Search

'BluVector'에 해당되는 글 1건

  1. 2016.12.20 인공지능 접목으로 유연성을 높여가고 있는 보안 시스템

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

인공지능 접목으로 유연성 높아지는 보안시스템.pdf



[ 요 약 ]


지금까지 보안 시스템은 새로운 해킹 수법이 등장하면 이를 최대한 신속하게 감지하고 대응책을 마련한 후 배포하는 수동적 방식이었음. 그러나 최근 인공지능(AI) 기술이 발전하고 활용 범위가 넓어지면서 보안 분야에서도 AI를 접목하려는 시도가 활발히 전개되고 있는데, 바둑 AI 알파고와 유사한 방식으로, 인공지능에 대규모의 침해 패턴을 학습시킴으로써 스스로 방어 규칙을 생성하여 신속히 대처할 수 있는 유연한 보안 시스템을 구축하려는 노력이 대표적



  [ 보 안 ]

 

  ◈ 기계학습의 발전에 따라 보안 시스템에 대한 훈련이 쉬워지게 되었고, 그 결과 보안 시스템은 상황의 변화에 이전보다 유연하게 대응할 수 있는 환경을 갖추게 되었음


보안 솔루션들에서 한가지 공통적인 태스크는 새로 다운로드 받거나 설치한 응용프로그램의 악성 여부를 판정하는 것임


지금까지의 접근 방식은 지극히 기본적인 일종의 전문가 시스템으로, 응용프로그램의 서명이 그 동안 알려진 멀웨어의 패턴과 일치하는지 여부를 조사하는 것임


하지만 이러한 표준적인 바이러스 대응 방식은 약점이 있는데, 새로운 멀웨어의 출현에 맞춰 지속적으로 업데이트가 필요하다는 점과 틈이 생기기 쉽다는 점


, 멀웨어에 아주 작은 수정만 가하더라도 감지 기능을 쉽사리 빠져나가기 때문에 시스템이 침투당하게 되는 약점이 있음


◈ 딥러닝(Deep Learning)의 방법으로 이런 약점을 해결하는 것을 목표로 하고 있는 스타트업 중 주목받고 있는 곳 중 하나는 이스라엘의 딥 인스팅크트(Deep Instinct)


보안 시스템의 훈련에 사용할 수 있는 멀웨어 표본 중 지금까지 알려진 것은 약 10억 개에 이르는데, 딥 인스팅크트는 이를 활용한 문제 해결을 시도하고 있음


딥러닝은 다양한 분야에 혁명적인 변화를 가져오고 있는데, 가령 컴퓨터 비전은 매년 20~30%의 진화를 이루고 있으며, 인간의 영역을 넘어서는 시각적 능력에 이르는 것도 시간문제라는 전망이 나오고 있음


음성인식 분야 역시 딥러닝을 통해 급속한 발전을 이루고 있는데, 이와 같은 일이 사이버 보안 영역에서도 일어나지 않을 이유가 없다는 것이 딥 인스팅크트의 출발점


물론 이 스타트업은 확률 기반의 기계학습 시스템에도 한계는 있다고 말하고 있는데, 우선 최적의 결과를 내기 위해 인간 전문가가 식별하고, 가중치를 두고, 튜닝해야 할 많은 요소들이 너무 많이 있다는 것


<자료> CIO


[그림 1] AI 진화의 3단계(기계학습 시스템이 개와 고양이를 구분하는 방식의 진화)


• 반면 역시 셀 수 없는 많은 요소들이 너무 사소하거나 관련이 없는 것으로 버려지고 있는데, 딥 인스팅크트는 대부분의 데이터가 버려지고 있다고 보고 있음


◈ 딥 인스팅크트가 채택한 방식은 멀웨어로 알려진 표본 모두를 이 기업 연구소의 딥러닝 시스템에 훈련시키는 것임


이 훈련 과정에는 약 하루가 소요되고 데이터 분석에는 고성능 GPU가 필요한데, 훈련 결과 얻게 되는 시스템 크기는 약 1 기가바이트로 대부분의 응용프로그램에 사용하기에는 너무 크기 때문에, 이 기업은 약 20 메가바이트 정도로 크기를 줄였음


그 결과, 모바일을 포함한 모든 최종 단말 장치에 설치할 수 있게 되었으며. 처리 속도가 느린 장치에서도 침입해 오는 위협을 몇 밀리 세컨드 안에 분석 가능하게 되었음


