진화하는 멀웨어, 머신 러닝으로 대응할 수 있을지 의견 분분
[보안뉴스 오다인 기자] 멀웨어와의 전쟁은 현대판 군비 경쟁이다. 멀웨어는 탐지가 어렵도록 진화하는 중이며 이에 대한 대처도 더욱 어려워지고 있다. 그 결과, 멀웨어를 탐지하는 건 빅데이터 문제가 됐다. 스스로 학습하는 기계의 도움으로 애널리스트의 지식을 갖추고, 인간 역량을 뛰어넘는 복잡성을 다루며, 위협 탐지의 정확성을 향상해야 하는 문제가 됐다는 뜻이다.
[이미지=iclickart]
이 문제에는 수많은 접근법이 있지만 보안 엔진의 목적에 부합하는 알고리즘을 선택하는 건 쉬운 일이 아니다. 본 기사는 머신 러닝을 명확하게 프로그래밍 되지 않더라도 컴퓨터가 스스로 학습할 수 있는 인공지능의 적용으로 볼 것이다. 재밌는 질문 하나를 시작으로 실제 사례 및 문제점 몇 가지를 살펴보려고 한다. 머신 러닝이라는 바람이 왜 지금 불고 있을까? 그 답은 더 낮은 비용과 관련이 있고, 실시간으로 빅데이터를 수집, 저장, 분석하기 위한 민간 및 공공 클라우드 기술의 이용가능성을 확대하는 일과 관련이 있다. 또한, 머신 러닝을 둘러싼 학계 연구의 진전과 심층신경망(DNN: Deep Neural Networks) 같은 연관 알고리즘과도 관련이 있다.
머신 러닝 기반의 사이버 보안을 성공적으로 구축한다는 건 코딩 역량과 사이버 분야에 대한 전문성, 수학 및 통계에 대한 깊은 지식 등을 요구하는 다학제적 업무다. 이는 드루 콘웨이(Drew Conway)가 데이터 과학에 대한 벤다이어그램에서 최초로 설명한 바 있다. 머신 러닝 모델은 랜섬웨어와 같은 악성 파일을 분류하고 비정상적인 사용자나 네트워크 행동을 분석하는 데 사용된다. 이밖에도 진보된 공격에 대한 경고 분석을 수행하고, 암호화된 멀웨어 트래픽을 식별하며, 위협 첩보 피드를 통합하면서 간접적인 원격측정장치 신호를 클라우드 보안 경고로 통합시켜 보여주는 데도 머신 러닝 모델이 사용된다.
솔루션을 제대로 실행하려면 선택한 머신 러닝 알고리즘을 3단계 워크플로우에 끼워 넣어야 한다. 1단계는 머신 러닝 엔진이 분석을 수행하는 단계다. 이 단계에서 머신 러닝 엔진은 보통 다른 탐지 기술과 결합돼 향상된 방어를 제공하는데 더 개방적이고 통합된 형태의 방어가 깊은 층위에서 실현될 수 있다. 2단계는 자동적이면서 일원화된 방식으로 네트워크 전체에 조치가 실행되는 단계다. 마지막 3단계는 사이버 위협 첩보(CTI: Cyber Threat Intelligence)가 다른 시스템 및 개체에 공유되는 단계를 말한다. 3단계를 통해 다음의 분석 과제, 즉 피드백을 더욱 풍성하게 하고 이에 맥락을 더할 수 있는 것이다.
사이버 방어에 남겨진 과제와 머신 러닝
머신 러닝 모델의 품질은 원천이 되는 데이터의 품질만큼만 나온다. 흔히 “쓰레기를 넣으면 쓰레기가 나온다”라는 문구로 통용된다. 마찬가지로 특정 분야에 대한 전문성이나 맥락 없이 분석을 수행하는 것은 잘못된 방향으로 나아가는 일이 될 수 있으며 해당 엔진의 성능이나 정확도 측정을 어렵게 만들 수 있다.
