AIㆍML / 보안

AI 기반의 디셉션 기술 현황, '배포 속도 높이고 결과 향상'

Maria Korolov | CSO 2020.04.17
지난 몇 주 동안 사이버보안 환경에 급격한 변화가 일어났다. 직원들이 집에서 일하면서 노출된 공격 표면이 늘고 비일상적인 사용자 행동 패턴이 폭증했다. 또한 원격 협업 플랫폼 중에서는 철저한 평가를 거치지 않은 채 배포된 경우도 있다.
 
ⓒ Getty Images Bank 

사이버보안 업계에서 이와 같은 새로운 위험 요소에 대처하는 데 도움이 될 분야가 있다면 바로 디셉션(Deception) 기술이다. 이전에는 허니팟(honeypot)이라는 명칭으로 불린 디셉션 기술은 정상 사용자에게는 보이지 않는 '우발적으로 유출된' 것처럼 꾸민 가짜 자격 증명과 미끼 데이터베이스, 모형 서버를 환경 곳곳에 뿌리고 공격자가 접근하기를 기다린다. 오탐지율이 낮으므로 기업은 즉시 IP 주소 차단, 감염된 시스템 격리 등의 자동 교정 조치를 실행할 수 있다.

디셉션 기술은 관리 편의성과 오버헤드 측면에서 비판을 받기도 하지만 인공 지능(Artificial Intelligence)과 머신러닝(Machine Learning) 덕분에 가장 큰 몇몇 문제가 해결됐고 일부 기업은 이미 실제 환경에 투입하고 있다.


아플락, AI로 디셉션 기술 구축 속도 높여

예를 들어 보험 업체인 아플락(Aflac)은 3년 전에 디셉션 기술에 주목하고 여러 공급업체를 통해 개념 증명을 실시했다. 아플락의 보안 및 위협 관리 책임자인 DJ 골드워디는 “우리가 원했던 것은 공격 불가지론적(attack agnostic) 기술이었다. 즉 시그니처나 행동 패턴에 의존하지 않고, 어떤 유형의 공격이든 탐지할 수 있는 기술을 원했다”고 말했다.

골드워디는 디셉션 기술이 첫 방어선과 마지막 방어선을 제공했고 저수준 탐침 공격부터 이미 회사 네트워크에 침투한 APT(Advanced Persistent Threats)에 이르기까지 폭넓은 공격으로부터 회사를 보호하는 데 도움이 됐다는 점에서 끌렸다고 말했다. 

아플락이 선택한 플랫폼인 아티보(Attivo)는 인공 지능을 사용해 디셉션 그리드를 구축하고 엔드포인트 기기와 네트워크, 서버, 클라우드 인프라에 이르기까지 환경 전반에 진짜처럼 보이는 미끼를 배치한다.

골드워디는 “디셉션 기술을 모든 곳에 구축하려고 한다. 이 작업을 수동으로 하기는 불가능할 것”이라고 말했다.

인공 지능은 정상 트래픽의 기준선을 만드는 데에도 사용된다. 내부 보안 또는 관리 시스템이나 외부 봇(예를 들어 검색 엔진 봇)은 항상 환경을 스캔한다. 골드워디는 한 명의 담당자가 디셉션 시스템을 구축해 운영하기까지 1개월이 채 걸리지 않았다고 말했다.

함정을 배치할 적절한 위치를 결정하는 데도 AI가 사용된다. 골드워디는 “머신러닝을 통해 공격자가 중요한 자산을 탈취하기 위해 이동하는 다양한 방법을 파악했다. 취약한 리소스를 향한 공격자의 이동 경로를 전환해 미끼 시스템으로 보낸다”고 말했다.


디셉션, 최우선순위 알림  

마지막으로, 정보를 활용해 미끼 함정에 빠진 공격을 분석해 행동 방식과 기업을 감염시킨 방법을 알아낼 수 있다. 골드워디는 “디셉션은 가장 충실한 보안 알림”이라면서 “디셉션이 트리거된다면 거의 대부분 조사가 필요한 상황이 발생했거나 보안 테스트의 일부인 것”이라고 말했다.