보통의 파일 크기는 1 메가바이트 가량이기 때문에 탐지와 분석에는 1 밀리 초도 채 걸리지 않는데, 복잡한 처리는 연구소의 첨단 인프라에서 수행되고 고객 쪽에 설치되는 것은 매우 작은 처리장치이며, 고객들이 모든 복잡한 부분을 다 보는 것은 아님


<자료> Deep Instinct


[그림 2] 딥 인스팅크트의 딥러닝을 이용한 보안 시스템


• 반면 연구소에서는 새로운 멀웨어 표본 데이터를 축적하고, 3~4 개월마다 최종 단말의 각 장치에서 작동하는 두뇌에 업데이트를 일괄 배포하는데, 흥미로운 점은 두뇌를 6개월간 업데이트 하지 않더라도 새로운 멀웨어 파일을 탐지할 수 있다는 것


◈ 공격자가 수정을 가해 새로운 멀웨어 변종을 만들어 내더라도 탐지에 전혀 문제가 없다는 점이 바로 보안 시스템에서 기계학습 방식의 매우 우수한 장점임


매일 엄청난 수의 새로운 멀웨어 표본이 출현하고 있지만, 그 대부분은 기존의 멀웨어를 극히 경미하게 변화시키고 있을 뿐임


실력 있는 공격자나 국가 주도로 새로운 제로-데이 공격을 하더라도 80%는 기존의 공격과 같은데, 지금까지의 보안 기법에서는 이를 검출하지 못했지만 딥러닝은 쉽게 검출할 수 있음


딥 인스팅크트는 현재 써드파티 테스트 기관과 공동으로 딥러닝 방식의 결과를 정량화 하는 작업을 진행 중인데, 포춘500대 기업에 속한 고객사를 대상으로 한 초기 테스트 결과 기존 솔루션에 비해 멀웨어 검출율이 20~30% 높게 나타났다고 함


딥 인스팅크트는 미국의 한 대형 은행에서 10만 개의 파일에 대한 테스트를 실시했는데, 은행이 사용하던 기존 보안 솔루션은 테스트 당일 아침 최신 업데이트를 했고, 자신들의 솔루션은 마지막 업데이트가 2개월 전에 이루어진 상황


그러나 검출율은 기존 솔루션이 40%였던 반면, 딥 인스팅크트의 솔루션은 99.9%로 시시각각 생성되는 새로운 멀웨어를 거의 모두 감지한 것으로 나타남


이 대목에서 하나 재미있는 것은, 비록 딥러닝 방식이 적용되어 검출에 성공했다 하더라도, 어떻게 검출했는지 그 과정이 반드시 설명되는 것은 아니라는 점


◈ 딥러닝 시스템이 가지는 약점 중 하나가 해답에 이르는 길을 명확히 설명할 수 없다는 것이긴 하지만, 반대로 정확한 설명을 목표로 하는 제품도 있음


미국의 스타트업 뉴토니안(Nutonian)이 독자적으로 개발한 인공지능(AI) 엔진 유레카(Eureqa)는 어떤 일들이 왜 일어났는지를 찾아내는 것이 주 업무임


무슨 일이 있었는지, 그들 사이의 관계는 무엇인지에 대해 가장 간단하고 우아한 설명 방법을 찾는 것이 유레카의 목표인데, 가령 물리적 데이터를 제공하면 유레카는 뉴턴의 운동 법칙을 재발견 할 수 있다고 함


뉴토니안은 유레카 AI 엔진을 연구자에게 무상으로 제공하고 있는데, 유레카를 이용한 연구가 학술 논문에서 다루어 진 사례는 이미 500건 이상으로, 가령 의학 분야에서 노화에 따른 시력감퇴나 맹장염 등의 질병을 진단하는 새로운 모델을 찾는 데 도움을 유레카는 도움을 주고 있음


이 유레카는 사이버 보안 영역에서도 응용할 수 있는데, 가장 어려운 문제 중 하나인 사이버 공격의 구조를 분절하는 프로세스에 유레카 AI를 응용하면 이 절차를 자동으로 처리 할 수 있음


유레카는 클라우드 기반 서비스 형태로 가입 고객에게 제공되는데, 최초 데이터의 조사에만 1시간 정도 소요될 뿐 그 이후에는 매우 신속하게 답변을 얻을 수 있으며, 이전에는 몇 달 혹은 몇 년씩 시간을 들여 얻은 결과를 몇 분 만에 얻을 수 있다고 함


