보라빛 소를 만나기 위한 도약

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

인공지능 접목으로 유연성 높아지는 보안시스템.pdf

[ 요 약 ]

  [ 보 안 ]

  ◈ 기계학습의 발전에 따라 보안 시스템에 대한 훈련이 쉬워지게 되었고, 그 결과 보안 시스템은 상황의 변화에 이전보다 유연하게 대응할 수 있는 환경을 갖추게 되었음

• 보안 솔루션들에서 한가지 공통적인 태스크는 새로 다운로드 받거나 설치한 응용프로그램의 악성 여부를 판정하는 것임

• 지금까지의 접근 방식은 지극히 기본적인 일종의 전문가 시스템으로, 응용프로그램의 서명이 그 동안 알려진 멀웨어의 패턴과 일치하는지 여부를 조사하는 것임

• 하지만 이러한 표준적인 바이러스 대응 방식은 약점이 있는데, 새로운 멀웨어의 출현에 맞춰 지속적으로 업데이트가 필요하다는 점과 틈이 생기기 쉽다는 점

• 즉, 멀웨어에 아주 작은 수정만 가하더라도 감지 기능을 쉽사리 빠져나가기 때문에 시스템이 침투당하게 되는 약점이 있음

◈ 딥러닝(Deep Learning)의 방법으로 이런 약점을 해결하는 것을 목표로 하고 있는 스타트업 중 주목받고 있는 곳 중 하나는 이스라엘의 ‘딥 인스팅크트(Deep Instinct)’임

• 보안 시스템의 훈련에 사용할 수 있는 멀웨어 표본 중 지금까지 알려진 것은 약 10억 개에 이르는데, 딥 인스팅크트는 이를 활용한 문제 해결을 시도하고 있음

• 딥러닝은 다양한 분야에 혁명적인 변화를 가져오고 있는데, 가령 컴퓨터 비전은 매년 20~30%의 진화를 이루고 있으며, 인간의 영역을 넘어서는 시각적 능력에 이르는 것도 시간문제라는 전망이 나오고 있음

• 음성인식 분야 역시 딥러닝을 통해 급속한 발전을 이루고 있는데, 이와 같은 일이 사이버 보안 영역에서도 일어나지 않을 이유가 없다는 것이 딥 인스팅크트의 출발점

• 물론 이 스타트업은 확률 기반의 기계학습 시스템에도 한계는 있다고 말하고 있는데, 우선 최적의 결과를 내기 위해 인간 전문가가 식별하고, 가중치를 두고, 튜닝해야 할 많은 요소들이 너무 많이 있다는 것

• 반면 역시 셀 수 없는 많은 요소들이 너무 사소하거나 관련이 없는 것으로 버려지고 있는데, 딥 인스팅크트는 대부분의 데이터가 버려지고 있다고 보고 있음

◈ 딥 인스팅크트가 채택한 방식은 멀웨어로 알려진 표본 모두를 이 기업 연구소의 딥러닝 시스템에 훈련시키는 것임

• 이 훈련 과정에는 약 하루가 소요되고 데이터 분석에는 고성능 GPU가 필요한데, 훈련 결과 얻게 되는 시스템 크기는 약 1 기가바이트로 대부분의 응용프로그램에 사용하기에는 너무 크기 때문에, 이 기업은 약 20 메가바이트 정도로 크기를 줄였음

• 그 결과, 모바일을 포함한 모든 최종 단말 장치에 설치할 수 있게 되었으며. 처리 속도가 느린 장치에서도 침입해 오는 위협을 몇 밀리 세컨드 안에 분석 가능하게 되었음

• 보통의 파일 크기는 1 메가바이트 가량이기 때문에 탐지와 분석에는 1 밀리 초도 채 걸리지 않는데, 복잡한 처리는 연구소의 첨단 인프라에서 수행되고 고객 쪽에 설치되는 것은 매우 작은 처리장치이며, 고객들이 모든 복잡한 부분을 다 보는 것은 아님

• 반면 연구소에서는 새로운 멀웨어 표본 데이터를 축적하고, 3~4 개월마다 최종 단말의 각 장치에서 작동하는 두뇌에 업데이트를 일괄 배포하는데, 흥미로운 점은 두뇌를 6개월간 업데이트 하지 않더라도 새로운 멀웨어 파일을 탐지할 수 있다는 것

◈ 공격자가 수정을 가해 새로운 멀웨어 변종을 만들어 내더라도 탐지에 전혀 문제가 없다는 점이 바로 보안 시스템에서 기계학습 방식의 매우 우수한 장점임

