KMCRIC

사이버보안에 활용되는 머신러닝과 인공지능

How to use machine learning and AI in cyber security

사이버 범죄자들은 지속적으로 침입을 위한 새로운 방법을 찾아내기 위해 노력하지만, 인공지능과 머신러닝으로 자동화된 공격 대응이 가능해질 것으로 보인다.

비밀은 머신러닝을 통해 네트워크 트래픽을 모니터링하고 시스템에서 어떤 트래픽이 정상인지를 파악하며, 이러한 정보를 이용해서 의심스러운 활동에 대해 알려주는 것이다. 기술의 이름에서 알 수 있듯이 머신러닝은 매일 기업들이 수집하는 막대한 양의 보안 데이터를 이용하여 시간이 갈수록 더욱 효과적인 대안을 제시할 수 있도록 한다.

머신이 보통 상태와 다른 것을 찾아내는 즉시 경고를 보내는데, 통상 경고 내용은 보안 분석내용이 된다. 이를 통해 어떠한 행동이 필요한지를 결정할 수 있다. 그러나 일부 머신러닝 시스템은 이미 특정 이용자들에 대한 접근을 제한함으로써 자신들이 스스로 응답할 수 있다.

인공지능과 자동화에 대한 논의가 종종 대량 실직의 두려움으로 이어지지만, 보안 분야에서 머신 러닝은 기존 시스템의 대체라기보다는 부족한 부분을 보완하는 임루를 수행한다고 할 수 있다.

인간의 개입 없이 업무를 수행하는 능력이 증대되지만, 보안 분석을 대체하지는 않는다. 그와는 상반되게 대량의 데이터를 분석하여 더욱 복잡한 상황에 대한 분석을 가능하게 한다.

Darktrace의 기술책임자인 데이브 팔머(Dave Palmer)는 머신 러닝을 통해서 기업들은 우선순위를 더욱 효율적으로 도출해낼 수 있다. 인간의 위험판단 결정을 배제하지는 않지만, 전략 수립을 통해 보안 팀이 자신의 업무를 보다 효과적으로 수행할 수 있다고 그는 말했다.

영국 사이버보안 분야 스타트업인 CYberlytic의 최고경영자 스튜어트 레이드로(Stuart Laidlaw) 또한 보안 분석의 업무 부담을 줄이기 위해 머신 러닝을 이용하는 것에 대해 동조의 뜻을 밝혔다. 그는 보안 팀이 모든 것을 분석하고 대응할 수 없으므로, 머신 러닝을 통해 훨씬 효율적인 분석이 가능할 것이라고 말했다.

클라우드 보안 기업인 ProtecWise의 공동 설립자인 진 스티븐스(Gene Stevens)는 머신러닝이 보여줄 수 있는 가장 큰 잠재력은 다양하고 상이한 전문 시스템의 결과를 해석하고 이를 종합하는 것이라고 말했다. 인간은 합리적인 결정을 내리기 위해 많은 시간을 보내지만, 머신러닝은 여러 가지 패턴을 판별하여 분석하고 데이터를 조직화함으로써 인간은 네트워크 전반에 움직이는 트래픽에 대해 통합된 조망을 할 수 있다고 그는 지적했다.

머신러닝은 또한 이용자 행위분석(UBA, User Behaviour Analysis)에도 유용하게 활용될 수 있다. 컨실팅 기업인 Auriga의 최고기술책임자(CTO)인 자말 엘멜라스(Jamal Elmellas)는 만일 매일 08:55에 로그인하는 누군가가 이를 01:00로 변경했다면, 시스템을 이를 의심스러운 행위로 판별하여 경고할 수 있다고 말했다.

활용사례와 범위가 확대되고 있는 가운데, 기술들이 이를 도입하는 방안에 대한 고민이 필요하다. 그 해답은 단순할 수 있는데, 즉 평상적이지 않은 활동을 탐지하고자 할 때 머신러닝 시스템을 크게 변경시킬 필요가 없다.

보안 설계자인 VASCO 혁신센터의 스티븐 머독(Steven Murdoch)은 데이터 스트림을 제공하면 비정상적인 것으로 보이는 사항들에 대한 경고를 보낼 수 있으며, 이를 통해 침입을 방지할 수 있다고 말했다.

머신러닝은 또한 저렴한 비용으로 이용할 수 있다. 클라우드처럼 관련 제품은 무료 시연용으로 사용 가능한 사례가 상당수 있다. 레이드로는 아마존웹서비스(AWA, Amazon Web Service)와 같은 기업들은 인공지능 컴포넌트를 제공한다고 말했다. 일부 솔루션은 시스템에 부가적으로 설치 가능하며, 몇몇 데이터 과학자들을 통해 이상 징후를 찾아낼 수 있다고 지적했다.

그러나 새로운 기술을 이용하는데 고려해야 하는 것들이 있다. 일부 전문가들은 머신러닝의 잠재적 부작용에 대해서 지적하고 있는데, 예를 들어 사이버 범죄자들이 관련 기술을 기업 공격에 악용할 수 있다는 점이다. 또한, 보안에 사용되는 머신러닝 시스템을 속일 수도 있다.

한편 기술 자체에 한계도 있다. SecureData의 최고 보안전략책임자인 찰 반더 월트(Charl van der Walt)는 사이버 공격이 머신러닝의 인식 패턴을 벗어나는 경우 또한 상당하다고 지적했다. 공격자는 기민하며 언제나 변화한다고 그는 주장하고, 그 공격 패턴을 찾아내기 위한 데이터 세트을 찾아내는 것은 어려운 일이라고 그는 덧붙였다.

이러한 문제에도 불구하고, 사이버보안 전문가들은 머신러닝이 밝은 미래를 갖고 있다고 주장하고 있다. 기술이 개선되면서 공격 상황에 대한 인식과 이를 방어하기 위한 수단을 마련하는데 머신러닝의 상당한 역할을 할 수 있다는 것이다.

예를 들어 여러 다른 유형의 공격에 대해 인간이 대응하는 방법을 머신러닝 시스템이 학습하도록 하고, 이를 통해 어떤 특정 상황이 발생할 경우 해당 상황에 맞는 대응방안을 인간이 수행하도록 제시할 수도 있을 것이다.

아울러 머신러닝 시스템은 공격자에게 가짜 목표물을 제시하여 끌어들이는 등의 시스템 개발, 구축도 가능하다. 이를 통해 피해를 방지하면서 공격자들을 식별하여 제한할 수 있는 이른바 방어 전략으로서의 기만전술을 개발해 활용할 수도 있다.

관련연구자: Kate O'Flaherty

관련기관: IT Pro

본문키워드(한글): 머신러닝, 사이버보안, 클라우드 컴퓨팅

본문키워드(영문): machine learning, cybersecurity, Cloud computing

국가: 영국

원문출판일: 2018-01-05

출처: http://www.itpro.co.uk/security/30102/how-to-use-machine-learning-and-ai-in-cyber-security?