보안을 위한 머신러닝 사용 사례 5가지

"머신러닝은 조직이 직면한 보안 위협을 분석, 직원들이 더 가치가 높고 전략적인 업무에 초점을 맞출 수 있도록 도와준다. 또한 '차세대' 워너크라이(WannaCry)에 대한 '해결책'이 될 수도 있다."


Credit: Getty Images Bank

머신러닝을 가장 간단히 정의하면, '컴퓨터가 명시적인 프로그래밍 없이도 학습할 수 있는 기능(능력)'이다. 수많은 데이터 세트와 머신러닝 알고리즘을 사용해 행동 모델을 구축하고, 이 모델과 새로 입력한 데이터를 사용해 미래를 예측한다. 예를 들어, 넷플릭스는 기존 시청 기록을 토대로 새로운 TV 시리즈를 추천한다. 자율주행 자동차는 보행자로부터의 위험 접근 정보를 토대로 도로 환경과 상태를 학습한다.

그렇다면, 정보보안 분야의 머신러닝 사용 사례는 무엇일까? 머신러닝은 기업이 위협을 더 효과적으로 분석하고, 공격과 보안 사고에 더 효과적으로 대응하도록 도움을 줄 수 있다. 또한 과거 전문성이 미흡한 보안 팀이 처리해야 했던 중요하지 않은 업무들을 더 많이 자동화할 수 있다.

향후 보안 분야에서도 머신러닝이 빠르게 확대될 전망이다. ABI 리서치 분석가들은 사이버 보안과 관련된 머신러닝 투자가 빅데이터, 인공지능, 분석 분야에 대한 지출을 2021년까지 960억 달러로 증가시킬 것으로 예측했다. 또한 세계 유수 기술 기업들 가운데 일부는 고객들을 더 효과적으로 보호하는 데 머신러닝을 이용하고 있다.

예를 들어, 구글은 머신러닝을 이용해 안드로이드 기반 모바일 기기의 위협을 분석하고, 감염된 모바일 기기의 악성코드를 찾아 제거하고 있다. 클라우드 인프라 부문의 '거인'인 아마존은 신생 창업업체인 하비스트(harvest.AI)를 인수한 후 머신러닝으로 S3 클라우드 스토리지 서비스에 저장된 데이터를 찾고, 분류하고, 정렬하는 메이시(Macie) 서비스를 런칭했다.

엔터프라이즈 보안 공급업체들 또한 악성코드 탐지 기능을 향상시키기 위해 기존 제품과 신제품에 머신러닝을 통합하는 노력을 경주하고 있다. 제이 골드 어소시에이츠(J. Gold Associates)의 대표이자 수석 분석가 잭 골드는 "수년 전부터 보안 분야의 주요 업체들이 순수한 '시그니처 기반' 시스템 대신 머신러닝 시스템을 이용하고 있다. 행동과 이벤트를 분석하고, 안전하거나 안전하지 못한 여러 소스들로부터 학습을 하기 위해서다. 아직은 초창기다. 그러나 미래에 주요 기술로 자리를 잡을 전망이다. 인공지능과 머신러닝은 보안 처리 방법에 큰 변화를 가져올 것이다"고 설명했다.

이런 변화가 단기간에 발생하지는 않을 것이다. 그러나 이미 머신러닝이 부상하고 있는 분야들이 있다. 도이치 텔레콤 혁신 연구소(Deutsche Telekom Innovation Laboratories)와 이스라엘 벤-구리온 대학 사이버 보안 연구소의 두두 밈란은 "넓은 의미에서 머신러닝과 딥 러닝이 포함되는 AI는 사이버 방어에 도움을 주기 시작했다. 가장 명백한 사용 사례는 엔드포인트와 네트워크의 악성 행위, 부정 행위 탐지 또는 SIEM의 패턴 분석이다. 이런 사용 사례가 계속 증가할 것으로 확신하고 있다. 예를 들어, 서비스 방해 방어, 귀책 사유(책임 소재) 규명, 사용자 행동 수정 분야에 적용할 수 있다"고 설명했다. 보안 분야의 머신러닝 사용 사례를 분류해 정리한 내용은 다음과 같다.

