알파고와 이세돌 9단이 세기의 바둑대결을 벌이고 있는 동안 글로벌 보안 업계에서는 인공지능의 전 단계인 머신러닝 기술을 보안 분야에 접목시키려는 시도가 곳곳에서 이뤄지고 있다.
아직까지는 각종 보안이벤트 정보를 자동으로 수집, 분석해 위험도를 확인하는 수준에 머물고 있으나 클라우드 컴퓨팅 자원을 활용해 필요한 연산능력을 확보할 수 있게 됐고, 보안에 특화된 알고리즘에 대한 연구개발이 진행되고 있는 만큼 각종 공격이 어떤 방식으로 들어오는지를 학습하고, 필요한 적절한 대응법을 알아서 제공하는 툴이 등장할 가능성이 크다.
이달 초 미국 샌프란시스코에서 개최된 글로벌 보안컨퍼런스 RSA2016에서는 마이크로소프트(MS) 애저 담당 최고기술책임자(CTO)를 맡고 있는 마크 루시노비치가 '머신러닝과 클라우드:위협 탐지 및 예방 무너뜨리기(Machine Learning and the Cloud:Disrupting Threat Detection and Prevention)'라는 흥미로운 주제로 발표를 진행했다.
■보안에 머신러닝 적용하기...데이터 수집이 관건
그는 이날 "머신러닝 기술을 보안분야에 적용하는 것은 어려운 일"이라고 운을 뗐다. 머신러닝은 기본적으로 빅데이터 수준의 방대한 양의 데이터를 입력했을 때 그곳에서 어떤 특징을 뽑아내 의미를 부여하는 작업을 수행한다. 그러나 루시노비치 CTO는 보안 분야에서는 실제 공격에 대한 정보 부족(Lack of ground truth), 공격을 탐지하지 못했을 때 부담해야하는 너무 많은 피해비용(Disprortionate cost of false nagative), 지속적으로 변화하는 보안환경(Constantly changing environment)이 한계로 꼽힌다고 설명했다.
보안 분야에 머신러닝을 적용하기 어려운 가장 큰 이유 중 하나는 어떤 것이 비정상행위이고, 어떤 것이 정상적인 행위인지를 결정하기 어렵다는 점이다. 일각에서는 일반적으로 공개된 데이터를 활용하면 되는 것 아니냐고 주장하지만 공격자들 역시 이러한 데이터에 접근할 수 있다는 점에서 어려움이 따른다.
공격자들을 상대하기 위한 방법 중 하나로 보안분야에서는 '허니팟'이라는 것을 사용한다. 일종의 가짜 시스템을 구성한 뒤 공격자들이 이곳에 공격을 수행하도록 유도하는 방법으로 어떤 방식으로 공격을 시도하고 있는지를 확인하는 것이다.
머신러닝을 적용하기 위해 허니팟에서 모은 공격 관련 데이터를 활용하는 것도 하나의 방법이지만 모든 유형의 공격에 대응할 수 없다는 점에서 한계가 있다.
루시노비치 CTO는 MS의 경우 침해사고대응팀(MSRC)과 오피스365 어드밴스드 쓰렛 프로텍션, 디지털 범죄 대응팀(DCU), 멀웨어 프로텍션 센터(MMPC) 등과 같은 곳에서 필요한 공격데이터를 얻는 것과 동시에 분석이 필요한 공격에 대해서는 레드팀을 동원하는 방법을 쓰고 있다고 밝혔다. 레드팀은 보안을 위해 대상 시스템에서 취약점을 찾아내 공격을 수행하는 화이트해커들로 구성된 팀을 말한다.
MS는 이러한 방식으로 머신러닝 기법을 도입해 기존에 보안정책을 임의로 설정하는 방식이 전체 로그온한 사용자들 중 28%를 비정상접속이라고 여겼던 것을 0.001% 수준으로 줄일 수 있게 됐다고 그는 설명했다. 보안정책을 기반으로 했을 때 정상적인 사용자들 역시도 비정상인 것처럼 탐지되는 확률이 높았다면 머신러닝 기법을 적용했을 때는 이보다 훨씬 정확하게 심각한 비정상 행위에 대해서만 잡아낼 수 있게 된다는 것이다.
이와 함께 로그인한 사용자들에 대한 위치 정보를 지속적으로 모니터링해 일반적인 로그인 위치와 다른 곳에서 로그인을 시도했거나 물리적으로 너무 먼 거리에 있다고 판단할 경우 비정상 행위로 규정하는 방식도 적용했다.
■컴퓨터가 해커 대신할 수 있을까...기기 간 CTF 눈길
오는 8월 미국 라스베이거스에서 개최되는 글로벌 해킹 컨퍼런스인 데프콘25에서는 미국 방위고등연구계획국(DARPA)가 해커들이 아닌 컴퓨터들 간 '캡처더플래그(CTF)' 대회를 개최한다. 데프콘을 유명하게 만든 CTF는 해커들이 팀을 구성해 상대팀 시스템에서 보안취약점을 발견해 공격을 시도하고, 반대로 보안패치를 적용해 공격을 막아내는 방법으로 점수를 얻어 승자를 가리는 대회다.
DARPA가 개최하는 사이버그랜드챌린지(CGC)는 미리 프로그래밍된 대형 컴퓨터가 알아서 취약점을 찾아내 공격을 수행하고, 반대로 공격을 방어해내는 방식으로 진행될 예정이다. 총 200만달러 상금이 걸린 이 대회는 기기들이 해커 수준의 능력을 가질 수 있는지를 가리는 자리가 될 것으로 전망된다. 물론 이러한 대형 컴퓨터를 만들어 내는 것은 아직까지는 대학교수, 해커 등 인간의 몫이다.
관련기사
- 알파고의 변칙수는 어디서 어떻게 계산될까2016.03.11
- 또 무너진 인간…"전문가 개념 바뀐다"2016.03.11
- AI 전문가들 "알파고 승리 어느 정도 예상했었다"2016.03.11
- 해킹도 이제 기계가?...컴퓨터 간 해킹대회 열린다2016.03.11
알파고가 이세돌 9단을 상대로 2승을 했다는 소식이 전해졌다. 컴퓨터가 바둑판 안에서 수많은 경우의 수 중 가장 승률이 높은 곳에 한 수를 둘 수 있을 정도로 지능적인 사고를 할 수 있다는 점이 증명된 것이다.
그러나 이러한 이벤트만 놓고, 컴퓨터가 인간의 지능을 넘어섰다고 말하기에는 아직 이른 감이 있다. 보안 분야만 놓고 보면 RSA2016 기조연설에서 아미트 요란 RSA 대표는 "사이버 보안 영역에서는 공격자들이 게임의 룰을 지키지 않는다"며 "계속 룰을 바꾸고 있는 공격자들과 대결을 펼쳐야 한다"고 밝혔다. 인공지능이나 머신러닝 기술이 발달하는 만큼 이를 활용할 수 있는 보안분석가들의 역량이 더욱 중요해진다는 점을 강조한 것이다.
