• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 NIST, 취약점 점수 평가 위해 IBM 왓슨 도입한다 2018.11.13

사람들의 패치 가이드라인과 같은 취약점 점수, 인공지능이 매긴다
아직 단순한 취약점에 대해서만 성능 발휘...스펙터 같은 취약점 앞에선 쩔쩔

[보안뉴스 문가용 기자] 미국의 국립표준기술연구소(NIST)가 공개된 취약점의 평가 방식을 바꾼다는 소식이다. IBM의 왓슨(Watson)이라는 인공지능 시스템을 활용해 취약점 평가를 지금보다 자동화된 방식으로 진행해 효율을 높일 것이라고 한다.

[이미지 = iclickart]


국립표준기술연구소가 보유하고 있었던 취약점 평가 제도는 그 유명한 CVSS로, 현재 취약점들의 위험성은 이 CVSS 점수로 표기된다. 하지만 이 점수 측정 제도는 2019년 10월부터 새로운 시스템으로 대체될 것이라고, NIST의 컴퓨터 보안 부문 책임자인 매튜 스콜(Matthew Scholl)은 넥스트거브닷컴(Nextgov.com)을 통해 말했다.

그렇다면 왜 인공지능일까? 먼저는 NIST 소속 분석가들의 업무량을 줄여줄 수 있기 때문이다. 현재 NIST의 취약점 분석가들은 일주일에 수만 개에 달하는 취약점들을 분석하는 데에만 모든 시간을 쏟아 붓고 있다고 한다.

“인공지능은 ‘수작업’의 상당 부분을 해소해줄 것으로 보입니다. 보안 전문가들에게 있어 이는 대단히 중요합니다. 넘쳐나는 수작업 때문에 진짜로 사람이 해야 할 ‘분석을 통한 통찰 얻어내기’ 등의 일을 소홀히 하기 때문입니다. 물론 인공지능이 모든 것을 해결할 수 있는 만능 기술은 아닙니다. 하지만 필요한 부분에 잘 적용된다면 시간과 비용, 인력을 훨씬 효율적으로 해방시킬 수 있는 가능성을 가지고 있는 기술임은 사실입니다.” 자동화 보안 기술 개발 전문 업체인 사이버세인트 시큐리티(CyberSaint Security) 조지 렌(George Wrenn) CEO의 설명이다. “NIST에서도 인공지능 도입을 염두에 두고 있다는 건 자연스러운 흐름입니다.”

외신에 의하면 왓슨은 올해 초부터 수만 개의 취약점 샘플들과 기록, CVSS 점수 데이터를 학습해왔다고 한다. 그러면서 새로운 취약점에 대한 점수를 매겨보라는 과제를 통해 꾸준한 훈련을 거치고 있기도 하단다. 새로운 취약점이 예전에 발견된 취약점과 비슷할 경우 인공지능이 매기는 점수가 그리 틀리지 않았고, 따라서 사람이 하는 것보다 높은 효율을 보였다고 한다.

문제는 취약점이 스펙터(Spectre)처럼 전혀 등장하지 않은 새 유형이거나 매우 복잡한 구조를 가지고 있었을 때였다. 보도에 의하면 왓슨은 이러한 취약점을 평가하는 데 있어서 꽤나 골치 아파하는 모습을 보였다고 한다. 이러한 점 때문에 왓슨은 앞으로 NIST 내에서 취약점을 평가하는 데에 있어서 ‘확신 퍼센티지’를 함께 제출할 것이라고 한다. 자신이 부여한 점수가 어느 정도 정확도를 가지고 있는지 평가해서 같이 내는 것이다. 이 퍼센티지가 높은 90대가 아니라면 인간 분석가가 출동해 취약점을 분석할 예정이다.

보안 기술 개바라 전문 업체인 스텔스비츠 테크놀로지스(STEALTHbits Technologies)의 부회장 가브리엘 검즈(Gabriel Gumbs)는 이번 NIST의 결정에 대해 다음과 같은 의견을 표명했다. “NIST가 최근 해야 할 일이 무척이나 늘었다는 걸 인지하고 있습니다. 그렇기에 인공지능을 활용한다는 건 충분히 이해가 가는 일입니다. 하지만 취약점을 이전보다 더 빠르게 평가하고 점수를 매긴다고 해서 사용자들의 패치 적용 속도가 느리다는 문제가 해결될 것이라고 보지는 않습니다. 사실 문제의 핵심은 그거라고 생각하는데 말이죠.”

그러면서 그는 “이론상 취약점에 점수를 매기는 이유는 패치의 우선순위를 정하는 데 도움을 주기 위해서인데, 그러한 본질적인 이유를 고려해서 왓슨을 투입시키고자 하는 것인지 확신이 들지 않는다”며 말을 이어갔다. “차라리 단순 취약점 하나의 위험성 점수를 매기는 걸 넘어, 다양한 방면으로 위험성을 알리는 지표를 개발하는 게 어떨까 합니다. 다른 제어 도구나 장치들이 있을 때 해당 취약점의 위험성이 어떻게 변하는지, 그대로 남겨졌을 때 시간별로 조직의 위험이 어느 정도로 커지는지 등 사람들을 움직이게 만드는 점수표가 필요합니다.”

3줄 요약
1. NIST, 왓슨 사용해 취약점 평가 시작한다.
2. NIST 업무량 늘어나면서 생긴 자연스러운 흐름. 인공지능 효율 살리는 건 모두 찬성.
3. 하지만 취약점과 관련된 진짜 문제는 사람들이 패치하지 않는다는 것. 이 점을 해결하기 위한 방안도 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>