기대치 높아진 머신러닝 기반 클라우드 보안, 한계도 분명

가드듀티(GuardDuty), 메이시(Macie)와 같은 AWS의 새로운 머신러닝 기반의 클라우드 보안 툴로 전환하는 것이 AWS 고객에는 유리할 수 있다. 하지만 전문가들은 이들 서비스가 방어 장벽을 높여주지만, 정교한 공격자의 공격까지 막아주지는 않는다고 지적한다.

지난 8월 발표된 AWS 메이시 서비스는 사용자의 아마존 S3 버킷 내용을 바탕으로 학습하고, PCI와 HIPPA, GDPR 컴플라이언스를 중심으로 의심스러운 활동을 탐지할 경우 고객에게 경보를 보낸다. 11월 말 발표된 AWS 가드듀티는 메이시를 보완하는 서비스로, 머신러닝을 사용해서 AWS 클라우드트레일(CloudTrail)과 VPC 플로우 로그, AWS DNS 로그를 분석한다. 가드듀티는 메이시와 마찬가지로 이상 현상을 탐지해 고객에게 의심스러운 활동을 알리는 데 중점을 둔다.

곧 출간될 ‘머신러닝과 보안(Machine Learning and Security)’의 저자 클레런스 치오는 “기술적인 관점에서 보면 놀랍다. 수평 플랫폼이 이와 같은 서비스를 제공할 때면 늘 다른 누구도 제공하지 못하는 무언가를 제공한다”고 평가했다.



머신러닝 모델은 알고리즘과 학습 데이터로 구성되며, 모델의 품질은 전적으로 모델이 학습하는 데이터에 따라 좌우된다. 머신러닝을 채택한 클라우드 보안이 뛰어난 이유가 여기에 있다. AWS 같은 클라우드 서비스 업체는 네트워크 전체에 대한 시야를 확보하고 있으므로 무엇이 정상적인 활동이고 무엇이 악의적인 활동일 가능성이 높은지에 관해 머신러닝 모델을 학습시키기가 훨씬 더 쉽다. 치오는 “알고리즘은 장기간 비밀 또는 독점적 자산으로 유지되지 않지만 데이터 소스는 모든 서비스에서 가장 중요한 자산”이라고 설명했다.

조직 간의 위협 인텔리전스 공유가 보편화되고 있지만 어느 한 기업이 가진 데이터의 품질은 아마존과 같은 클라우드 서비스 업체가 확보할 수 있는 데이터에 비해 훨씬 더 낮을 가능성이 크다. 이와 같은 유용한 위협 인텔리전스의 편중은 기업에서 데이터센터를 클라우드로 전환하는 움직임을 가속화하는 요인이 될 것이다.

다만 여기에는 몇 가지 염두에 두어야 할 사항이 있다.

장벽을 높이는 머신러닝
머신러닝 모델의 품질은 전적으로 학습하는 데이터에 따라 좌우된다. 달리 말하면 과거에 본 적이 없는 무언가, 이른바 “검은 백조(black swan)” 이벤트를 탐지하는 데는 서툴다. 엔드게임(Endgame)의 데이터 과학 부문 기술 이사인 하이럼 앤더슨은 “머신러닝에 대한 설명에는 잘못된 것이 상당히 많다”며, “모든 과장된 이야기를 걷어내고 보면 머신러닝이 제공하는 것은 결국 자동화다. 데이터를 주면 머신러닝이 무엇을 찾아야 할지를 알려준다. 사람에게 모든 데이터를 주고 일일이 살펴볼 필요가 없게 해주는 것”이라고 말했다.

AWS의 CISO 스티븐 슈미트 역시 보도 자료에서 “아마존 메이시는 머신러닝을 사용해서 각 조직의 사용자 행동과 콘텐츠를 이해함으로써 더 넓은 시야로 방대한 양의 데이터를 살펴보고 더 정확하게 경보를 보내 고객이 민감한 정보를 찾는 데 시간을 낭비하는 것이 아니라 그러한 정보를 보호하는 데 집중할 수 있게 해준다”고 말했다.

