보안

"사이버보안의 가장 큰 위협이 될 수 있는" AI 퍼징이란 무엇인가

Maria Korolov | CSO 2019.03.28
인공지능, 머신러닝을 기존 퍼징(fuzzing) 기술과 함께 사용하면 애플리케이션 또는 시스템의 취약점을 찾는 강력한 도구를 만들 수 있다. 이는 보안연구원이나 사이버범죄자 모두에게 해당된다. 

 

ⓒ Getty Images Bank


AI 퍼징의 정의 

AI 퍼징(AI fuzzing)은 애플리케이션이나 시스템의 취약점을 찾는 데 머신러닝과 유사한 기술을 사용한다. 퍼징(Fuzzing)은 잠시 주목받은 적이 있었지만, 이를 실행하기는 너무 어려워 기업들이 많이 도입하지 못했다. 하지만 AI를 추가하면 사용하기가 쉽고 유연성이 향상된다.
 
이는 좋은 소식이자, 나쁜 소식일 수 있다. 좋은 소식은 기업과 소프트웨어 공급업체가 시스템에서 잠재적인 취약점을 찾아내는 것이 쉬워져 악의적인 이들이 시스템에 침투하기 전에 이를 수정할 수 있다는 것이다.  

나쁜 소식은 악의적인 사람들도 AI 퍼징 기술에 대한 액세스 권한을 갖게되는데, 이는 곧 대규모 제로데이 취약점을 발견할 것이라는 점이다. 호주 기술 컨설팅 업체인 라이트사이즈 테크놀로지(Rightsize Technology)는 AI 퍼징을 2019년 10대 보안 위협 가운데 하나로 지정했다.

 
퍼징 작동 방법 

전통적인 퍼징에서는 애플리케이션에 많은 입력을 발생시켜 충돌을 일으킨다. 모든 애플리케이션은 다양한 방식으로 입력을 받아들이기 때문에 많은 수동 설정이 필요하다. 그런 다음, 무차별 공격을 통해 가능한 한 모든 입력을 시도하고 애플리케이션이 어떻게 반응하는지를 볼 수 없다. IBM 보안팀인 엑스포스 레드(X-Force Red) 연구 책임자 다니엘 크로울리는 "매우 오랜 시간이 걸릴 것이다. 10자 입력창에 가능한 모든 문자 조합을 시도하는데 걸리는 시간은 수개월 또는 수년이 걸릴 수 있다"고 말했다. 
 
사실상 모든 애플리케이션은 그 이상으로 복잡하기 때문에 퍼징을 무작위로 시도하고 가장 가능성이 높은 잠재고객에게 다양한 전략을 사용한다. 크로울리는 "AI 도구는 테스트 사례 생성에 도움을 줄 수 있다"며, "그러나 자신이 발견한 버그를 악용할 수 있는지 여부를 알아보기 위해 사후 관리 단계에서도 사용할 수 있다. 발견한 모든 버그가 보안 버그는 아니다"고 말했다.
 
크로울리는 "퍼징 기술은 오랫동안 사용되어 왔다"고 덧붙였다. 지능적인 퍼징조차도 완전히 새로운 것이 아니다. 이는 단지 학계 밖에서는 많이 사용되지 않았을 뿐이다. 전 NSA 분석가이자 VDA 랩 창업자 제레드 데모트는 "좋은 상용 도구가 많지 않았다"고 말했다.  

더못은 "퍼징은 동적 분석 범주에 속하기 때문에 개발 라이프사이클에 통합하기가 어렵다. 애플리케이션 소스코드를 검사하는 데에는 정적 분석이 훨씬 쉬우며 상당한 수의 정적 분석 도구가 상용 시장에서 존재한다. 그래서 기업들은 정적 분석을 더 많이 사용한 것이다"고 말했다. 


AI 퍼징 도구 

이제는 업체들이 기술 변화를 좀 더 간단하게 사용할 수 있도록 서비스형 퍼징(fuzzing as a service)을 제공하고 있다. 더못은 "나는 실제로 마이크로소프트 시큐리티 리스크 디텍션(Microsoft Security Risk Detection)에 대해 매우 흥미롭게 생각한다. 웹 퍼징 기술자들을 결합한다는 것은 아주 좋다. 과거에는 다른 도구가 필요했다"고 말했다. 인기있는 AI 퍼징 도구는 다음과 같다. 

