기업들이 보안수준을 강화하기 위해 도입한 머신러닝 기법을 사이버 범죄자들도 악용할 것이란 관측이 나왔다.
포티넷코리아(조원균 대표)는 이같은 내용을 담은 '2019 보안 위협 전망'을 7일 소개했다. 본사 보안연구조직 포티가드랩(FortiGuard Labs)이 작성한 2019 보안 위협 전망은 사이버 범죄자들이 머지않아 이용할 것으로 예측되는 방법과 전략을 제시하고 있다.
전망에 따르면 범죄조직은 공격 기법의 효율에 더해 개발, 수정, 구현 비용까지 평가해 공격을 행한다. 기업은 방어 전략에 머신러닝, 자동화같은 기술과 전략을 채택해 범죄조직이 공격방법 전환, 개발에 시간과 노력을 더 많이 쏟게 만들 수 있다. 하지만 이 때 범죄조직은 머신러닝과 인공지능(AI)을 활용한 퍼징(Fuzzing)으로 더 빠르게 취약성을 찾아낼 수 있다.
포티가드랩 측은 "AI 퍼징은 제로데이 익스플로잇 개발 속도를 가속화할 것"이라며 "다수 조직 네트워크에 구축된 레거시 보안 툴로 이를 방어하는 데 한계가 있다"고 지적했다. 또 "제로데이 익스플로잇이 빠르게 생산되고 활용되며 취약점 및 익스플로잇 종류와 수가 크게 늘어 다크웹에서 서비스되는 유형과 비용에도 영향을 미칠 것"이라고 내다봤다.
또 전망에 따르면 현재 전문 해커들은 맞춤형 유료 익스플로잇을 사용하며, 서비스형 랜섬웨어 등은 범죄 엔지니어가 백엔드 명령제어 서버 관리, 익스플로잇 테스트같은 여러 작업을 감당해야 한다. 봇넷에서 진화해 자율적이며 자가학습이 가능해진 '스웜'은 서비스형 스웜 형태로 제공돼, 범죄에 드는 품을 줄이면서 더 간편하게 쓰일 수 있다.
기업들이 보안 영역에 접목하는 머신러닝 기법 또한 악용될 수 있다. 기업이 활용하는 보안 장비와 시스템은 위협 식별, 기기 추적 및 패치를 위한 행위기반분석 등 특정 작업을 자율 수행하도록 학습할 수 있다. 사이버범죄자는 이 머신러닝 과정을 대상으로 특정 유형 애플리케이션이나 동작을 무시하거나, 탐지를 회피하기 위해 특정 트래픽을 기록하지 않도록 장비와 시스템을 학습시킬 수 있다는 지적이다.
관련기사
- 포티넷, 3Q 매출 4억5천만불…전년比 21%증가2019.01.07
- 포티넷 "한국, 네트워크 공격 IoT 기기에 집중"2019.01.07
- 포티넷, 금융보안 솔루션 세미나 개최2019.01.07
- 포티넷, 차세대방화벽에 SD-WAN 기능 통합2019.01.07
포티가드랩 측은 이런 사이버범죄의 진화에 대응해 정교한 방어 수준을 구현해야 한다고 권고했다. 보안 전략에 속임수 기법을 통합해 공격자들이 위협 정보를 검증하고 오탐에 자원을 소비하도록 유도하는 방법, 네트워크 자원 공격 감지와 대응책 자동 실행을 통해 공격자의 네트워크 탐색과 같은 기초 전술조차 신중하게 만드는 방법이 제시됐다.
그에 따르면 기업들은 지속 갱신되는 위협인텔리전스를 활용해 적극적으로 위협 정보를 공유하고 연구자, 산업계 연합, 보안업체, 사법기관들이 공조해야 한다. 공격자가 사용하는 전술을 노출시키고 공유해 신규 위협탐지 시간을 줄이고 실시간 데이터피드에 행위분석을 적용해, 악성코드 행동을 예측하고 기존 악성코드를 반복 활용하는 수법을 회피해야 한다.