1. 머신러닝을 사용한 악성 행위 탐지와 공격 저지
머신러닝 알고리즘은 기업이 악성 행위를 더 빨리 탐지하고, 공격 시작 전에 이를 저지할 수 있도록 도움을 준다 데이비 파머는 이를 잘 알고 있다. 파머는 2013년 창업 후 머신러닝에 기반을 둔 EIS(Enterprise Immune Solution)으로 큰 성공을 거둔 영국의 신생 업체 다크트레이스(Darktrace)의 기술 책임자로 일하면서 그 영향력을 확인했다.

다크트레이스는 최근 북미의 한 카지노에 도움을 줬다. 구체적으로 개발한 알고리즘으로 '커넥티드 피시탱크(Connected Fish Tank)을 네트워크 진입점으로 활용한' 데이터 유출 공격을 탐지해 냈다. 또한 지난 여름 워너크라이(Wannacry) 랜섬웨어 위기 동안에도 유사한 공격을 저지하도록 도움을 줬다.

파머는 150개 국가에서 20만 명 이상을 감염시킨 랜섬웨어와 관련해, "자사의 알고리즘은 NHS 기관 네트워크에서 몇 초 만에 공격을 탐지했다. 그리고 해당 기관에 피해가 초래되기 전에 위험을 경감했다. 고객 가운데 워너크라이 공격에 피해를 입은 고객은 없다. 여기에는 패칭을 하지 않았던 고객도 포함된다"고 말했다.

2. 머신러닝을 사용한 모바일 엔드포인트 분석
머신러닝은 이미 모바일 기기의 '주류' 기술로 자리를 잡고 있다. 그러나 구글 나우, 애플 시리, 아마존 알렉사 등 음성에 기반을 둔 환경 및 사용자 경험 개선에 초점이 맞춰져 있다.

하지만 보안 분야에도 적용된 사례가 존재한다. 앞서 언급했듯, 구글은 모바일 엔드포인트에 초래되는 위협을 분석하는 데 머신러닝을 사용하고 있다. 또한 기업들은 머신러닝이 계속 증가하는 BYOD와 CYOD(Choose Your Own Device)로 초래되는 위협을 더 안정적으로 보호할 수 있는 기회를 제공할 것으로 판단하고 있다.

지난 10월, 모바일아이언(MobileIron)과 짐페리움(Zimperium)은 기업들이 머신러닝이 통합된 모바일 바이러스 백신 솔루션을 도입할 수 있도록 서로 협력할 계획이라고 발표했다. 모바일아이언은 짐페리움의 머신러닝 기반 위협 탐지 기술과 모바일아이언의 보안 및 컴플라이언스 엔진을 통합하고, 이 통합 솔루션을 판매할 계획이라고 밝혔다.

이는 기기와 네트워크, 애플리케이션에 초래되는 위협을 탐지하고, 그 즉시 자동으로 기업 데이터를 보호하는 데 도움을 줄 전망이다.

다른 개발업체들도 모바일 솔루션을 강화할 방법을 모색하고 있다. 현재 모바일 위협 탐지 및 보호 시장의 선도업체들은 짐페리움, 룩아웃(LookOut), 스카이큐어(시만텍이 인수), 완데라(Wandera) 등이다. 이들 업체는 잠재적인 위협 탐지에 독자 개발한 머신러닝 알고리즘을 사용하고 있다. 완데라는 최근 자체 개발한 위협 탐지 엔진 미:리엄(MI: RIAM)을 공개했다. 기업 모바일 기기를 표적으로 삼는 SLocker 변종 400종 이상을 탐지할 수 있는 것으로 알려져 있다.

3. 머신러닝을 이용한 사람의 분석 능력 및 결과 보강
보안 분야의 머신러닝은 '사람'인 분석가를 돕는 역할을 하는 것이 중요하다. 악성 공격을 탐지하고, 네트워크와 엔드포인트 보안 상태를 분석하고, 취약점을 평가하는 일을 예로 들 수 있다. 현재 가장 크게 주목할 수 있는 분야는 위협 인텔리전스 분야이다.

2016년, MIT CSAIL(Computer Science and Artificial Intelligence Lab)은 분석가가 '짚 더미에서 바늘'을 찾을 수도 있도록 도움을 주는 어댑티브 머신러닝 보안 플랫폼 AI2를 개발했다. 이 시스템은 매일 수백 만의 로그인 정보를 확인, 데이터를 분류한 후 사람 분석가에게 전달할 수 있다.