- 마이크로소프트 시큐리티 리스크 디텍션(Microsoft Security Risk Detection, MSRD)
- 구글의 클러스터퍼즈(ClusterFuzz)
- 시놉시스의 디펜직스 퍼즈 테스팅(Defensics Fuzz Testing) 
- 피치테크의 피치 퍼져(Peach Fuzzer) 
- 퍼즈버즈(Fuzzbuzz)

MSDR은 지능형 제약 알고리즘(intelligent constraint algorithm) 접근 방식을 사용한다. 지능형 퍼지에 대한 또 다른 옵션은 유전자 알고리즘(genetic algorithms)이다. 둘 다 퍼징 도구가 취약점을 찾기 위해 가장 약속된 경로에서 목표를 겨냥할 수 있는 방법이다. 

유전자 알고리즘은 아메리칸 퍼지 롭(American Fuzzy Lop, AFL) 오픈소스 도구 세트에 사용되는데, AFL은 새로운 클라우드 기반 제품인 퍼즈버즈의 핵심이다. AFL 또한 구글의 클러스터퍼즈 프로젝트의 일부다. 

더못은 "서비스형 퍼지가 나오기 시작했다. 사람들이 이를 사용할 것이라고 본다. 어렵더라도 이는 시행할 가치가 있다. 이 도구가 제품을 안전하게 만들어 주기 때문이다"고 설명했다. AI 퍼지의 특징은 필요한 작업을 줄일 뿐만 아니라 더 나은 결과를 얻을 수 있도록 해당 프로그램에 깊이 들어가 더 많은 버그를 발견할 수 있다는 것이다. 

미국 캘리포니아를 기반으로 한 사이버보안 스타트업인 리스크센스(RiskSense)는 기업 고객에게 위험 평가를 제공하는 퍼징 제공업체다. 리스크센스 CEO 스리니바스 무카말라는 "우리는 서비스형 퍼징이라 하지 않고 서비스형 공격 검증(attack validation as a service)이라 부른다. 그러나 주요 구성 요소는 서비스형 퍼징이다. 

오늘날 머신러닝이 도입되는 부분은 기업이 취약점을 발견한 후, 이것이 악용의 가치가 있는지 여부와 악용될 지 여부를 확인하는 것이다. 퍼징 자체는 전통적인 자동화된 방법과 인간의 감독에 의해 수행된다. 기업은 교육 데이터가 충분해지면 초기 단계에서도 AI 사용을 시작할 계획이다. 무카말라는 "충분한 데이터와 패턴을 보유하고 있다면 머신러닝이 의미를 갖게 될 것이다. 좋은 데이터 세트가 없다면 오탐(false positive)이 많아지기 때문에 결과를 검증하는데 더 많은 시간을 할애해야 한다"고 말했다. 

AI 퍼징 프로그램을 설치하는 기업의 경우, 공급업체와 상담할 것을 권장한다. 무카말라는 "구글, 마이크로소프트 또는 다른 공급업체를 통해 규모의 경제를 얻을 수 있다. 글로벌 기업이 아니라면 적절한 자원을 확보하지 못할 것이다. 대형 클라우드 제공업체는 정부보다 더 많은 데이터를 보유하고 있다"고.  

무카말라는 "한가지 예외 사항은 방위 산업체의 무기 시스템과 같은 실제로 매우 중요한 시스템에 대한 것이다. 만약 내가 정부라면, AWS에 데이터를 퍼징하지 않을 지도 모른다"고 말했다.  

"무기 시스템이라면 매우 엄격한 보안 요구사항으로 구글이나 마이크로소프트의 AI 퍼징을 사용하지 않을 것이다. 그러나 일반적인 조직이라면 기존 공급업체와 협력할 것이다. 구글과 마이크로소프트가 하는 일을 봐왔듯, 그들은 항상 최초로 그 일을 하지 않는다. 다만 그들은 규모의 경제를 이룬다."  


AI 퍼징을 통한 제로데이 취약점 발견하기 

마이크로소프트 보안 연구원인 맷 밀러는 지난 2월 마이크로소프트의 블루햇 컨퍼런스(BlueHat conference)에서 제로데이 취약점 문제를 해결하는 프레젠테이션을 진행했다. 

2008년에는 대다수의 마이크로소프트 취약점들이 패치가 공개된 후에야 처음으로 악용됐다. 제로데이로 악용한 것은 21%였다. 하지만 그 비율은 점점 더 높아져 2018년에는 표적 공격의 일환으로 제로데이 공격에 처음 악용하는 비율이 83%로 껑충 뛰었다. 