이 알림을 공격 경로를 보는 데 필요한 컨텍스트, 시스템과의 상호작용 내역과 함께 보안 분석가에게 전달할 수 있다. 골드워디는 “SIEM에 바로 입력되고 상관관계를 통해 다른 활동이 있는지, 다른 사건이 발생했는지 여부를 볼 수 있으므로 유용하다”고 말했다.

또한 이 알림을 사용해 문제가 실제 문제임을 확신하고 자동화된 대응을 트리거할 수 있다. 골드워디는 “시스템 환경에서 자동 격리를 활용한다”고 말했다. 시스템은 어플라이언스 또는 가상 머신을 통해 설치할 수 있으며 미끼는 공격자가 걸려들었을 때만 실행되므로 컴퓨팅 리소스도 많이 필요하지 않다.


대규모 디셉션 기술, 여전히 과제 많다 

아플락의 디셉션 경험이 반드시 일반적이라고 할 수는 없다. PwC(PricewaterhouseCoopers)의 파트너이자 글로벌 AI 리더인 아난드 라오는 “기업 중에서 디셉션을 위한 디지털 그리드를 만들고 대규모로 실행하는 사례는 없다”고 말했다.

EMA(Enterprise Management Associates)의 분석가인 폴라 무지치는 지난해 발행한 보고서에서 “디셉션 기술은 아직 인기를 끈다고는 할 수 없다”면서, “시장 성장을 예상하는 극소수 자료에서도 한자릿수 또는 낮은 두자릿수 수준의 성장률을 예측한다”고 말했다. "기업이 매력적인 미끼를 내걸었다가 공격자들의 시선을 끌어 공격 목표가 될 수도 있음을 걱정하는 것도 디셉션 기술이 극복해야 할 문제 중 하나”라고 말했다.

또 다른 문제는 디셉션 그리드가 크고 복잡할 수 있다는 점이다. IDC 전 세계 보안 제품 연구 책임자인 프랭크 딕슨은 "허니팟을 비롯한 모든 디셉션의 문제는 복잡성이다. 복잡성은 보안의 적"이라고 말했다.

딕슨은 "그 결과 기업은 더 명확한 보안 혜택을 제공할 수 있는 기술에 비용과 자원을 집중하며, 특히 디셉션을 담당할 직원이 없는 중소기업에서 이런 경향이 두드러진다"면서, “효과가 있는지 없는지의 문제가 아니라 다른 선택안에 비해 더 효과적인가의 문제다. 디셉션은 구현하기가 쉽지 않고 난관도 있다”고 말했다.

딕슨은 "이런 이유로 IDC는 디셉션에 관한 시장 보고서를 내지 않았다. 우리가 다뤄야 할 다른 중요한 분야가 있다고 판단했다”고 말했다.

SANS 테크놀로지 인스티튜트(SANS Technology Institute)의 연구 책임자인 요하네스 울리히는 디셉션의 개념에 대해 “방어를 위한 좋은 툴이지만 좀처럼 기업 시장에 진출하지 못했다. 2년 전에는 여러 기업이 허니팟 연구 단계를 지나 플랫폼을 통해 대규모로 배포할 수 있는 방안을 시도했다. 지난해에는 이런 디셉션 신생업체 가운데 상당수가 호응을 얻는 데 어려움을 겪었다”고 말했다.

울리히는 "머신러닝과 인공 지능을 추가한 것이 도움이 될 수도 있다"면서, "적어도 VC(Venture Capital)의 호응을 얻어 추가 투자금을 유치할 수는 있을 것”이라고 말했다. 

