사이버 공격, AI for Security로 답을 찾자

최근 가장 큰 화두는 AI

 

ChatGPT를 위시한 LLM(Large Language Models: 대형 언어 모델)의 부상으로 인공지능(AI)은 현재 기술 분야에서 가장 큰 화두 중 하나이다. 그중에서도 보안 분야에서의 AI 활용은 빠르게 발전하고 있다. AI를 활용한 보안 솔루션은 단순한 자동화와 분석을 넘어, 실제로 사이버 공격을 방어하고 예방하는 데 중요한 역할을 하고 있다.

보안 관점에서 AI를 바라보는 시각은 크게 두 가지로 나뉜다. 

첫 번째는 AI for Security, 즉 AI를 이용해 보안을 강화하는 접근이다. 

두 번째는 Security for AI로, AI 시스템 자체의 보안을 강화하는 접근이다. 

 

이번 글에서는 Security for AI를 간략하게 알아보고 AI for Security 관점에서 이야기를 나누고자 한다.

 

 

 

---

 

AI를 위한 보안

 

세계를 놀라게 하며 출현했던 GPT에 여러 약점이 있다는 것이 알려지면서 AI를 위한 보안도 관심이 증가하고 있다. 그러나 GPT나 llama 같은 LLM 이전에 이미 머신러닝이나 딥러닝이라는 이름으로 AI는 우리 사회에 영향을 끼치고 있었고 AI의 취약점은 기존부터 존재해왔다. 주요 유형만 살펴봐도 다양한 유형의 공격이 가능하므로 AI 시스템 개발 시 충분한 보안 대책을 마련할 필요가 있음을 보여준다.

 

• 적대적 이미지 공격 (Adversarial Image Attacks): AI에 입력되는 이미지에 인간이 인식하기 어려운 노이즈를 추가하여 AI가 잘못된 결정을 내리게 만드는 공격이다. 사람은 원래 이미지대로 판단하지만 AI는 다른 대상으로 분류할 수 있다. 구글에서는 고양이 사진을 AI가 자동차로 인식하게 만드는 실험을 한 바 있다.
• 중독 공격 (Poisoning Attack): AI 모델이 학습하는 데이터셋에 악의적인 데이터를 포함시켜 모델의 학습 과정을 왜곡하는 공격이다. 
• 모델 추론 공격 (Model Inference Attack): AI 모델의 내부 매개변수나 훈련 데이터를 역추적하여 개인정보 등 민감한 정보를 추출하는 공격이다.

 

LLM의 경우 프롬프팅을 통한 모델 내부 정보 탈취나 내가 AI를 사용하기 위해 제공했던 데이터가 학습에 이용되어 내부 정보 유출이 부각되고 있다. LLM은 새롭게 출현한 기술이기 때문에 충분한 연구가 필요하며 일부 기업에서는 이런 점을 우려하여 LLM을 업무에 활용하는 것을 막고 있다.
이러한 취약점은 모델 생성 프로세스를 정비하고 기술적인 연구를 통해 극복해야 하며 어느 정도 시간이 필요하다.

 

 

 

 

최근 사이버 위협 동향과 문제점

 

최근 사이버 위협은 공격 기법의 발달로 점점 더 복잡하고 정교해지는 양상이다. 랜섬웨어, 피싱, DDoS 공격 등 다양한 형태의 공격이 지속적으로 발생하고 있으며, 특히 LLM이 발표되면서 AI를 악용한 공격도 증가하고 있다. 이러한 공격들은 전통적인 보안 솔루션으로는 효과적으로 방어하기 어려운 경우가 많다.

이러한 사이버 위협의 증가에는 몇 가지 주요 문제점이 있다. 첫째, 공격의 정교화로, 사이버 공격자들은 끊임없이 새로운 방법을 개발하며 기존의 보안 시스템을 우회하고 있다. 둘째, 보안 인력의 부족으로, 전문적인 보안 인력을 양성하는 데에는 시간과 비용이 많이 들지만, 사이버 위협은 이를 기다려주지 않는다는 것이다. 셋째, 데이터의 양과 속도로, 매일 생성되는 방대한 양의 데이터를 실시간으로 분석하고 위협을 식별하는 것은 기존의 방법으로는 어렵다. 
 