메이시, 가드듀티와 같은 서비스는 클라우드에 저장된 기업 데이터를 위협하는, 부적절하게 구성된 S3 버킷과 같은 명확한 문제점을 찾기에 아주 좋은 수단을 제공한다. 미군/NSA INSCOM 기밀 파일, 수백만 미국 유권자의 데이터 분석 기록, 버라이즌 침해 등 2017년에 발생한 데이터 침해 사건의 상당수는 아마존의 새로운 머신러닝 기반 클라우드 보안이 있었다면 예방이 가능했을 것이다.

그러나 전문가들은 적응력이 뛰어난 공격자를 상대로 한 머신러닝 분류는 아직 해결되지 않은 문제이며, 머신러닝 기반 클라우드 보안 수단은 수준 높은 공격자에게는 효과가 떨어질 가능성이 높다고 경고한다.

예를 들어 맬웨어 가능성을 분류하는 머신러닝 기능은 이진법적으로 일치 또는 불일치만 판단하는 전통적인 안티바이러스 맬웨어 시그니처에 비하면 크게 발전했다. 그러나 머신러닝 기반 맬웨어 탐지는 불확실성을 두고 분류한 다음(예를 들어 “이 실행 파일은 악성일 가능성이 80%”) 추사 조사를 위해 사람에게 파일을 넘긴다.

전문가들은 머신러닝을 사용한 악의적인 활동 탐지는 아직 유아기이며, 클라우드 머신러닝 기능 보안이 공격자가 넘어야 할 벽을 높이긴 하지만 공격 수법을 다양화할 수 있는 숙련된 공격자를 상대로는 효과가 크지 않다고 경고한다. 앤더슨은 비정상 탐지는 생각보다 어려운 일이고 진양성과 위양성 비율 사이에서 항상 타협해야 한다면서 “흔치 않은 무언가를 찾기는 쉽다. 문제는 거의 모든 요소가 흔치 않은 면을 갖고 있다는 사실이다. 진짜 어려운 점은 흔치 않음에서 악의적인 것을 분류해 내는 일”이라고 강조했다.

적응력이 뛰어난 공격자란?
MIT의 연구진은 12월 초 발행한 연구 보고서에서 구글의 인셉션(Inception) V3 머신러닝 이미지 분류기를 속일 수 있다는 것을 입증했다. 연구진은 거북이를 3D 프린터로 인쇄한 다음 가능한 모든 각도에서 인셉션 V3 모델이 이 거북이를 총으로 분류하도록 속였다.

학계의 연구원들이 구글의 최첨단 머신러닝 모델을 속일 수 있다면 정부 주도의 정보 기관은 진작부터 이런한 기능을 확보했고 악성 네트워크 활동을 탐지하도록 설계된 머신러닝 모델을 격파할 기술적 역량을 보유하고 있다고 봐야 한다. 모든 사람이 정부 주도 공격자의 위협을 받을 위치에 있지는 않지만 보안 전문가 브루스 슈나이어가 즐겨 강조하듯이 현재의 학계 공격은 과거의 정부 주도 공격이고 미래의 범죄자 공격이다. 공격은 시간이 지날수록 쉬워질 뿐 더 어려워질 일은 결코 없다. 따라서 얼마 후면 흔한 범죄자들도 머신러닝 기반의 보안 툴을 속일 수 있게 된다고 예상해야 한다.

그렇다고 아마존 메이시와 가드듀티에 아무런 가치가 없다는 의미는 아니다. 그 반대다. 방어적 보안의 목적은 공격자의 공격 비용을 늘리는 데 있으며, 이러한 머신러닝 기반 보안 툴은 그 역할을 충실히 해낸다.

과장 걷어 내기
머신러닝과 보안의 교차점에는 거품이 심하게 형성됐다. 무비판적인 열광(“AI가 인류의 구세주다!”)도, 허무주의적 체념(“머신러닝은 쓰레기다”)도 생산적인 자세는 아니다. 앤더슨은 “쓸데없는 것을 버리려다 중요한 것까지 버려서는 안 된다”며, “사용자들은 질문하도록 교육하고, 마케팅 담당자들은 그 질문에 답하도록 교육해야 한다”고 말했다.

공격의 속도는 시간이 지날수록 빨라지며 위협 정보의 양은 시간이 지날수록 늘어난다. 실시간으로 위협을 평가하고 그에 대처하려면 자동화가 필요하다. 좋든 싫든 머신러닝은 우리 생활의 일부다.  editor@itworld.co.kr