이보다 낙관적인 견해도 있다. 예를 들어 가트너는 디셉션을 이미 보안에 큰 영향을 미치고 있는 기술로 평가한다. 가트너 분석가 아우구스토 바로스는 "디셉션이 유용한 위협 탐지 기술인 이유 가운데 하나는 마찰이 낮다는 점"이라면서 "즉, 운영 측면의 난관과 스킬 문제가 상대적으로 낮다"고 말했다. 디셉션 소프트웨어 공급업체는 다음과 같다.
  
  • 아칼비오테크놀로지스(Acalvio Technologies)
  • 아티보 네트웍스(Attivo Networks)
  • 카운터그래프트(Countercraft)
  • 사이버트랩(Cybertrap)
  • 사이메트리아(Cymmetria)
  • 피델리스 시큐리티 디셉션(Fidelis Security Deception)
  • 가디코어 랩스(Guardicore Labs)
  • 일루시브 네트웍스(Illusive Networks)
  • 임퍼바(Imperva)
  • 패킷바이퍼(PacketViper)
  • 래피드7의 인사이트IDR(InsightIDR)
  • 리지백 네트웍스(Ridgeback Networks)
  • 스모크스트린(Smokescreen)
  • 싱크스트 카나리아(Thinkst Canary)
  • 트랩엑스(TrapX)

바로스는 디셉션 시장은 여전히 작은 편이지만 빠른 속도로 성장할 것이라면서 성장률을 65%로 예상했다(기간은 언급하지 않음). 또한 가트너는 2022년까지 모든 위협 탐지 제품의 25%가 디셉션 기능을 탑재하게 될 것으로 전망했다. 현재 비율은 5% 미만이다.

기가옴(GigaOm) 분석가 사이먼 깁슨은 "이 새로운 플랫폼은 배포하기 쉽고 오버헤드가 낮으며 쉽게 확장이 가능하고 오탐지가 적다는 점을 들어 디셉션 기술을 사치품 정도로 생각하면 실수"라고 말했다. 깁슨은 "중소기업과 대기업을 불문하고 거의 모든 기업이 막대한 혜택을 얻을 수 있는 기술"이라고 말했다.

디셉션 시장의 규모에 대한 수치를 제시한 극소수 시장조사업체 가운데 하나인 모도 인텔리전스(Mordor Intelligence)에 따르면, 2019년 디셉션 시장의 가치는 12억 달러로, 1,610억 달러인 사이버보안 시장 전체를 기준으로 1% 미만이다. 모도 인텔리전스는 향후 5년 동안 연평균 성장률 13.3%를 기록해 2025년에는 시장 규모가 25억 달러로 성장할 것으로 예상했다.
 

코로나 위기가 디셉션 기술에 대한 관심을 촉발할까?

전문가들은 디셉션이 팬데믹 이후 보안 환경이 맞이할 '뉴 노멀(new normal)'에 특히 잘 맞는 기술이 될 수 있다고 본다. 코로나19는 단순히 바이러스만 퍼뜨리는 것이 아니다. 공격자들은 이 기회를 틈타 모든 종류의 공격을 더욱 강화하고 있다.

최근 미국 국토안보부는 사이버 범죄자와 APT 그룹의 새로운 팬데믹 관련 위협에 대한 경보를 발령했고, 같은 날 인터폴은 의료 기관을 특정해 노리는 범죄에 대한 경보를 발령했다.    

소속 직원들을 대상으로 한 공격을 우려한 한 의료기업은 현재 재택근무자를 위한 안전한 환경을 제공하는 디셉션 서버를 툴에 추가하고 있다. 보안상의 이유로 익명 보도를 요구한 이 기업의 정보 보안 분석가는 “현재 직원 대다수가 외부에서 접속하며, 이 환경에서 발생하는 위험에 대처하기 위한 디셉션이 필요하다”고 말했다.

