APT-8 (AI(인공지능)을 이용한 공격 탐지)

최근 빅데이터를 기반으로 하는 인공지능에 대한 관심이 높아지고 있습니다. 인공지능을 이용하여 최근의 코로나 사태에서 중요한 감염 진단, 진단시약 개발, 치료제, 백신후보물질 개발 등에 많이 활용되고 있다고 합니다.

정보보안 분야에도 당연히 인공지능을 활용하기 위해 많은 연구와 시도가 이루어지고 있습니다. 정보보안 분야에서 가장 중요한 이슈는 얼마나 정확하게 공격을 탐지할 수 있는지에 대한 공격 탐지 정확도를 최대한 100%에 가깝게 유지하는 것입니다. 지금까지는 보안담당자의 배경지식과 경험을 바탕으로 공격 탐지 조건을 설정하고, 시행착오를 반복해서 조건을 수없이 조정해 가며 조직의 사용 환경에 최적화된 탐지 조건을 찾는 것이 일반적인 방법이었습니다.

그러나 이런 방식은 공격 탐지의 정확도를 높은 수준으로 유지할 수 없을 뿐만 아니라, 새로운 공격 방식이 등장하면 정확도가 급격히 떨어지는 문제점이 존재하였습니다. 그리고 가장 큰 문제는 경험이 풍부한 보안 담당자의 높은 급여 수준과 인력부족으로 채용하기가 쉽지 않다는 점입니다. 이런 문제점을 해결하기 위해 공격을 높은 정확도로 탐지하는 것을 목표로 인공지능을 적용하기 시작하였습니다.

우선 인공지능에 대해서 간략하게 알아보도록 하죠. 아래 <그림 1>와 같이 인공지능의 개념은 1950년대부터 시작되었습니다. 1980년대부터는 컴퓨터를 활용한 머신러닝이라는 용어가 등장하였고, 2010년 사람과 동물의 뇌를 모방하여 딥러닝이라는 용어가 등장하면서, 향상된 처리 성능과 디지털화를 통해 축적된 많은 학습 데이터의 활용이 가능하면서 비약적으로 발전하기 시작하였습니다.

최근에는 고성능의 딥러닝머신을 구매하지 않더라도 클라우드 서비스를 통해 간편하게 컴퓨팅 능력을 일정 시간 빌려서 이용할 수 있고, 공개된 공공 빅데이터를 활용하여 다양한 테스트가 가능해지면서 사회 여러 분야에 급속도로 인공지능이 적용되기 시작하고 있습니다.

< 그림 1 >  인공지능의 발전 역사

그럼 인공지능을 사용한다는 개념이 기존의 관리자가 수동으로 탐지장비를 통해 공격을 탐지하는 개념과 어떻게 다른지 알아보도록 하겠습니다. 일반적으로 보안장비가 공격을 탐지하는 방식은 관리자가 임의로 공격 탐지 조건을 설정하고 탐지장비로 트래픽, 악성코드를 모니터링하다가 공격인지 정상인지를 판단해서 알려주는 방식으로 작동합니다.

이에 비해서 인공지능을 활용한다는 것은 사전에 많은 양의 악성코드 데이터뿐만 아니라 경보 로그 등의 정보와 함께 각각의 로그가 정상인지 공격인지에 대한 결과가 포함된 빅데이터 정보를 입력해주면 인공지능 장비가 학습을 통해서 공격 탐지 조건을 생성해서 공격 탐지에 이용하는 것을 의미합니다. 이렇게 생성된 조건을 공격 탐지 장비에 입력하면 높은 정확도의 결괏값을 기대하는 방식으로 인공지능이 공격 탐지에 활용되는 것입니다.

아래 <그림 2>는 기존의 일반적인 보안장비를 운영할 때 발생하는 케이스를 설명한 것입니다. 운영자가 공격으로 판단할 수 있는 조건을 입력해 주어야만 공격을 탐지할 수 있습니다. 그래서 운영자의 경험과 숙련도에 따라 공격 탐지의 정확도가 널뛰기할 수밖에 없습니다. 공격 탐지 조건을 조직의 환경에 최적화해서 적용하는 것이 탐지 정확도를 높이는 관건인 것입니다.

< 그림 2 >  일반적인 보안장비가 공격을 탐지하는 방법

아래 <그림 3>의 경우 인공지능을 활용하여 공격을 탐지하는 시나리오를 설명하였습니다. 운영자는 먼저 양질의 학습 데이터를 확보하여야 합니다. 얼마나 많은 양의 질 좋은 데이터로 인공지능을 학습시키는 가에 따라 공격 탐지 정확도가 좌우되기 때문입니다. 이렇게 제공된 학습 데이터를 바탕으로 인공지능 장비는 공격과 정상을 구분할 수 있는 조건을 학습하게 됩니다. 이렇게 학습된 조건을 가지고, 학습용으로 제공하지 않고 테스트용으로 남겨둔 데이터로 탐지가 가능한지 테스트를 진행해 보고 학습한 결과의 정확도가 얼마나 높은 지 가늠해 볼 수 있습니다.

정확도가 대략 90% 이상을 상회한다면 실제 운영망에 적용해 볼 가치가 있으므로, 실망에 적용해서 일정기간 동안 테스트를 해볼 수 있습니다. 테스트 결과 특정 영역에서는 정확도가 높으나 기타 부분에서는 탐지 정확도가 낮다면 정확도가 낮은 부분에 대한 학습 데이터를 확보하여 추가 학습이 필요하기도 합니다.

< 그림 3 >  인공지능을 활용한 공격 탐지의 운영 시나리오