◈ 약간씩 수정된 변종은 딥러닝으로 자율 탐지가 가능하다 해도, 사이버 보안의 세계는 상황이 급변하기 때문에 어떤 기계학습 시스템이라도 정기적인 업데이트가 매우 중요함


사람들의 생각과 행동은 항상 이전과 전혀 다른 새로운 것으로 인해 변화해 나가는 만큼, 정기적인 업데이트 없이는 시스템이 노후화 해 버리기 때문


기업의 직원들은 새로운 일들을 시작하며, 벤더는 응용프로그램을 개편하고, 소비자는 구매 패턴을 바꾸며, 해커는 기존의 시스템을 회피하기 위해 특별히 고안된 새로운 멀웨어를 끊임없이 만들어 내고 있음


상황이 이렇다 보니 보안 벤더들은 드러난 문제들을 모두 해결한 업데이트 버전을 개발하는데 시간을 소요해야 하며, 다음 번 업데이트가 나올 때까지 시스템에 상당한 취약 기간이 발생할 수 있음


통상 해커들은 보안 소프트웨어를 구매한 다음 이를 깰 방법을 찾아낼 때까지 다양한 공격을 시도하며, 방법을 알아내면 다음 번 업데이트가 나올 때까지 해당 소프트웨어의 모든 고객들을 표적으로 공격을 할 수 있음


이런 문제를 해결하기 위한 방법의 하나로 미국의 매서지 커뮤니케이션(Masergy Communications)은 현재 대다수 보안 제품 벤더가 채택하고 있는, 모든 고객을 획일적으로 방어하는 방식에서 탈피할 것을 제안하고 있음


◈ 매서지 커뮤니케이션은 사내 패턴, 유사 기업 패턴, 산업 전체 패턴, 글로벌 패턴을 알아내는 작업을 하고, 각각 다른 주기로 업데이트 하는 방법을 제안하고 있음


매서지는 일정 수의 글로벌 요인을 이용하여 의심스러운 동작이 발생할 가능성을 탐색한 후, 이를 기업의 고유한 로컬 지표와 함께 조합함


글로벌 시스템이 살필 수 있는 입력 정보의 수에는 한계가 있고 공간이 매우 넓기 때문에 우선은 출현 빈도가 높은 특징들만 탐색함


그 다음엔 로컬에 초점을 맞추며 보다 많은 정보 입력을 받게 되는데, 로컬 모델에서는 정보들을 압축하여 보다 작은 특징의 집합으로 압축할 필요가 없으며, 이를 통해 고객별 특수성과 훨씬 높은 정확성을 얻을 수 있음


◈ 로컬 및 글로벌을 결합하는 기술은 미국의 어큐어티 솔루션(Acuity Solutions)도 이용하고 있는데, 이 회사는 기계학습을 활용하여 사이버 위협을 탐지하는 장비를 개발함


이 기업이 개발하는 블루벡터(BluVector) 시스템은 미국 정부기관의 첨단 연구 프로그램을 기반으로 하고 있으며, 다년간 개발된 우수 소프트웨어를 이용하여 잘 짜인 코드의 양상이 어떤 것인지를 학습함



<자료> Acuity Solutions.


[그림 3] 어큐어티 솔루션의 블루벡터 시스템


• 블루벡터의 엔진은 코드의 일부를 검사한 후, 잘 짜인 코드라면 보통 있어야 할 특징들이 이 코드 조각에 있는지 여부를 판정하여 알려주는 기능을 수행하며, 또한 이 과정에서 각 고객으로부터 새로운 학습을 엔진에 내재화함


어큐어티 솔루션은 고객에게 제공하기 전에 엔진을 사전에 훈련시키지만 그 이후부터 엔진은 마치 둥지를 떠난 아이처럼, 고객의 환경 속에서 학습을 계속하게 됨


주 엔진은 글로벌 데이터를 기반으로 분기 마다 업데이트가 적용되지만, 각 고객사에만 해당되는 시스템 내에서 공유되지 않음


, 이 제품은 고객의 환경에 따라 조금씩 다르게 구축되며, 개별 고객에 맞게 특수하게 맞춤화 되는 것이고, 따라서 해커가 이 제품을 구입하여 방어를 빠져 나갈 수 있는 코드를 발견하더라도 별다른 도움이 되지 않음