이 의료 기업은 미국 전역의 수백 개 시설에서 약 2만 5,000명의 환자를 돌보고 있으며 지난해부터 일루시브 네트웍스의 디셉션을 사용하기 시작했다. 이 정보 보안 분석가는 “포렌식 API는 실시간 소스와 타겟 포렌식에 대한 폭넓은 데이터를 제공한다”고 말했다. 이 데이터에는 공격자의 위치 및 침입에 대한 보안 경보 형태의 데이터가 포함된다. 분석가는 “덕분에 연구와 조사에 들어가는 시간이 크게 줄었다”고 말했다.

분석가는 툴을 쉽고 간단하게 구축할 수 있으며 지나치게 쉽다고 말해도 될 정도라고 말했다. 이 기업은 실제 서버 400개, IP 주소 16개에 불과한 환경에 1,200개 이상의 디셉션 서버를 구축했다. 이 분석가는 "효과를 확인하는 데는 오랜 시간이 걸리지 않는다. 현재 환경을 구성하는 숫자는 적어서 이것이 함정의 은폐 수준을 더 높인다"고 말했다.


범죄자를 활용한 위협 인텔리전스

허니팟이 예전부터 항상 유용했던 한 분야는 위협 연구 업체가 공격자 행동을 파악하기 위해 함정을 구축하는 경우다. 현재 일부 연구원은 사용자 행동 분석과 디셉션 기술을 혼합해 해커들의 행동을 분석하고 있다. 콘스텔레이션 리서치(Constellation Research)의 부사장이자 수석 분석가인 리즈 밀러는 "이 분야가 AI 기반 허니팟이 정말 흥미를 끄는 분야”라고 말했다.

밀러는 허니팟이 악의적인 사람을 그룹으로, 즉 악의적 행위자 “대조군”으로 묶는다고 말했다. 공급업체는 이를 사용해 많은 기업이 이미 구축한 사용자 행동 분석 기술을 보강할 수 있다. 밀러는 "이렇게 해서 사용자의 행동이 아닌 공격자의 행동을 탐색할 수 있다"고 말했다. 사용자 분석을 이미 시행 중인 기업 고객은 부가적인 노력을 기울이지 않고도 디셉션 기반 공격 프로필이 주는 혜택을 얻을 수 있다.

AI 연구의 또 다른 첨단 영역은 생산적 적대 네트워크(generative adversarial network)다. 딥 페이크(deep fake) 동영상에 사용되는 것과 같은 기술이다. 즉, 한 AI 시스템이 가짜를 만들고 다른 시스템이 이것이 가짜인지 아닌지 판별한다. 가짜가 진짜와 구분할 수 없는 수준이 될 때까지 두 시스템이 계속 경쟁한다.

정치적인 발언 측면에서나 CEO와 CFO 동영상이 있는 기업 입장에서는 나쁜 소식일 수도 있다. 해커가 이런 동영상을 사용해 가짜 버전을 만들 수 있기 때문이다. 기술 컨설팅 및 시스템 통합 업체인 인사이트(Insight)의 보안 컨설팅 서비스 부문 수석 설계자인 빅터 아란다는 기업에서 숙련된 공격자까지 속일 수 있는 디셉션 그리드를 만들려 시도하는 것은 긍정적인 현상일 수 있다고 말했다.

아란다는 “많은 악성코드가 현재 샌드박스에서 실행되고 있는지, 베어 메탈(bare metal)에서 실행되는지, 분석되고 있는지 여부 등 주변 환경을 탐지하려고 시도한다”면서 지능적인 공격자는 허니팟일 가능성이 있는 것을 모두 피하려고 시도할 것이라고 말했다.

적대적 네트워크는 현재의 머신러닝 시스템이 생성한 디셉션 그리드를 조정해 공격자 관점에서 완전히 구분이 불가능하게 만들 수 있다. 

아란다는 "반면 공격자 자신도 머신러닝을 사용해 허니팟 소프트웨어를 식별하고 특징과 향후 피하는 방법을 학습할 수 있다”면서, "양쪽에서 모두 데이터 과학자들이 연구하고 있다. 이 고양이와 쥐 게임은 영원히 끝나지 않을 것"이라고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.