• 매일 엄청난 수의 새로운 멀웨어 표본이 출현하고 있지만, 그 대부분은 기존의 멀웨어를 극히 경미하게 변화시키고 있을 뿐임

• 실력 있는 공격자나 국가 주도로 새로운 제로-데이 공격을 하더라도 80%는 기존의 공격과 같은데, 지금까지의 보안 기법에서는 이를 검출하지 못했지만 딥러닝은 쉽게 검출할 수 있음

• 딥 인스팅크트는 현재 써드파티 테스트 기관과 공동으로 딥러닝 방식의 결과를 정량화 하는 작업을 진행 중인데, 포춘500대 기업에 속한 고객사를 대상으로 한 초기 테스트 결과 기존 솔루션에 비해 멀웨어 검출율이 20~30% 높게 나타났다고 함

• 딥 인스팅크트는 미국의 한 대형 은행에서 10만 개의 파일에 대한 테스트를 실시했는데, 은행이 사용하던 기존 보안 솔루션은 테스트 당일 아침 최신 업데이트를 했고, 자신들의 솔루션은 마지막 업데이트가 2개월 전에 이루어진 상황

• 그러나 검출율은 기존 솔루션이 40%였던 반면, 딥 인스팅크트의 솔루션은 99.9%로 시시각각 생성되는 새로운 멀웨어를 거의 모두 감지한 것으로 나타남

• 이 대목에서 하나 재미있는 것은, 비록 딥러닝 방식이 적용되어 검출에 성공했다 하더라도, 어떻게 검출했는지 그 과정이 반드시 설명되는 것은 아니라는 점

◈ 딥러닝 시스템이 가지는 약점 중 하나가 해답에 이르는 길을 명확히 설명할 수 없다는 것이긴 하지만, 반대로 정확한 설명을 목표로 하는 제품도 있음

• 미국의 스타트업 ‘뉴토니안(Nutonian)’이 독자적으로 개발한 인공지능(AI) 엔진 ‘유레카(Eureqa)’는 어떤 일들이 왜 일어났는지를 찾아내는 것이 주 업무임

• 무슨 일이 있었는지, 그들 사이의 관계는 무엇인지에 대해 가장 간단하고 우아한 설명 방법을 찾는 것이 유레카의 목표인데, 가령 물리적 데이터를 제공하면 유레카는 뉴턴의 운동 법칙을 재발견 할 수 있다고 함

• 뉴토니안은 유레카 AI 엔진을 연구자에게 무상으로 제공하고 있는데, 유레카를 이용한 연구가 학술 논문에서 다루어 진 사례는 이미 500건 이상으로, 가령 의학 분야에서 노화에 따른 시력감퇴나 맹장염 등의 질병을 진단하는 새로운 모델을 찾는 데 도움을 유레카는 도움을 주고 있음

• 이 유레카는 사이버 보안 영역에서도 응용할 수 있는데, 가장 어려운 문제 중 하나인 사이버 공격의 구조를 분절하는 프로세스에 유레카 AI를 응용하면 이 절차를 자동으로 처리 할 수 있음

• 유레카는 클라우드 기반 서비스 형태로 가입 고객에게 제공되는데, 최초 데이터의 조사에만 1시간 정도 소요될 뿐 그 이후에는 매우 신속하게 답변을 얻을 수 있으며, 이전에는 몇 달 혹은 몇 년씩 시간을 들여 얻은 결과를 몇 분 만에 얻을 수 있다고 함

◈ 약간씩 수정된 변종은 딥러닝으로 자율 탐지가 가능하다 해도, 사이버 보안의 세계는 상황이 급변하기 때문에 어떤 기계학습 시스템이라도 정기적인 업데이트가 매우 중요함

• 사람들의 생각과 행동은 항상 이전과 전혀 다른 새로운 것으로 인해 변화해 나가는 만큼, 정기적인 업데이트 없이는 시스템이 노후화 해 버리기 때문

• 기업의 직원들은 새로운 일들을 시작하며, 벤더는 응용프로그램을 개편하고, 소비자는 구매 패턴을 바꾸며, 해커는 기존의 시스템을 회피하기 위해 특별히 고안된 새로운 멀웨어를 끊임없이 만들어 내고 있음

• 상황이 이렇다 보니 보안 벤더들은 드러난 문제들을 모두 해결한 업데이트 버전을 개발하는데 시간을 소요해야 하며, 다음 번 업데이트가 나올 때까지 시스템에 상당한 취약 기간이 발생할 수 있음

• 통상 해커들은 보안 소프트웨어를 구매한 다음 이를 깰 방법을 찾아낼 때까지 다양한 공격을 시도하며, 방법을 알아내면 다음 번 업데이트가 나올 때까지 해당 소프트웨어의 모든 고객들을 표적으로 공격을 할 수 있음