이는 경고의 수를 매일 약 100개로 줄여준다. CSAIL과 신생 업체인 패턴EX(PatternEx)의 테스트 결과에 따르면, 공격 탐지율이 85%로 향상되고, 오탐지율은 5배가 감소했다.

4. 머신러닝을 이용한 보안 반복 작업 자동화
머신러닝의 효과 가운데 하나는 반복 작업을 자동화, 직원들이 더 중요한 일에 초점을 맞출 수 있도록 도와주는 것이다. 파머에 따르면, 머신러닝은 궁극적으로 사람이 반복적이고 가치가 낮은 의사결정을 내릴 필요가 없도록 만들 것이다.

위협 인텔리전스 분류 같은 작업을 이야기하는 것이다. 파머는 "머신이 랜섬웨어 공격과 같은 '전술적' 부분이나 반복 작업을 처리하면, 사람들은 윈도우 XP 업그레이드 등 전략적인 문제에 더 많은 시간을 투자할 수 있다"고 강조했다.

부즈 알렌 해밀톤(Booz Allen Hamilton)은 이미 이를 실천하고 있다. 보도에 따르면, 이 기업은 보안 분야 인적 자원을 더 효율적으로 활용하는 데 AI 도구를 이용하고 있다. AI는 위협 분류 같은 업무 대신 더 중요한 공격에 초점을 맞추도록 도와준다.

5. 머신러닝을 이용한 제로데이 취약점 제거
머신러닝이 제로데이 공격 위협, 안전하지 않은 IoT 장치를 표적으로 삼는 공격을 중심으로 취약점 제거에 도움을 줄 수 있는 것으로 판단하는 사람들도 있다. 이미 미래지향적인 연구와 활동이 시작된 상태다. 포브스(Forbes) 보도에 따르면, 애리조나 주립 대학(Arizona State University)의 연구팀은 다크 웹의 트래픽 모니터링에 머신러닝을 사용, 제로데이 익스플로잇과 관련된 데이터를 파악하는 연구를 진행하고 있다. 이런 종류의 인사이트는 기업과 기관이 데이터 침해가 발생하기 전에 취약점을 없애도록 도움을 준다.

머신러닝을 둘러싼 '과장'과 오해
그러나 머신러닝이 '만병통치약'은 아니다. 최소한 테스트와 개념 증명 단계인 지금은 그렇다. 여러 단점들이 존재한다. 머신러닝 시스템이 오탐지를 할 수도 있다(알고리즘이 데이터를 토대로 범주를 추론하는 비지도 학습 시스템). 또한 일부 분석가들은 보안 분야의 머신러닝이 '블랙 박스(내부를 파악하기 힘든)' 솔루션이라고 주장한다. CISO들은 머신러닝 기술의 '내부'를 전적으로 확신하지 못한다. 따라서 개발업체, 그리고 머신의 어깨에 신뢰와 책임을 전가할 수밖에 없다.

더 나아가, 일부 보안 솔루션은 머신러닝 솔루션과 거리가 멀다. 파머는 "머신러닝에 기반을 두고 있다고 주장하는 솔루션 가운데 고객 환경에서 필요한 학습을 하지 못하는 솔루션이 대부분이다. 개발업체 클라우드에서 악성코드 샘플을 훈련시킨 모델이 탑재되어 있다. 이를 바이러스 백신 시그니처처럼 고객이 다운로드받는 형태다. 고객 보안에 선행적으로 도움을 주지 않는다. 기본적으로 과거에 바탕을 둔 후행적인 접근법이다"고 설명했다.

여기에 더해 실제 사용하기 전에 알고리즘의 학습에 사용되는 트레이닝 데이터 샘플이 미흡할 경우, 또는 구현이 잘못된 경우 나쁜 결과가 나올 수 있다. 골드는 "머신러닝의 품질은 입력하는 정보의 품질이 결정한다. 쓰레기가 들어가면 쓰레기가 나오는 것이다. 머신러닝 알고리즘 설계가 미흡할 경우, 그 결과를 유용하게 활용할 수 없다. 실험실의 트레이닝 데이터 세트에서 알고리즘이 작동하는 것은 중요하지 않다. 복잡한 네트워크에서 대규모로 작동하는 머신러닝 기반 사이버 보안 솔루션을 구현하는 것이 가장 큰 도전과제다"고 말했다. editor@itworld.co.kr