"인공지능(AI) 솔루션을 도입한다고 할 때 기업 경영진은 사람이 하던 일을 대체할 수 있겠다, 지금 인력을 일부 줄여도 되겠다, 쉽게 보는 경향이 있다. 하지만 지금까지 AI는 사람을 대신하는 게 아니라 그 역할을 부분적으로 지원하면서, 그 생산성, 판단력, 정확도를 강화하는 형태로 나왔다. 보안 분야에서도 AI솔루션이 스스로 뭘 하거나 기존 솔루션 또는 인력을 대체하는 건 성숙되지 않은, 좀 위험한 생각이다."
한국IBM IT보안컨설턴트 윤영훈 상무는 7일 서울 신촌 연세대학교에서 한국정보시스템감사통제협회(ISACA Korea), 연세대학교 바른ICT연구소와 정보대학원이 주최한 컨퍼런스에서 '사이버보안을 위한 AI'라는 주제로 기조강연을 진행하며 이같이 말했다. 그는 사이버보안 분야에서 현실적으로 AI를 활용하는 방법, AI가 맡을 수 있는 역할, 실제 AI가 접목된 보안 기술과 기업이 그걸 쓰게 될만한 동기 등을 제시했다.
윤 상무에 따르면 보호해야 할 기기 수가 계속 많아지고 있다. 2020년까지 각종 IT인프라, 모바일, 사물인터넷 영역의 기기가 200억개 이상으로 늘어난다. 개인정보 탈취 사고와 피해도 지속된다. 2020년까지 50억건 이상 개인정보가 탈취될 전망이다. 개인뿐아니라 기업에도 사이버범죄의 직접적인 피해가 발생한다. 2020년까지 사이버범죄로 인한 조직의 경제적 손실이 8조달러에 달할 것으로 추산됐다.
윤 상무는 "디지털 경제에서 경영진, 보안 담당자와 조직에 사이버보안이 큰 숙제로 떠올랐고 앞으로도 이런 이슈에 대응한 보안 강화를 요구하고 있다"며 "문제는 보안인력의 수요가 지속 증가하고 있지만 산업계에 충분한 인력이 공급되지 않아 충분한 예산이 있어도 적시적소에 기술을 보유한 사람을 배치할 수 없고, 이에 경영진이 요구하는 보안솔루션 확장은 현실적으로 쉽지 않다는 점"이라고 지적했다.
이어 "보안 분야에선 아직 효과성이 검증되지 않았지만 결국 보안에도 AI 활용이 필수불가결한 패러다임으로 자리잡을 것이라는 전망이 나온다"면서도 "AI 자체는 오래 전부터 있었던 기술이고 구글같은 회사가 제공하는 소프트웨어(SW) 라이브러리를 활용해 일반적인 AI 서비스나 제품을 만드는 건 어렵지 않은 일이지만, 보안업무 담당자와 조직이 처한 현실의 문제를 해결하긴 여전히 어려운 부분"이라고 말했다.
■ 사이버보안용 AI 기술, 실효성 주는 단계로 발전 중
그가 제시한 사이버보안 분야에 활용 가능한 AI 유형은 크게 2가지다. 하나는 클라우드 인프라 기반 AI를 활용해 보안 전문가, 기관, 연구자가 발표하는 논문이나 공격자의 해킹공격을 파악하기 위한 데이터 등 사람이 모두 다루기 어려울만큼 방대한 정보를 모으고 정제하는 것이다. 또 하나는 이를 학습해 악성코드나 침입 공격 발생 여부를 탐지하고 판별하는 등 기업의 보안 환경 유지에 필요한 AI를 만드는 것이다.
AI가 접목된 보안 기술 유형으로 사용자행위분석, 악성코드탐지, 의사결정지원, 취약점관리 등이 제시됐다. 이가운데 행위분석은 보안운영 조직이 통상적으로 수행하는 로그분석에 엔드포인트의 악성사이트 접속이나 대량파일 전송같은 행위를 결합해 이상징후나 악성여부를 판정하는 방식이다. 과거엔 룰기반 탐지방식을 써왔고 최근에는 머신러닝 학습을 거친 AI를 탑재한 보안솔루션으로 출시되고 있다.
보안담당자가 원하는 AI의 역할은 4가지다. 첫째는 여러 보안 이벤트의 오탐률을 낮추고 정탐률을 높이는 탐지 정확도 향상이다. 둘째는 머신러닝, 딥러닝, 행위분석 등으로 알려지지 않은 위협에도 대응하는 것이다. 셋째는 보안 이벤트 데이터를 효과적으로 빠르게 분류하고 분석해 통찰을 얻도록 돕는 것이다. 넷째는 결국 발생할 사고에 가능한 빠르게 대응하고 피해를 최소화하도록 돕는 것이다.