• 이런 문제를 해결하기 위한 방법의 하나로 미국의 ‘매서지 커뮤니케이션(Masergy Communications)’은 현재 대다수 보안 제품 벤더가 채택하고 있는, 모든 고객을 획일적으로 방어하는 방식에서 탈피할 것을 제안하고 있음

◈ 매서지 커뮤니케이션은 사내 패턴, 유사 기업 패턴, 산업 전체 패턴, 글로벌 패턴을 알아내는 작업을 하고, 각각 다른 주기로 업데이트 하는 방법을 제안하고 있음

• 매서지는 일정 수의 글로벌 요인을 이용하여 의심스러운 동작이 발생할 가능성을 탐색한 후, 이를 기업의 고유한 로컬 지표와 함께 조합함

• 글로벌 시스템이 살필 수 있는 입력 정보의 수에는 한계가 있고 공간이 매우 넓기 때문에 우선은 출현 빈도가 높은 특징들만 탐색함

• 그 다음엔 로컬에 초점을 맞추며 보다 많은 정보 입력을 받게 되는데, 로컬 모델에서는 정보들을 압축하여 보다 작은 특징의 집합으로 압축할 필요가 없으며, 이를 통해 고객별 특수성과 훨씬 높은 정확성을 얻을 수 있음

◈ 로컬 및 글로벌을 결합하는 기술은 미국의 ‘어큐어티 솔루션(Acuity Solutions)’도 이용하고 있는데, 이 회사는 기계학습을 활용하여 사이버 위협을 탐지하는 장비를 개발함

• 이 기업이 개발하는 ‘블루벡터(BluVector)’ 시스템은 미국 정부기관의 첨단 연구 프로그램을 기반으로 하고 있으며, 다년간 개발된 우수 소프트웨어를 이용하여 잘 짜인 코드의 양상이 어떤 것인지를 학습함

• 블루벡터의 엔진은 코드의 일부를 검사한 후, 잘 짜인 코드라면 보통 있어야 할 특징들이 이 코드 조각에 있는지 여부를 판정하여 알려주는 기능을 수행하며, 또한 이 과정에서 각 고객으로부터 새로운 학습을 엔진에 내재화함

• 어큐어티 솔루션은 고객에게 제공하기 전에 엔진을 사전에 훈련시키지만 그 이후부터 엔진은 마치 둥지를 떠난 아이처럼, 고객의 환경 속에서 학습을 계속하게 됨

• 주 엔진은 글로벌 데이터를 기반으로 분기 마다 업데이트가 적용되지만, 각 고객사에만 해당되는 시스템 내에서 공유되지 않음

• 즉, 이 제품은 고객의 환경에 따라 조금씩 다르게 구축되며, 개별 고객에 맞게 특수하게 맞춤화 되는 것이고, 따라서 해커가 이 제품을 구입하여 방어를 빠져 나갈 수 있는 코드를 발견하더라도 별다른 도움이 되지 않음

• 어큐어티 솔루션에 따르면, 이것은 이동형 방어 시스템이며, 고객의 환경에만 특화된 기술이기 때문에 리버스 엔지니어링은 불가능함

◈ AI를 적극 수용하려는 최근의 보안 업계 움직임에 대해, 일부 전문가들은 보안 분야에서 AI는 만능이 아니라며 마케팅 차원에서 AI가 남용되는 현상에 우려를 표하기도 함

• 보안 전문기업 트렌드 마이크로는 보안 기술은 AI에 한정할 수 없으며, 패턴 매칭, 행동 검지, 웹 평판, 포렌식, 샌드박스 같은 대응 기술들은 보안이라는 큰 틀 내에서 모두 특기나 적용되는 맥락이 다른 것이라고 지적

• 또한 최근 기계학습이나 딥러닝을 응용한 보안 어플라이언스이나 클라우드 기반 보안 시스템이 잇따라 등장하는 것에 대해서도, 자체 조사결과 실행파일 형태의 멀웨어 탐지 능력은 높지만 스크립트나 매크로 형태의 멀웨어는 거의 감지 못했다고 설명

• 트렌드 마이크로는 최신 AI 기술을 사용하지 않은 보안 솔루션이라고 해서 안전하지 못하다고 말할 수는 없으며, 한 물 간 것으로 치부되는 기존 기술을 AI와 조합해 다층적인 방어 시스템을 구축하는 것이 필요하다고 주장

