국내 보안기업 AI 활용 어디까지 왔나...아직은 탐지·분석에 초점

국내 보안 업계에도 인공지능(AI) 바람이 조금씩 더 스며들고 있다. 챗GPT 등 최근의 생성AI 기술을 활용하는 사례가 나오는 등 기술 발전이 업계에도 변화를 가져오고 있다. 하지만 아직까지는 탐지와 분석에 더 초점이 맞춰져 있어 큰 변화가 일어나기까지는 시간이 필요할 전망이다.

13일 관련업계에 따르면, 우리나라 보안 기업들은 위협 모니터링이나 보안관제 분야를 중심으로 AI 접목이 이뤄지고 있다. 위협 이벤트의 양이 방대한 상황에서 보안 담당자의 수고를 줄이는 데 AI가 쓰인다.

안랩은 지능형 위협(APT) 대응 솔루션인 ‘MDS(Malware Defense System)’에 AI를 적용했다. 랜섬웨어, 신종 악성코드 등에 대한 정보를 AI가 머신러닝해 과탐지나 오탐지를 줄이는 형태다. 또 보안관제 플랫폼에서는 시스템에 유입되는 패킷 특징을 포착해 공격 기술과 절차, 전술 등을 추론한다. 모바일 보안 솔루션에도 AI를 적용해 문자 메시지 텍스트를 머신러닝해 스미싱 URL과 스피싱 목적의 문자 텍스트를 탐지한다.

이스트시큐리티는 악성코드 위협 대응 솔루션 ‘쓰렛 인사이드(Threat Inside)’에 AI를 적용해 매일 수십만 건의 위협 샘플을 수집하고 분석해 신규 위협 여부를 판단한다. 이스트시큐리티 관계자는 “AI가 자동으로 악성코드를 높은 정확도로 식별, 분류한다”고 설명했다.

일일이 사람이 확인하기 힘든 일을 AI가 대신해주는 방식이다. 악성코드 관련 빅데이터를 제공하는 라이브러리에서 보안 담당자는 최신 악성코드를 활용하고 필요한 소스를 확인할 수 있다. 또 확보된 데이터는 안티바이러스 ‘알약’이 악성코드를 탐지하고 치료하는 데도 활용한다.

엔드포인트 위협 탐지·대응(EDR) 솔루션에 AI를 물린 경우도 있다. 지니언스는 자사의 ‘지니안 EDR‘에 AI를 적용했다고 밝혔다. 단말과 디바이스 등 보안 자산에 들어오는 위협을 AI가 머신러닝으로 파악하고 실제 위협인지, 바로 대응해야 할 위협인지 등을 판단해 알려준다. 안랩도 EDR의 탐지 엔진에 AI를 적용해 악성 위협 탐지율을 개선하고 있다고 설명했다. 안랩도 자사 EDR의 탐지 엔진에 AI를 적용해 악성 위협 탐지율을 개선하고 있다고 밝혔다.

사실 AI 기술 발전은 보안업계 입장에서 양날의 검이다. 창과 방패가 동시에 발전하는 것이나 마찬가지다. 챗GPT를 예로 들면, 보안 취약점을 묻거나 소스코드를 파악하는 등 해킹에 활용할 수 있으면서도, 동시에 사이버 위협 배경에 대한 설명을 요청하거나 원인을 찾는데 쓰일 수 있다.

미국 안보당국도 챗GPT를 악용한 사이버 위협 가능성을 지적했다. 지난 11일(현지시간) 롭 조이스 미국 국가안보국(NSA) 사이버안보국장은 는 전략국제문제연구소가 개최한 대답에서 “챗GPT로 해킹 공격을 자동화하거나 특정 소프트웨어 취약점을 전부 찾으라고 지시할 수는 없겠지만 그런 작업의 흐름을 최적화할 것”이라고 말했다.

자연어 처리 모델이 피싱 메시지를 작성하는 데 도움이 될 거란 뜻이다. 공격 대상을 속여 넘길 만한 문장 작성에 챗GPT의 거대 모델이 쓰일 수 있다. 본래대로라면 어색한 번역체 문장을 써 스팸으로 처리됐을 이메일이라도, 챗GPT의 도움으로 잘 아는 사람처럼 위장해 이용자를 홀릴 수 있다. 챗GPT에 바로 ‘악성코드 제작법’ ‘멀웨어 제작’ 등을 물으면 답변을 거부하긴 해도, 이를 우회하는 프롬프트 엔지니어링를 통해 해킹에 쓰일 코드를 만드는 시도가 빈번한 상황. 노골적인 질문에만 답을 내놓지 않을 뿐 여전히 해킹도구 제작에 챗GPT가 도움이 될 거라는 의견이 지배적이다.

챗GPT는 해킹과 관련한 직접적인 질문에는 답변하지 않지만, 이를 우회하기 위한 프롬프트 엔지니어링이 활발하다는 게 업계의 전반적인 의견이다.

또 아이러니하게도 반대로 챗GPT를 해킹 분석에 사용할 수도 있다. 챗GPT 등 AI 열풍이 몰아치며, 국내 보안 기업들도 보다 다각화한 적용 방안에 대한 고민을 이어가고 있다.

이글루코퍼레이션은 최근의 챗GPT를 물린 대화형 보안 서비스를 내놨다. 보안 담당자가 자연어로 사이버 위협에 대한 정보나 판단 근거를 물으면 이를 풀어서 답변해주는 ‘이글루XAI’를 발표했다. 이글루코퍼레이션 관계자는 “이름은 ‘설명가능한’ AI라는 뜻으로 어시스턴트 서비스 방식이 될 것”이라고 말했다.

그러나 아직까지도 국내 기업들은 생성AI 적용에 바로 속도를 붙이지는 않는 모습이다. 적용을 검토하고는 있지만 탐지와 예방, 치료가 생명인 보안에서 생성AI는 도우미 역할 이상을 하기에는 한계가 있다는 판단이다. 안랩과 이스트시큐리티 등 국내 주요 보안 기업들도 생성AI 기술 적용을 검토하는 정도에 그치는 것으로 전해졌다.

단, 생성AI 기술이 더 발전하게 되면 보안 기업들도 결국 발걸음을 맞출 수 밖에 없을 거란 의견이 나온다. 지니언스 관계자는 “챗GPT를 통해 사이버 공격의 진입 장벽이 낮아지며 해킹 시도가 더 일반화되고 많이 늘어날 것으로 예상된다”고 말했다.

지니언스는 최근 AI·클라우드 전문기업인 클라이온의 2대 주주가 됐다. 클라이온의 AI 역량을 활용한 보안 서비스 개발을 검토하고 있다는 게 지니언스의 설명이다.

이 관계자는 “AI 특성상 기존 공격방법과 루트를 학습해 재활용할 가능성이 높다”며 “위협을 탐지하고 조사를 위한 가시성을 충분히 확보하고 탐지된 위협에 대해 대응할 수 있는 AI를 활용한 솔루션이 더 많이 보급될 것”이라고 내다봤다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network