윤 상무는 "보안 이벤트가 100건이면 30건 이상이 오탐이라, 이 부분을 처리하는 시간과 인력을 절약하려면 어떻게 오탐을 줄일지를 AI에 기대하게 된다"며 "AI를 쓴다 해도 지능형지속위협(APT)같은 유형의 공격을 100% 막는 게 아니라, 뚫릴 수밖에 없는 상황을 얼마나 빨리 알고 그 때 문제가 생긴 영역을 격리하는 등의 대처로 데이터 유출 피해와 정상화하는 비용을 줄일 수 있느냐가 관건"이라고 말했다.
이어 "수년전부터 보안솔루션의 악성코드 탐지능력을 높이고, 사람이 빨리 분석할 수 없는 여러 데이터소스를 처리해 의사결정을 돕기도 하고, 취약점관리 유형을 학습시켜 조직내 인프라의 문제를 파악하는 데 AI 접목 시도가 있었다"면서 "오탐이 많아 신뢰성 이슈가 있었지만 이제 양질의 데이터, 충분한 컴퓨팅 파워, 정교한 알고리즘으로 점차 보안솔루션이 실효성을 주는 단계로 나아가고 있다"고 언급했다.
■ "사이버보안에 AI 도입, 실질적인 효과에 주목하라"
신변종 악성코드같은 보안위협은 끝없이 나오지만 이를 대응하는 기술이나 도구는 복잡하고 인력도 부족하다. 조직 내부에 이미 수십개 보안솔루션이 각자 돌고 있지만 전체 위협을 조망하지 못하고 있다. 현업에선 공격을 막는것과 더불어 완벽한 보안이 아니라 실제 침입이 발생시 공격 거점을 빨리 파악하고 효과적으로 피해를 줄이는 것도 중요하다. 보안담당자에겐 AI가 이 문제를 덜어 줄 실마리다.
하지만 윤 상무가 지적한대로 AI 기술을 접목한 보안솔루션은 이제 신효성을 증명해나가는 길목에 있다. 보안 분야에서 AI의 역할은 모든 상황에서 모든 문제를 해결하는 만능열쇠와 거리가 멀다. 보안업무환경의 생리와 상충할 수 있는 AI 자체의 제약도 있다. 예를 들어 AI 기술이 어떤 알고리즘과 데이터를 쓰는지 투명하지 않은 '블랙박스'라면, 그 사용자가 솔루션의 가치를 판단하거나 평가하기가 어렵다.
윤 상무는 "AI를 도입시 측정가능한 효과를 얻을 수 있는지 확인하라"며 "예를 들어 오탐률이 높았는데 사람의 수고를 더해 20~30%까지 줄였던 것을, AI로 10%대까지 줄일 수 있을지, 그렇게 하면 정탐 이벤트에 더 대응할 여력을 얼마나 확보할지, 위협을 인지하기까지 소요시간을 얼마나 단축할지, 기존 솔루션이 탐지 못했던 알려지지 않은 공격 파악이나 미해결 문제를 해결해 줄지 등을 질문하라"고 조언했다.
이어 "AI는 아주 정형화된 작업시 사람의 일을 대신할 수 있겠지만, 영화에서처럼 사람보다 높은 지능, 학습능력, 임무수행능력을 갖는 AI는 현재 기술로 불가능하고, 앞으로도 과연 나타날지 의문이 든다"며 "우리는 AI가 어떤 사람을 대신하는 게 아니라, 사람이 AI를 활용하고 그와 협업함으로써 자신이 만드는 가치와 생산성을 얼마나 더 높일지 이런 측면으로 바라봐야 한다고 생각한다"고 덧붙였다.
관련기사
- 사이버 범죄조직, 피싱 메일로 글로벌 은행 해킹2018.09.07
- "제조부터 금융까지...AI, 전천후로 쓰인다"2018.09.07
- "자율운영 데이터베이스, DBA 대체 아니다"2018.09.07
- "구글은 사이버보안 회사"2018.09.07
이미 사이버 범죄엔 AI가 충분히 쓰일 수 있다. SQL인젝션 공격코드를 학습한 AI, 트위터 계정의 표현을 학습해 표적공격 성공률을 높인 스팸메일 작성 AI, 인간의 패스워드 생성 패턴을 학습해 더 빠른 시간에 계정권한을 훔치는 브루트포스 공격 AI가 있다. 안면인식 AI가 엉뚱한 인물을 특정인으로 오인하게끔 AI 자체를 공격하거나, AI 알고리즘과 데이터를 훔쳐 실제 인물을 닮은 가공 이미지를 조작해낼 수 있다.
윤 상무는 이처럼 범죄자들이 AI를 악용하거나 AI 시스템 자체의 취약함을 공격할 여지가 충분하다고 지적하면서 "공격자들은 AI를 활용해 변종 악성코드를 만들거나 표적 공격의 성공률을 높일 수 있다"며 "방어자 입장에선 AI 활용 방법에 따라 얻는 효과에 격차가 생기겠지만, 앞으로 사이버보안 분야에서 AI 활용이나 이를 접목한 보안 기술이 점점 더 필수적인 요소로 자리잡을 것"이라고 내다봤다.