지금까지는 제로데이를 찾는 것이 어려웠고, 새로운 제로데이 가격은 비쌌다. 제로디움(Zerodium)은 완벽한 기능의 익스플로잇으로 고위험의 취약점 1건에 대해 200만 달러를 제공하고 있으며, 특히 중요한 제로데이라면 가격이 더 높을 수 있다고. 제로디움은 이 정보를 주로 정부 조직인 매우 제한된 수의 조직에게 비공개 형식으로 재판매한다. 

제로데이의 평균 가격은 이보다는 낮다. 런세이프 Pwn 지수(RunSafe Pwn Index)는 지불 서비스와 개인 판매까지 포함한 다크 웹 시장과 운영체제 전반에 걸친 평균 익스플로잇 가격을 평균화했는데, 현재 1만 5,000달러가 넘었다.
 
런세이프 시큐리티 설립자이자 CEO인 조 선더스는 "민족 국가와 정교한 사이버범죄자들이 이미 AI 퍼징을 사용하고 있을 가능성이 매우 높다"면서, "공격자는 항상 최소한의 노력으로 최대한의 성과를 거두려고 노력한다. 또한 IoT 장치와 연결된 시스템이 일반적으로 확산됨에 따라 잠재적인 공격 표면이 계속 확장되고 있다"고 말했다.  

포티넷의 글로벌 보안 전략가 데릭 맨키는 "공격자는 제로데이 공격을 위해 자동으로 대상을 찾아낼 수 있어 대상 선택 단계가 간단해질 것이다. 미래에 이런 일이 발생할 수 있는 기반이 무엇인지 지켜보고 있다"고 말했다.

맬웨어바이츠 랩(Malwarebytes Labs) 이사 아담 쿠자와는 "AI가 사이버범죄에 있어 큰 동력원이 될 것이라고 확신할 수 있다. AI가 무언가를 할 수 있을 때, 이를 수동으로 하는 것은 더 이상 의미가 없다"고 설명했다.  

쿠자와는 "이는 우리가 제로데이를 훨씬 더 많이 보게 될 것이라는 의미다. 그러나 쿠자와는 올해의 AI가 발견한 제로데이가 홍수처럼 밀려 들 것이라고는 예상하지 않는다. 이 기술 자체는 아직 어리기 때문이다"고 말했다. 

준비를 시작하기에 빠르지 않다. 쿠자와는 "공급업체, 개발자, 소프트웨어 업체가 자체 소프트웨어를 퍼징해야 하며, 이는 준비할 수 있는 최선의 방법"이라고 덧붙였다. 


AI 퍼징 실제 사례, 없다 

포지티브 테크놀로지스(Positive Technologies) 사이버탄력성 책임자 리앤 갤러웨이는 "긍정적인 기술임에도 불구하고 AI 퍼징의 사례는 거의 없다. 요즘에는 AI가 없는 퍼징이 더 효과적이다"고 말했다. 

포지티브 테크놀로지는 대규모 보안 연구 센터를 보유하고 있는데, 매년 약 700건의 애플리케이션 보안 취약점을 발견한다. 갤러웨이는 "기호 실행(symbolic execution)을 사용한 퍼징과 같은 전통적인 기법이 지배적"이라고 말했다. 갤러웨이는 "그러나 머신러닝과 기타 신기술은 종국에는 현장에 도입된다. 다음 대형 컨퍼런스에서 누군가는 업계를 뒤집을 새로운 무언가를 설명할 것"이라고 예견했다.
 
쿠델스키 시큐리티(Kudelski Security) CTO 앤드류 하워드는 "범죄자가 AI 퍼징을 이미 사용하고 있는지 여부는 알기 어렵다. 퍼징은 퍼징이다. 취약점이 노출됐을 때, 퍼징의 알고리즘은 논의되지 않을 것이다"고 말했다.
 
하워드는 AI는 취약점을 좀 더 빨리 발견하고 기존 수단으로는 발견할 수 없는 취약점을 발견할 수 있는 가능성을 제공하기 때문에 여기에서 엄청난 경쟁이 일어날 것이라고 예상했다. 하워드는 공격자가 퍼징 기법을 향상시키면 방어자도 똑같이 해야한다고 말했다. editor@itworld.co.kr 
 Tags fuzzing AI퍼징

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.