2017.10.25

머신러닝과 사이버 공격이 만나면… “정교함과 자동화가 만나 위력적일 것”

Tamlin Magee | Computerworld UK
머신러닝 위협 탐지 및 방어 기업인 다크트레이스(Darktrace)는 지난 몇 년 사이 사이버 범죄 업계에서 일종의 스타로 떠올랐다. 이 회사의 핵심인 자율 머신러닝 기술은 최고의 인공지능 기반 보안이라는 명성을 얻었다. 그런데 사이버 범죄 연구의 최첨단에 선 이들이 우려하는 것은 무엇일까?

지난 달 말 런던에서 열린 IP 엑스포(IP Expo)에서 다크트레이스의 사이버 분석 책임자인 앤드류 숀체브를 만났다.

숀체브는 “많은 솔루션이 이전의 공격을 살펴보고 이를 통해 배우려고 한다. 따라서 인공지능과 머신러닝도 이전에 본 것을 중심으로 학습하도록 구축된다”면서, “예를 들어, 은행 트로이 목마를 탐지할 수 있는 머신러닝 분류기와 같은 것을 만들면 상당히 효과적”이라고 말했다.

그러나 그 이면에 무엇이 있을까? 개발 업체들이 위협 탑지에서 이공지능을 본격적으로 이용한다면, 그 반대편, 범죄 세계에서도 마찬가지 아닐까? 현재 해커들은 일부 업체들이 주장하는 것만큼의 정교한 기술을 갖고 있을까?

방어에서 머신러닝이 강력한 우위를 증명했던 사례를 살펴보면, 머신러닝이 공격자에게 유용할 수 있는 부분도 이해할 수 있다.

숀체브는 “기술적으로 단순한 공격이 효과가 좋다. 개조된 익스플로잇, 탐지를 회피하도록 설계된 맞춤형 악성코드 등의 현란함과는 거리가 먼 네트워크 침해가 많이 발생한다. 많은 경우, 암호 저도, 피싱과 같이 오래된 수법”이라고 말했다.

문제는 이러한 공격이 여전히 매우 효과적이라는 것이다. 탐지하기가 무척 어렵다. 과거 직원의 인증 정보를 사용해 서버가 침해되는 경우, 직원이 개인적인 일과 업무에 동일한 암호를 사용하면 안 된다는 규칙을 준수하지 않는 경우가 많다. 데이터가 침해되고 암호가 유출되면 이 암호는 거래, 공유되는 데이터베이스에 등록된다. 이렇게 유통되는 암호는 기업 시스템에서 통할 가능성이 꽤 높다.

이런 공격에는 어떤 교묘한 수법도 없고, 본질적으로 악성 요건에도 부합하지 않는다. 정책 위반에 따른 위협도 아니다. 이와 같은 공격은 누군가가 시스템 접근 권한, 파일에 대한 접근 권한이 있는 암호를 사용한 인증 공격이다. 사기, 기반이지만 기술적으로 볼 때 접근 통제 위반 측면에서 악성으로 구분할 수 없기 때문에 탐지가 어렵다.

단순히 의심스럽게 행동하는 것으로는 기술적인 지표도 무용지물이다. 누군가가 백도어를 통해 네트워크 접근 권한을 획득하려고 시도하는 경우보다 훨씬 더 탐지하기가 어렵다. 그래서 인간처럼 행동하는 인간의 예측할 수 없고 까다로운 복잡성을 효과적으로 분석하기 위해 행동 이해와 인공지능이 사용된다.

숀체브에 따르면, 다크트레이스는 아직 진정한 머신러닝 공격을 발견하지 못했다.

숀체브는 “이 분야는 다크트레이스가 집중하는 분야이며 그 위력을 잘 알고 있기 때문에 공격자가 사용할 수 있는 인공지능 기반 악성코드와 툴킷이 광범위하게 확산되고 이용되는 단계에 이르지 않을까 매우 우려하고 있다”고 말했다.

이와 같은 생각은 이미 우리에게 익숙한 모든 공격에 적용할 수 있다. 피싱 공격을 보면 대부분은 ‘아무나 결려라’는 식의 무차별 살포 공격이다. 누군가 미끼를 물면 성공이다.

반면 특정 목표를 정해 감행되는 스피어피싱의 경우 공격자가 목표물에 더 세심하게 주의를 기울이면서 목표물의 소셜 미디어 계정을 스토킹하고, 이를 기반으로 손체브가 ‘인간의 정상성 확인’이라고 칭하는 단계를 통과할 만큼 설득력 있는 이메일로 타인을 속일 수 있는 프로필을 구축해야 한다.

손체브는 ‘우려되는 점은 인공지능을 사용해 이 프로세스를 자동화하는 것이다. 인공지능 시스템을 학습시켜 의심 테스트를 통과하는 피싱 이메일을 만든다. 다량의 정상 이메일을 사용해 인공지능 분류기를 학습시키고 어떤 요소가 사람들을 속이는 데 효과적인지 알 수 있다”고 말했다.

그 단계에 이르러서 광범위하게 확산된다면 누구나 아무런 장벽 없이 모든 규모의 조직을 대상으로 사용할 수 있게 된다.