• 공격을 하는 것은 실제로 릴레이 서버나 멀웨어가 아니라 그 뒤에 있는 사람이고 사람은 AI보다 훨씬 지능적이기 때문에, 성숙한 기술과 새로운 기술을 결합해 몇 단계의 방어막을 통해 해커들에게 스트레스를 주고 침해 동기를 없애는 것이 중요하다는 것

◈ 그러나 향상된 AI 기술이 보안 기술에 적용됨에 따라 사이버 보안 시스템이 보다 신속하고 유연한 대응이 가능해지게 될 것이라는 점에는 대부분의 전문가들이 동의

• 알파고를 통해 널리 알려진 딥러닝 기술 즉, 수 많은 패턴을 학습한 후 스스로 규칙을 생성해 주어진 태스크를 처리하는 능력은 보안 분야에도 적용되어 기존의 방식보다 더 나은 성과를 낼 수 있음이 확인되고 있다는 것

• 지금까지 사이버 보안이 새로운 형태의 창이 등장하면 그것을 막기 위해 방패를 수정하는 수동적 방식이었다면, AI의 적용을 통해 확률 높은 임기응변적 대응과 나아가 새로운 창의 형태를 예측할 수 있는 선제적 방식으로 변화할 가능성도 보이고 있음

• 보안 기술의 접근성 측면에서도, 향상된 클라우드에 AI 기술이 탑재되면서 모바일 네트워크에 접속된 모든 기기에서 최신의 보안 기술을 동시에 이용할 수 있는 환경이 구축되고 있다는 것은 큰 발전으로 볼 수 있음

• 이런 점을 긍정적으로 보아 벤처캐피털들은 2017년 사이버 보안 시장은 인공지능(AI)이 지배하게 될 것이란 전망을 내놓고 있음

◈ 반면 보안 시스템에서 AI의 활용이 점차 늘어가는 상황은 향후 사이버 보안 분야에서도 AI가 인간을 대체할 가능성이 있음을 시사한다는 점은 곱씹어볼 필요가 있음

• 지금까지 사이버 보안은 프로그래밍이 탁월한 사람과 사람 사이의 경쟁이라는 인식이 강했으나, 점차 방어에서 인공지능의 역할이 늘어나게 될 가능성이 엿보이고 있음

• 물론 현 단계에서 인간과 AI의 해킹 공격과 방어 실력은 큰 차이가 나기 때문에 동등한 수준에서 논의할 수는 없지만, 알파고의 사례에서 보듯 아직 멀었다고 느낀 거리가 어느 시점에 좁혀질 지는 예측하기 어려움

• 기술 발전에 따른 인간 노동의 대체 효과가 기술이 단순 노동을 대신할 때보다 사람의 지식과 경험이 녹아 있는 일을 대신할 때 극대화된다는 점을 감안하면, 장기적으로 사이버 보안 본야 역시 AI의 역할이 커질 것으로 예상해 볼 수 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

사람돈물건 흐름분석으로 금융범죄와 테러 탐지.pdf

◈ 에스토니아의 ‘리얼시스템(RealSystem)’은 관계 기관의 협력을 얻어 사람·물건·돈의 흐름을 시각화하여 내부자 거래 및 불법 송금 등의 징후를 탐지해 내는 솔루션을 제공 중

• 솔루션의 명칭은 ‘VizKey(비즈키)’로 개인과 회사 간의 자금 이동과 전화, 물류 등의 데이터를 관계 기관의 협력을 얻어 수집한 후 사람·물건·돈에 대한 다양한 데이터를 분석하여 언뜻 알기 힘들었던 개인과 기업의 관계를 그래프로 도식화 함

• 분석 대상 데이터에는 은행계좌 간 입출금 내역, 통화 기록, 편지나 물품의 배송 기록, SNS 게시물, 휴대전화의 위치 정보, 주소, 친족 관계를 나타내는 호적 정보 등이 포함

• 문자 또는 숫자라면 종류와 형식을 불문하며, 비공개 데이터와 관련해서는 경찰 기관과 은행, 증권사 등에서 범죄 수사에 관한 비밀 유지 계약을 맺고 제공하게 된다고 함

• 누가 누구와 서로 연락을 하고 있는지, 돈의 입출이나 주식 거래가 빈번한 사람의 친척 중에 내부자가 있는지 등의 관계를 그래프화 하는데, 예를 들어 어떤 종목의 주식을 단기간에 매매한 증권 계좌 보유자 간의 관계성을 분석함

◈ 리얼시스템은 수작업으로 하는 범죄 수사는 한계에 가까워지고 있으며 데이터를 바탕으로 정확한 팩트를 알아내는 작업이 필요하다며 개발 배경을 설명