더구나 AI는 사이버 공격자들이 지능적이고 반복적인 공격을 가능하게 한다. 실제로 얼마 전의 악성코드는 AI를 사용해서 이메일 피싱 캠페인을 자동화했다. 이 악성코드는 자연어 처리 기술을 이용해 더 실제 같은 피싱 이메일을 생성하고, 이메일 내용을 타깃 사용자에 맞춰 개인화해서 피싱 성공률을 높였다.

아예 공격 대상이 방어에 사용하는 AI를 우회하는 AI도 있다. 2019년 한 연구팀은 머신러닝을 사용해 보안 소프트웨어의 AI 탐지 모델을 분석하고 이를 우회하는 악성코드를 만들 수 있었다.
 

최근에는 딥페이크가 부상하면서 사기를 당하는 기업이 증가하고 있다. 사기범들은 딥페이크를 사용해 CEO의 얼굴과 목소리를 모방했고, 이를 통해 회사의 재무 담당자에게 수백만 달러를 송금하라는 지시를 내리는 사고가 있었다.
 

이렇게 살펴보았듯 최근의 사이버 위협은 기존에 전혀 생각하지 못했던 행태와 양상을 보여주고 있으며 이는 방어 방법 또한 새로운 방법이 필요하고 계속 발전시켜야 한다는 것을 의미한다.

 

 

 

 

보안을 위한 AI: 이 문제점 해결에 왜 AI 기술이 필요한가

앞서 살펴본 사이버 위협의 동향은 요약하면 더 정교해지고, 더 다양해지고, 급변한다는 것이며 그 배경에는 AI가 있다는 것이다. 이를 방어하기 위해서는 방어에도 AI의 적극적 활용이 필수라고 할 수 있다. AI 기술은 방대한 데이터 분석과 빠른 의사결정을 통해 기존 보안 솔루션의 한계를 극복할 수 있다. 

 

• 대량의 데이터 분석: AI는 대량의 데이터를 실시간으로 분석하고, 패턴을 인식하며, 비정상적인 활동을 빠르게 감지할 수 있는 능력을 가지고 있다. 예를 들어, 머신러닝 알고리즘을 통해 정상적인 네트워크 트래픽과 비정상적인 트래픽을 구분할 수 있으며, 이를 통해 잠재적인 위협을 사전에 차단할 수 있다. 이는 전통적인 보안 시스템이 처리하기 어려운 방대한 양의 로그 데이터를 효과적으로 분석할 수 있게 해준다.
• 자동화된 위협 탐지 및 대응: AI 기반 보안 시스템은 위협 탐지와 대응을 자동화할 수 있다. 예를 들어, 일부 AI 기반 보안 솔루션은 실시간으로 네트워크를 모니터링하고 이상 징후를 탐지하며, 자동으로 대응 조치를 취할 수 있다. 이는 보안 인력이 직접 개입하지 않고도 빠르게 위협을 차단할 수 있게 해준다.
• 지속적인 학습과 적응: AI는 끊임없이 학습하고 발전할 수 있는 능력을 가지고 있다. 이는 사이버 공격의 새로운 기법이 등장할 때마다 그에 맞춰 대응할 수 있음을 의미한다. 특히 딥러닝 기술은 대량의 데이터를 학습하여 예측 모델을 개선하고, 위협을 사전에 감지하는 데 매우 유용하다.
   

AI의 필요성은 이제 더 이상 논란의 여지가 없다. AI 기술은 빅데이터를 분석하고, 복잡한 패턴을 식별하며, 예측 모델을 구축하는 데 있어 인간의 능력을 뛰어넘는다. 이는 사이버 보안에서 매우 중요한 역할을 할 수 있다. 구체적인 사용 예시를 보자.