숀체브는 “지금은 정부 지원 공격 그룹이 핵심 목표물을 상대로 공격할 때나 사용되는 정밀한 기회감염성 공격이 중소규모의 기업을 상대로 한 공격에서도 가능해진다”며, “그것이 정말 우려되는 점”이라고 덧붙였다. editor@itworld.co.kr
 


2017.10.25

머신러닝과 사이버 공격이 만나면… “정교함과 자동화가 만나 위력적일 것”

Tamlin Magee | Computerworld UK
머신러닝 위협 탐지 및 방어 기업인 다크트레이스(Darktrace)는 지난 몇 년 사이 사이버 범죄 업계에서 일종의 스타로 떠올랐다. 이 회사의 핵심인 자율 머신러닝 기술은 최고의 인공지능 기반 보안이라는 명성을 얻었다. 그런데 사이버 범죄 연구의 최첨단에 선 이들이 우려하는 것은 무엇일까?

지난 달 말 런던에서 열린 IP 엑스포(IP Expo)에서 다크트레이스의 사이버 분석 책임자인 앤드류 숀체브를 만났다.

숀체브는 “많은 솔루션이 이전의 공격을 살펴보고 이를 통해 배우려고 한다. 따라서 인공지능과 머신러닝도 이전에 본 것을 중심으로 학습하도록 구축된다”면서, “예를 들어, 은행 트로이 목마를 탐지할 수 있는 머신러닝 분류기와 같은 것을 만들면 상당히 효과적”이라고 말했다.

그러나 그 이면에 무엇이 있을까? 개발 업체들이 위협 탑지에서 이공지능을 본격적으로 이용한다면, 그 반대편, 범죄 세계에서도 마찬가지 아닐까? 현재 해커들은 일부 업체들이 주장하는 것만큼의 정교한 기술을 갖고 있을까?

방어에서 머신러닝이 강력한 우위를 증명했던 사례를 살펴보면, 머신러닝이 공격자에게 유용할 수 있는 부분도 이해할 수 있다.

숀체브는 “기술적으로 단순한 공격이 효과가 좋다. 개조된 익스플로잇, 탐지를 회피하도록 설계된 맞춤형 악성코드 등의 현란함과는 거리가 먼 네트워크 침해가 많이 발생한다. 많은 경우, 암호 저도, 피싱과 같이 오래된 수법”이라고 말했다.

문제는 이러한 공격이 여전히 매우 효과적이라는 것이다. 탐지하기가 무척 어렵다. 과거 직원의 인증 정보를 사용해 서버가 침해되는 경우, 직원이 개인적인 일과 업무에 동일한 암호를 사용하면 안 된다는 규칙을 준수하지 않는 경우가 많다. 데이터가 침해되고 암호가 유출되면 이 암호는 거래, 공유되는 데이터베이스에 등록된다. 이렇게 유통되는 암호는 기업 시스템에서 통할 가능성이 꽤 높다.

이런 공격에는 어떤 교묘한 수법도 없고, 본질적으로 악성 요건에도 부합하지 않는다. 정책 위반에 따른 위협도 아니다. 이와 같은 공격은 누군가가 시스템 접근 권한, 파일에 대한 접근 권한이 있는 암호를 사용한 인증 공격이다. 사기, 기반이지만 기술적으로 볼 때 접근 통제 위반 측면에서 악성으로 구분할 수 없기 때문에 탐지가 어렵다.

단순히 의심스럽게 행동하는 것으로는 기술적인 지표도 무용지물이다. 누군가가 백도어를 통해 네트워크 접근 권한을 획득하려고 시도하는 경우보다 훨씬 더 탐지하기가 어렵다. 그래서 인간처럼 행동하는 인간의 예측할 수 없고 까다로운 복잡성을 효과적으로 분석하기 위해 행동 이해와 인공지능이 사용된다.

숀체브에 따르면, 다크트레이스는 아직 진정한 머신러닝 공격을 발견하지 못했다.

숀체브는 “이 분야는 다크트레이스가 집중하는 분야이며 그 위력을 잘 알고 있기 때문에 공격자가 사용할 수 있는 인공지능 기반 악성코드와 툴킷이 광범위하게 확산되고 이용되는 단계에 이르지 않을까 매우 우려하고 있다”고 말했다.

이와 같은 생각은 이미 우리에게 익숙한 모든 공격에 적용할 수 있다. 피싱 공격을 보면 대부분은 ‘아무나 결려라’는 식의 무차별 살포 공격이다. 누군가 미끼를 물면 성공이다.

반면 특정 목표를 정해 감행되는 스피어피싱의 경우 공격자가 목표물에 더 세심하게 주의를 기울이면서 목표물의 소셜 미디어 계정을 스토킹하고, 이를 기반으로 손체브가 ‘인간의 정상성 확인’이라고 칭하는 단계를 통과할 만큼 설득력 있는 이메일로 타인을 속일 수 있는 프로필을 구축해야 한다.

손체브는 ‘우려되는 점은 인공지능을 사용해 이 프로세스를 자동화하는 것이다. 인공지능 시스템을 학습시켜 의심 테스트를 통과하는 피싱 이메일을 만든다. 다량의 정상 이메일을 사용해 인공지능 분류기를 학습시키고 어떤 요소가 사람들을 속이는 데 효과적인지 알 수 있다”고 말했다.

그 단계에 이르러서 광범위하게 확산된다면 누구나 아무런 장벽 없이 모든 규모의 조직을 대상으로 사용할 수 있게 된다.

숀체브는 “지금은 정부 지원 공격 그룹이 핵심 목표물을 상대로 공격할 때나 사용되는 정밀한 기회감염성 공격이 중소규모의 기업을 상대로 한 공격에서도 가능해진다”며, “그것이 정말 우려되는 점”이라고 덧붙였다. editor@itworld.co.kr
 


X