악성코드 탐지의 새로운 대안으로 떠오른 AI 백신
악성코드와 백신 프로그램의 관계는 흔히 창과 방패로 묘사됩니다. 1980년대 PC가 보급된 시점부터 존재해온 다양한 악성코드와, 이를 감지하고 제거하기 위한 백신의 싸움은 말 그대로 ‘뚫으려는 자’와 ‘막으려는 자’의 혈투였는데요. 새로운 악성코드의 숫자가 매년 기하급수적으로 증가하고 침투 수법 또한 기상천외해짐에 따라 힘의 균형은 서서히 악성코드 쪽으로 기우는 듯했죠. 그러나 백신업계는 이에 질 세라 인공지능을 구원투수로 등판 시키며 전세 역전을 꾀하고 있습니다.
우선 인공지능 백신과 구분되는 기존 백신을 업계에서는 ‘시그니처(Signature, 특징)’ 백신으로 지칭합니다. 이름처럼 각 악성코드의 특징을 분석한 뒤 이를 데이터베이스(DB)로 만들어 백신에 업데이트하는 방식인데요. 정확히 악성으로 분석된 코드만 등록하기 때문에 오탐율이 낮다는 장점이 있는 반면, 알려지지 않거나 변조된 악성코드에 취약하다는 단점이 있습니다. 때때로 전 세계를 뒤흔드는 악성코드들이 최소 며칠 이상 활개칠 수 있는 이유도 백신 업계에서 이를 분석하고 백신 엔진에 적용하기 위한 시간이 필요한 탓입니다.
인공지능 백신은 시그니처 백신과 달리 사람의 수동적인 분석과 업데이트를 필요로 하지 않습니다. 대신 미리, 새로 수집된 수백만 개의 악성코드 샘플을 반복적으로 학습하고 분석하는데요. 인공지능은 이 과정에서 ‘악성코드’ 집단이 갖는 특정한 패턴과 특징을 추출해냅니다. 이 안에는 기존 백신의 탐지를 우회하는 각종 위장술과 코드 변조 규칙들이 담겨있고, 이를 백신에 적용하면 아직 알려지지 않은 악성코드에 대해서도 백신이 선제적으로 판단하고 대응할 수 있게 되는 것입니다. 게다가 학습량이 늘어날수록 정확도와 탐지 범위 역시 개선되는 성장형 백신이기도 하죠.
일례로 2017년 삼성 SDS에서 국내 백신 프로그램을 대상으로 자체 조사를 벌인 바 있습니다. 당시 결과를 보면 시그니처 백신의 악성코드 미탐지율은 평균 10%대에 머물렀는데요. 이미 탐지된 악성코드를 변조하자 미탐지율은 무려 93.8%까지 치솟았습니다. 반면 인공지능 백신은 같은 악성코드에 대해 미탐지율 10%대 이하, 변조 코드의 경우 0%라는 놀라운 수치를 나타냈죠. 이 밖에 두 방식을 결합하면 전체적인 탐지율이 크게 개선되는 고무적인 결과를 보이기도 했습니다.
인공지능 기계학습의 단점은 인공지능의 판단 근거를 사람이 이해하기 어렵다는 것입니다. 이 때문에 정상 파일도 악성 파일로 진단하는 오탐지 비중이 시그니처 대비 높은 점은 초기 인공지능 백신의 문제로 지적되어 왔는데요. 다행히 이 문제는 지속적인 반복 학습을 통해 충분히 개선할 수 있다고 합니다. 또 카스퍼스키, 시만텍 같은 글로벌 보안 업체들도 인공지능 기반 백신을 속속 출시하며 성능 개선에 나서고 있죠. 국내에서도 지난 3월 말 세인트시큐리티가 첫 AI 백신 맥스(MAX)를 무료로 공개한 바 있습니다.
빠르고 다양한 분석, 사람이 찾기 힘든 특징 추출. 인공지능 백신의 등장으로 악성코드와 백신의 힘겨루기는 다시 한번 균형을 찾은 듯합니다. 오히려 한동안은 백신 쪽이 더 우세할지도 모르겠는데요. 그렇다고 백신 만능주의에 빠지는 건 금물입니다. 백신은 그저 최후의 수문장 역할을 할 뿐, 가장 강력한 보안의 시작은 바로 사용자의 주의로부터 시작된다는 점을 결코 잊지 말아야 할 것입니다.
기사문의: 오픈모바일(wel_omcs@naver.com)