 

• 이상 탐지 (Anomaly Detection): 정상적인 데이터 패턴과 다른 비정상적인 행동을 식별하는 데 사용된다. 예를 들어, 일부 SIEM 시스템은 이상 탐지 모델을 사용하여 네트워크 트래픽에서 비정상적인 활동을 탐지한다. 특정 IP 주소에서 갑작스러운 대량의 데이터 전송이 발생하면 이를 경고로 표시할 수 있다.
• 피싱 탐지 (Phishing Detection): 이메일 또는 웹사이트의 콘텐츠를 분석하여 피싱 시도를 식별한다. 구글의 세이프 브라우징 기술은 머신러닝을 사용하여 피싱 및 악성 웹사이트를 탐지하고, 사용자에게 경고 메시지를 제공한다.
• 악성코드 탐지 (Malware Detection): 파일이나 프로그램의 행동 패턴을 분석하여 악성 여부를 판단한다. 
• 사용자 행동 분석 (User Behavior Analytics, UBA): 사용자의 행동 패턴을 학습하여 비정상적인 행동을 탐지한다. 이를 통해 내부자 위협이나 계정 탈취를 식별할 수 있다. 
• 네트워크 침입 탐지 (Intrusion Detection Systems, IDS): 다양한 공격 패턴을 학습하여 실시간으로 침입을 탐지할 수 있다.
• 로그 분석 및 포렌식 (Log Analysis and Forensics): 대량의 로그 데이터를 분석하여 보안 사건을 식별하고 대응한다. 딥러닝 모델은 로그 데이터의 패턴을 학습하여 잠재적인 보안 위협을 탐지한다.

 

최근에는 보안 분야에도 LLM을 접목하려는 시도가 계속되고 있고 일부 분야의 경우 괄목할 만한 성능 향상을 보여주고 있다. 특히 피싱 같은 공격에 대해 LLM은 문맥과 어휘를 분석해 피싱 여부를 더 유연하게 판단할 수 있고 새로운 유형의 공격에 대해 보안 정책을 자동 생성하거나 제안하는 등 진일보한 성능을 보여준다.

이렇게 머신러닝과 딥러닝, LLM을 포함한 AI는 다양한 보안 분야에서 활용되고 있으며, 실시간 데이터 분석과 복잡한 패턴 인식을 통해 보안 위협을 효과적으로 탐지하고 방어할 수 있다. 이러한 기술들은 기존의 보안 솔루션을 보완하고, 새로운 위협에 대응하는 데 중요한 역할을 하고 있다.
 

 

 

 

AI 기술 적용 시, 보안은 어떻게 달라지는가

AI를 보안에 적용하면 여러 측면에서 긍정적인 변화를 가져올 수 있다. 
 

• 위협 탐지의 속도와 정확도 향상: 위협을 탐지하는 속도와 정확도가 크게 향상된다. 실시간으로 비정상적인 활동을 감지하면 전통적인 보안 시스템이 놓칠 수 있는 위협을 효과적으로 탐지할 수 있게 해준다.
• 보안 인력의 부담 경감: AI 기반의 위협 인텔리전스 시스템은 잠재적인 위협을 자동으로 분석하고, 대응 전략을 제안하며, 필요한 경우 자동으로 대응한다. 이는 보안 인력이 보다 중요한 업무에 집중할 수 있게 해준다. 
• 예측적 보안: 또한 AI는 예측적 분석을 통해 미래의 위협을 사전에 감지하고 대응할 수도 있다. 팔로알토 네트웍스(Palo Alto Networks)의 AI 기반 보안 솔루션은 과거의 데이터를 분석하여 미래에 발생할 수 있는 위협을 예측하고, 이에 대한 대응책을 마련합니다. 이는 사전 예방적 보안을 가능하게 하여, 보안 사고를 미연에 방지할 수 있다.
   

 

 

 

AI 적용 시, 고려해야 할 점은?

 

보안 기능을 제공하는 AI라고 하더라도 일반적인 AI 시스템을 개발하는 큰 틀에서 동일하다. AI 시스템을 구축할 때는 다음과 같은 몇 가지 중요한 고려 사항이 있다. 
    

