최장락 시만텍코리아 이사

사이버보안 기술이 나날이 발전하고 있지만 보안사고는 끊이지 않는다. 오히려 ‘랜섬웨어’같은 더욱 진화된 사이버보안 범죄가 증가하고 있다. 기존의 시각으로 보안사고를 바라봐서는 안 된다. 보안위협 패러다임 역시 바뀌고 있기 때문이다.

최장락 시만텍코리아 이사가 말하는 지능형지속위협(APT)을 비롯한 보안 패러다임 변화를 요약하자면, 인공지능으로 이뤄진 창과 방패다. 그는 지난 30일 서울 삼성동 코엑스 인터컨티넨탈 호텔에서 열린 ‘시만텍 시큐리티 포럼’에서 지능형위협 침투 탐지부터 사후 대응을 모두 아우르는 APT 관련 해법을 논했다.

먼저 보안 패러다임은 어떻게 바뀌었을까. 카네기멜론대학 연구팀이 만든 인공지능 시스템 ‘메이헴(MayHem)’이 그 방향성을 시사한다. 메이헴은 인공지능 시스템 간 해킹대회에서 우승한, 매우 똑똑한 슈퍼컴퓨터다. 그 결과 지난해에는 인간과의 해킹 대결(세계 최대 해킹 방어대회 ‘데프콘 CTF’) 참여권을 얻었다. 다만 성적은 최하위에 머물렀다. 하지만 메이헴은 폴란드의 유명 해킹팀을 이긴 것으로 나타나 눈길을 끌었다.

메이헴은 원하는 대상의 취약점을 학습을 통해 자동으로 찾아가고 공격한다. 이 모든 과정이 전부 머신러닝을 통해 이뤄졌다. 여기서 향후 해킹의 방향을 엿볼 수 있다. 최 이사는 “우리가 말하는 기존의 지능화된 정교한 공격을 사람이 아닌 인공지능 시스템이 수행하는 형태가 실제로 발생하고 있다”며 “방어하는 사람 입장에서도 인공지능 기술을 이용해야 한다는 것이 분명해진 것”이라고 말했다.

결국, 앞으로는 머신러닝을 잘 하는 기업이 보안도 잘 한다는 논리다. 10년 전만 해도 보안 공격 패턴이 복잡하지 않았다. 수동으로 패턴을 일일히 업데이트 할 수도 있었다. 아니면 특정 규칙을 만들어 시스템에 적용하기만 해도 웬만한 보안 사고를 막을 수 있었다. 그런데 이제는 그런 방법으로는 더 이상 안심하기 어렵다. 데이터도 많아지고, 기존 패턴으로는 이애하기 어려운 공격형태들이 나오고 있기 때문이다.

자료출처=시만텍

이 과정에서 최 이사가 강조한 것은 ‘양질의 데이터’다. 알파고의 예를 들어보자. 최 이사는 “알파고가 아마추어 기보 데이터로 연습했다면 이세돌을 이기기 어려웠을 것”이라며 “시만텍이 머신러닝을 활용한 보안과 탐지를 잘 할 수밖에 없는 이유는 (보안과 관련한) 양질의 모 데이터가 지금 이순간에도 세계에서 모아지고 있기 때문”이라고 강조했다.

특히 시만텍에서 인공지능을 연구하는 수백명의 연구진이 보안 상품의 설계부터 참여, 머신러닝 기술을 어떻게 적용시킬 것인지를 논의하는 것을 자사 상품의 강점 중 하나로 꼽았다. 머신러닝이 적용된 대표 사례 중 하나가 이 회사 대표 보안 솔루션인 ‘시만텍 엔드포인트 프로텍션(SEP) 14’다. 악성 여부 판단을 위해 4억개 이상의 샘플을 돌리고, 그 결과 값을 그룹으로 나눠 분류해 악성 여부의 유사성을 계속해 찾아가는 방식으로 보안 위험을 찾아가는 방식이 SEP 14에 적용됐다. 이 경우, 새로운 샘플이 들어오게 되면 인공지능 시스템이 자동으로 해당 샘플을 어느 그룹에 포함시킬지 결정하게 된다.

최 이사는 “어디에도 알려지지 않은 데이터를 100개씩 테스트 해보면, 한 번도 알려지지 않은 악성코드임에도 90개 이상을 탐지하는 결과를 보인다”며 “어드밴스드 머신러닝을 다른 시스템과 비교하면 획기적으로 탐지율이 높은 것을 알 수 있다”고 설명했다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

자료출처=시만텍

아울러 사용자의 평상시 통신 습관(IP, 접속 국가, 프로토콜, 파일 사이즈 등)을 학습해 놓고, 이와 다른 형태의 접속이 들어올 경우엔 그 차이 정도에 따라 알람을 울리는 방식 등을 통해 해킹 위험에 대비하게 하는 것이나, 평소 사용치 않던 프로토콜이나 애플리케이션을 누군가 내부 공격을 위해서 접속할 경우 이를 잡아내게 하는 것 등도 인공지능을 도입하면서 얻게 되는 성과다.

이밖에 시만텍 데이터유출방지(DLP) 솔루션은 회사 내부에서 기밀로 분류되는 패턴을 미리 지정해 놓고 보안 시스템에 학습시킬 경우 새로 생성되는 문서의 중요도(기밀) 여부를 판단, 이를 잡아내고 차단하는 역할로도 활용 가능하다.

최 이사는 “머신러닝은 단순한 개념이 아니다”라며 “블루코트와 합쳐진 시만텍이 보유한 방대한 정보를 통해 학습을 열심히 하고 있기 때문에 이메일, 웹, 클라우드 등 전 분야를 연계할 수 있는 것”이라고 말했다.

글. 바이라인네트워크
<남혜현 기자>smilla@byline.network