• 지금까지는 대상 종목의 거래 이력을 개별적으로 살펴봐야 했고, 계좌 보유자에 대해서 등록하는 데이터는 친족의 근무처 정도여서 수작업으로 찾아낼 수 있는 것은 주로 직접적인 인간 관계에 불과했으므로, 이런 문제를 해결하기 위해 개발했다고 함

• 서비스의 응용 범위는 넓어서, 내부자 거래와 불법 송금, 돈세탁(자금 세탁) 등 금융 범죄 외에도, 여러 국가에서 마약 수사와 인신 매매, 밀수, 스파이, 테러 등 범죄 수사에 사용되고 있다고 함

• 예를 들어 선박의 화물의 내용과 선주의 신원, 해당 은행계좌 등의 데이터를 분석하고 경찰 기관이 가진 범죄자 목록(블랙리스트)과 비교하여 용의자를 추려 낸다고 함

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

ARM IoT 보안 강화.pdf

◈ ARM의 연례 행사인 ‘ARM 테크 심포지아 2016(ARM Tech Symposia 2016)’에서 르네 하스 부회장은 소프트뱅크에 인수 된 이후의 사업 계획에 대해 기조 연설

• 기조 연설은 ARM의 IoT 전략, M&A 이후 소프트뱅크 그룹의 역할에 초점이 맞춰졌는데, 양사의 비전은 동일하며 이번 인수를 통해 ARM의 IoT 전략이 더욱 공격적으로 전개될 수 있는 환경이 구축되었다고 M&A의 의의를 평가

• 소프트뱅크와는 10년 전부터 파트너십이 형성되어 왔기 때문에, 양사의 임원들 사이에서는 ARM이 소프트뱅크 그룹 산하로 편재되는 것에 전혀 위화감이 없다고 설명

• 소프트뱅크는 ARM 인수를 추진하며 영국 정부와 인원을 두 배로 늘린다고 약속하고 있으며, 이에 따라 ARM은 향후 5년 안에 글로벌 인원을 2천명 규모로 늘릴 예정

• 일반적으로 기업 인수 시에는 조직과 인력의 구성에 효율화를 명목으로 감원을 수반하는 경우가 많지만, ARM은 IoT 전략을 추진하기 위해 고용을 늘릴 방침이라고 함

◈ ARM은 2013년과 2016년에 자체적으로 실시한 IoT 관련 보고서를 소개하며, IoT의 확산에 있어 ‘보안’이 필수적인 요소가 될 것으로 전망하였음

• ARM의 자체 보고서에 따르면 2013년 조사 때 3년 이내에 IoT를 검토하겠다고 응답 한 기업은 90% 이상에 달했으며, 2016년에 IoT가 실제로 비즈니스에 영향을 미치고 있다고 응답한 기업은 75%에 달했음

• ARM의 보고서에 따르면, IoT의 진전에 따라 보안 강화의 필요성을 검토하는 기업이 많았으며, 이에 따라 ARM에서는 IoT 장치뿐만 아니라 네트워크 및 클라우드 보안을 고려한 플랫폼 개발을 목표로 한다고 밝힘

• 하스 부회장은 구체적으로는 칩에 ‘트러스트 존(Trust Zone)’이라는 보안 기능을 탑재하여 세 가지 차원의 보안을 강화하겠다고 밝혔음 우선 ‘장치 보안’을 위해

• 첫번째는 ‘장치 보안’을 보장하는 것이고, 두 번째는 ‘통신 보안’인데, 이를 위해 통신사 등 협력업체와 연계해 암호화, 와이파이 기술, 보호 프로토콜 등을 공동 개발

•  IoT 기기는 종류에 따라서 수십 년 동안 사용되는 제품도 있으므로, 보안 업데이트 및 장치 관리를 보장하는 구조가 반드시 필요하다는 것

• IoT는 농업, 의료, 자동차 등으로 응용 범위가 점점 넓혀가고 있는데, 이들 분야는 동시에 사람의 건강과 목숨과 관계되는 분야이므로, 앞으로 모든 IoT 기기의 보안 대책 마련이 필요하다고 강조

◈ 하스 부회장은 ARM 칩의 IP(지적 재산권) 라이선스 사업에서와 마찬가지로 혁신적 IoT를 위해서도 최적의 생태계 구축이 필요할 것이라 전망

• 전형적인 수직 통합 비즈니스였던 휴대전화 사업과 달리, 스마트폰 분야는 단말기, 반도체, 앱 등 연관 업계가 생태계를 구축함으로써 성공을 거두었는데, IoT 비즈니스에서도 ARM 혼자 뭔가를 이룰 수는 없으며 다양한 산업과 연계가 필요할 것이라 말함