• 데이터의 품질과 양: AI가 효과적으로 작동하기 위해서는 신뢰할 수 있는 양질의 데이터가 필수적이다. AI는 데이터를 기반으로 학습하므로, 부정확하거나 불완전한 데이터는 필연적으로 잘못된 결과를 초래한다. 특히 데이터를 오염시키는 공격도 가능한 만큼 데이터 수집처와 검증에 대해서 면밀히 검토해야 한다.
• 프라이버시와 윤리적 문제: AI 시스템이 개인 데이터를 처리할 때, 이 정보가 부적절하게 사용되거나 유출되지 않도록 강력한 보안 조치가 필요하다.
• 지속적 학습과 업데이트: 주기적으로 새로운 데이터를 통해 모델을 재학습해 데이터 유형과 패턴이 시간에 따른 변화를 반영해야 한다.
• 시스템의 복잡성과 관리: AI 시스템은 고도의 기술적 복잡성을 가지므로, 이를 관리하고 유지하며 AI 모델의 성능을 지속적으로 모니터링하고, 필요시 업데이트하는 작업이 필요하다. 또한, AI 시스템이 잘못된 결정을 내리지 않도록 지속적인 검증과 평가도 필요하다.
• 비용과 인프라: AI 시스템을 도입하고 운영하는 데에는 상당한 비용이 소요된다. 따라서 AI 도입에 따른 비용 대비 효과를 신중하게 분석하고, 효율적인 예산 운용이 필요하다.

 

당사의 이메일 보안 제품에도 메일 분류나 첨부 파일의 악성 문서 탐지를 위해 AI 기술이 사용되고 있고 악성코드 탐지의 경우, 함께 사용하는 백신이 탐지하지 못한 악성 문서를 탐지하는 성능을 보유하고 있다. 악성 문서 탐지의 성능을 높이기 위해 주기적으로 신규 데이터를 이용해 학습을 진행하고 있고 이런 주기적인 모델 업데이트는 실제로 모델의 성능에 영향을 미친다.
 

또한 당사에서는 문서 구조를 이해하고 문서의 요소들을 구조화하는 기술을 확보하고 있고 이를 이용해 피처를 선정하고 있다. 문서 자체를 데이터로 취급해 피처를 추출하는 보통의 악성 문서 탐지와 다르게 문서 구조의 특성 및 특정 요소 출현에 대한 정보를 가공하여 탐지의 정확도를 높이고 있다.

 

이러한 시스템을 구축할 때는 자동화가 특히 중요하다. AI를 통해 원하는 결과를 도출하기 위해서는 피처 선정과 추출, 파라미터 선정 등 수많은 반복 작업이 필연적으로 발생하게 되며 효과적인 개발을 위해서는 학습과 모델 생성, 검증에 이르는 전 과정이 빠르게 반복될 수 있는 자동화 시스템도 구축해야 한다.
 

당사의 AI 시스템도 학습 과정에서 몇 가지 알고리즘 별로 모델을 생성하고 각 모델의 성능을 평가해 최적의 모델을 최종 선정하는 검증과, 최종 선정된 모델과 직전 버전의 모델의 성능을 비교하는 검증을 수행하도록 자동화되어 있다.

 

 

끝으로 이러한 AI를 SECaaS로 제공한다면 학습이나 예측 시 사용되는 고객의 데이터 보안에도 주의를 기울이고 GDPR 같은 규정 준수도 고려가 필요하다.

 

 

 

 

마무리

 

이렇게 사이버 보안을 위한 AI의 전반에 대해 살펴보았는데 AI를 활용하고자 하는 시도는 생각보다 오래되었고 검증도 어느 정도 진행되어 있다. 반면 LLM은 이제 활용처가 확산되는 상황이다. 빛이 밝으면 그림자도 짙다고 하는데 강력한 기술의 출현과 발전은 한편으로 공격 또한 고도화된다는 것을 의미한다. 싫든 좋든 사이버 보안에도 AI가 적용되어야 하는 현실이다.

 

AI는 사이버 보안의 열쇠가 될 것이다. AI for Security는 현재 우리가 직면한 다양한 사이버 위협에 효과적으로 대응할 수 있는 강력한 도구이다. 하지만 AI 기술을 성공적으로 도입하기 위해서는 충분한 데이터, 윤리적 고려, 전문 지식이 필요하다. AI 기술을 활용하여 보다 안전하고 신뢰할 수 있는 디지털 환경을 구축하고 미래의 보안 위협에 선제적으로 대응할 수 있을 것이다.