게 이런 일을 일부 맡기며 학습하게 해 더 다양한 정보를 이어붙이고 그 상관관계를 추론하게 해 깊은 통찰을 얻어내는 것이다. 그게 바로 미래 정보보안이 말하는 ‘분석력’일 것이다.

이를 위해서 지금 조직들은 뭘 해야 할까? 누군가 뛰어난 머신 러닝을 상용화할 때까지 기다려야 할까? 아니다. 먼저는 깔끔하고 깨끗한 정보의 출처를 확보해야 한다. 또한 모든 층위에서 생성되는 정보를 모을 수 있어야 한다. 모든 층위란 물리적 층위에서부터 애플리케이션 층위까지 아우르는 말이다. 최근 머신 러닝 기기에 인종차별적인 특성이 발견되었다는 보고가 있었다. 배울 수 있는 기계에게 주입시키는 정보를 잘 선별하지 않으면, 아무리 뛰어난 알고리즘이라도 무용지물이 된다.

정보가 생성되거나 발생되는 지점은 굉장히 많다. 최종 사용자의 기기로부터 네트워크 장비, 방화벽이나 애플리케이션 서버 등 모든 곳에서 그렇고, 실제 현장에서도 이 사실은 지속적으로 증명된다. 이런 기기들에서부터 생성되는 모든 행동 특성 정보는 빠짐없이 수집되어야 한다. 이런 수집 방법을 확보한 후에는 이상 현상이 무엇인지 파악하는 훈련이 필요하다. 더 정확하게 판단하는 법을 연습하고, 이를 빠르게 전파하고 이해시키는 훈련도 겸해야 한다.

먼저, 이상 현상을 탐지하기 위한 정보 수집 조직적인 체계가 마련되었다면, 그 정보들을 주입시킬 분석 시스템을 마련해야 한다. 단순 분석이 아니라 다른 층위에서 수집된 정보들과의 관련성도 파악해 전체적으로 무슨 일이 일어나고 있는지 파악할 수 있는 종합적이고 통찰력 있는 분석이 진행되어야 한다. 이 과정에서 정상과 비정상 현상을 구분 지을 수 있는 논리 체계가 구축되도록 해야 한다. 또한 사업 운영에 이상이 없는 선에서 비정상 현상을 처리할 수 있는 방법론 또한 갖춰져야 한다. 이 모든 걸 자동화 시스템에 이식시킨다면, 수상한 행위를 보이는 트래픽을 자동으로 차단하는 걸 쉽고 빠르게 할 수 있다. 네트워크 모든 지점에서 말이다.

앞으로 대비해야 할 것을 이렇게 하나하나 풀어놓으면 너무 어려워 보일 수 있는데, 사실은 그렇지도 않다. 결국 더 많이 보고, 더 깊고 빠르게 분석하자는 게 요지다. 또한 여기저기 흩어져 있어 의미를 찾기 힘들었던 정보들을 모아서 더 효율적으로 활용하자는 것이다. 게다가 그렇게 해줄 수 있는 인공지능 기술이 빠르게 발전해오고 있기도 하다. 아직 누구도 이런 미래지향적인 행동 분석 체계를 구축한 적이 없기 때문에 정답이 없다는 것도 이런 시스템을 추구해볼만한 장점이 된다. 당신이 바로 그 정답자가 될 수도 있다는 것이다.

결국 정보를 분석한다는 것의 패러다임이 크게 바뀌는 상황에 우리는 놓여 있다고 볼 수 있다. 정보 분석의 본질이 바뀌고 있으니 그 정보를 수집하는 것과 모니터링하는 것 역시 덩달아 변화를 겪고 있다. 보안 담당자라면 이제 PC 하나하나 혹은 서버 하나하나에 대한 안전성을 넘어 조직 전체와 인터넷 전체 환경까지 이해하고 있어야 한다. 이렇게까지 했을 때 우린 비로소 보안을 담당할 수 있는 최소한의 자격을 얻게 된다. 블랙리스트, 분석 전문인, 최종 사용자 상담 기능에 머물러 있다가는 구석기시대 사람이 된다.

너무 많은 것을 요구한다고 생각할 수도 있지만, 그게 현실이다. 쉐도우 브로커스를 원망할 것도 없다. 어차피 언젠가 그렇게 될 것이었다. 머신 러닝을 바탕으로 한 자동화, 자동화를 바탕으로 한 행동 분석, 행동 분석을 바탕으로 한 판단과 대응이 이 시대 보안의 기본기다. 기억하자. 쉬워서 ‘기본기’가 아니라, 필수라서 ‘기본기’라는 걸.

글 : 마이크 콘버티노(Mike Convertino), F5 Networks
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>