어큐어티 솔루션에 따르면, 이것은 이동형 방어 시스템이며, 고객의 환경에만 특화된 기술이기 때문에 리버스 엔지니어링은 불가능함


AI를 적극 수용하려는 최근의 보안 업계 움직임에 대해, 일부 전문가들은 보안 분야에서 AI는 만능이 아니라며 마케팅 차원에서 AI가 남용되는 현상에 우려를 표하기도 함


보안 전문기업 트렌드 마이크로는 보안 기술은 AI에 한정할 수 없으며, 패턴 매칭, 행동 검지, 웹 평판, 포렌식, 샌드박스 같은 대응 기술들은 보안이라는 큰 틀 내에서 모두 특기나 적용되는 맥락이 다른 것이라고 지적


또한 최근 기계학습이나 딥러닝을 응용한 보안 어플라이언스이나 클라우드 기반 보안 시스템이 잇따라 등장하는 것에 대해서도, 자체 조사결과 실행파일 형태의 멀웨어 탐지 능력은 높지만 스크립트나 매크로 형태의 멀웨어는 거의 감지 못했다고 설명


트렌드 마이크로는 최신 AI 기술을 사용하지 않은 보안 솔루션이라고 해서 안전하지 못하다고 말할 수는 없으며, 한 물 간 것으로 치부되는 기존 기술을 AI와 조합해 다층적인 방어 시스템을 구축하는 것이 필요하다고 주장


공격을 하는 것은 실제로 릴레이 서버나 멀웨어가 아니라 그 뒤에 있는 사람이고 사람은 AI보다 훨씬 지능적이기 때문에, 성숙한 기술과 새로운 기술을 결합해 몇 단계의 방어막을 통해 해커들에게 스트레스를 주고 침해 동기를 없애는 것이 중요하다는 것


◈ 그러나 향상된 AI 기술이 보안 기술에 적용됨에 따라 사이버 보안 시스템이 보다 신속하고 유연한 대응이 가능해지게 될 것이라는 점에는 대부분의 전문가들이 동의


알파고를 통해 널리 알려진 딥러닝 기술 즉, 수 많은 패턴을 학습한 후 스스로 규칙을 생성해 주어진 태스크를 처리하는 능력은 보안 분야에도 적용되어 기존의 방식보다 더 나은 성과를 낼 수 있음이 확인되고 있다는 것


지금까지 사이버 보안이 새로운 형태의 창이 등장하면 그것을 막기 위해 방패를 수정하는 수동적 방식이었다면, AI의 적용을 통해 확률 높은 임기응변적 대응과 나아가 새로운 창의 형태를 예측할 수 있는 선제적 방식으로 변화할 가능성도 보이고 있음


보안 기술의 접근성 측면에서도, 향상된 클라우드에 AI 기술이 탑재되면서 모바일 네트워크에 접속된 모든 기기에서 최신의 보안 기술을 동시에 이용할 수 있는 환경이 구축되고 있다는 것은 큰 발전으로 볼 수 있음


이런 점을 긍정적으로 보아 벤처캐피털들은 2017년 사이버 보안 시장은 인공지능(AI)이 지배하게 될 것이란 전망을 내놓고 있음


◈ 반면 보안 시스템에서 AI의 활용이 점차 늘어가는 상황은 향후 사이버 보안 분야에서도 AI가 인간을 대체할 가능성이 있음을 시사한다는 점은 곱씹어볼 필요가 있음


지금까지 사이버 보안은 프로그래밍이 탁월한 사람과 사람 사이의 경쟁이라는 인식이 강했으나, 점차 방어에서 인공지능의 역할이 늘어나게 될 가능성이 엿보이고 있음


물론 현 단계에서 인간과 AI의 해킹 공격과 방어 실력은 큰 차이가 나기 때문에 동등한 수준에서 논의할 수는 없지만, 알파고의 사례에서 보듯 아직 멀었다고 느낀 거리가 어느 시점에 좁혀질 지는 예측하기 어려움


기술 발전에 따른 인간 노동의 대체 효과가 기술이 단순 노동을 대신할 때보다 사람의 지식과 경험이 녹아 있는 일을 대신할 때 극대화된다는 점을 감안하면, 장기적으로 사이버 보안 본야 역시 AI의 역할이 커질 것으로 예상해 볼 수 있음


또한 IoT의 본격화에 따라 침해 대응을 해야 할 기기의 수가 기하급수적으로 늘어날 것이고, 해킹에 의한 피해 규모를 가늠할 수 없는 위험사회에 접어들고 있다는 점을 고려하면, 사람에 의한 대응 보다는 AI에 의한 대응이 보다 더 적합할 수도 있을 것임