2017 인텔 시큐리티 위협 전망 보고서도 지적했듯이, 공격자들이 공격 단계마다 다른 기계를 사용한다는 사실 역시 또 다른 과제다. 그러나 가장 흥미로운 부분은 바로 공격자들이 머신 러닝의 방어 엔진을 사실상 조작할 수 있다는 데서 오는 위험이다. 지난 해 미국의 격월간지 파퓰러사이언스(Popular Science)에서 데이브 게르쉬고른(Dave Gershgorn)이 언급한 것처럼 대표적인 사례로 구글 연구진이 무인 자동차를 속이기 위해 도로 표지판을 조작한 것을 꼽을 수 있다. 당시 연구진은 블랙박스 공격 원리를 사용했는데 이 원리는 사이버 영역에서 기계를 속일 때도 똑같이 사용될 수 있다.
기계는 인간 삶의 많은 부분을 넘겨받고 있다. ‘자율자동차’라고들 하지 않는가? 그러나 앞서 언급한 장단점들을 고려해볼 때, 기계가 우리의 방어 시스템까지 넘겨받도록 해야 한다고 생각하는가? 이에 대한 대답은 ‘그렇다’도 되고 ‘아니다’도 된다. 특정한 규모나 복잡성에 있어서 기계가 인간 역량을 뛰어넘을 수는 있다. 기계는 조작될 수 있지만 인간도 마찬가지로 조작될 수 있다. 논쟁은 계속될 것이다. 그러나 시장에서 웅성대는 소리를 들어보면 우리가 사이버 방어를 수행하는 방식을 기계가 이미 바꿔놓고 있다는 건 분명한 사실 같다.
글 : 아비람 즈라히아(Aviram Zrahia)
[국제부 오다인 기자(boan2@boannews.com)]
[보안뉴스 오다인 기자] 멀웨어와의 전쟁은 현대판 군비 경쟁이다. 멀웨어는 탐지가 어렵도록 진화하는 중이며 이에 대한 대처도 더욱 어려워지고 있다. 그 결과, 멀웨어를 탐지하는 건 빅데이터 문제가 됐다. 스스로 학습하는 기계의 도움으로 애널리스트의 지식을 갖추고, 인간 역량을 뛰어넘는 복잡성을 다루며, 위협 탐지의 정확성을 향상해야 하는 문제가 됐다는 뜻이다.
[이미지=iclickart]
이 문제에는 수많은 접근법이 있지만 보안 엔진의 목적에 부합하는 알고리즘을 선택하는 건 쉬운 일이 아니다. 본 기사는 머신 러닝을 명확하게 프로그래밍 되지 않더라도 컴퓨터가 스스로 학습할 수 있는 인공지능의 적용으로 볼 것이다. 재밌는 질문 하나를 시작으로 실제 사례 및 문제점 몇 가지를 살펴보려고 한다. 머신 러닝이라는 바람이 왜 지금 불고 있을까? 그 답은 더 낮은 비용과 관련이 있고, 실시간으로 빅데이터를 수집, 저장, 분석하기 위한 민간 및 공공 클라우드 기술의 이용가능성을 확대하는 일과 관련이 있다. 또한, 머신 러닝을 둘러싼 학계 연구의 진전과 심층신경망(DNN: Deep Neural Networks) 같은 연관 알고리즘과도 관련이 있다.
머신 러닝 기반의 사이버 보안을 성공적으로 구축한다는 건 코딩 역량과 사이버 분야에 대한 전문성, 수학 및 통계에 대한 깊은 지식 등을 요구하는 다학제적 업무다. 이는 드루 콘웨이(Drew Conway)가 데이터 과학에 대한 벤다이어그램에서 최초로 설명한 바 있다. 머신 러닝 모델은 랜섬웨어와 같은 악성 파일을 분류하고 비정상적인 사용자나 네트워크 행동을 분석하는 데 사용된다. 이밖에도 진보된 공격에 대한 경고 분석을 수행하고, 암호화된 멀웨어 트래픽을 식별하며, 위협 첩보 피드를 통합하면서 간접적인 원격측정장치 신호를 클라우드 보안 경고로 통합시켜 보여주는 데도 머신 러닝 모델이 사용된다.
솔루션을 제대로 실행하려면 선택한 머신 러닝 알고리즘을 3단계 워크플로우에 끼워 넣어야 한다. 1단계는 머신 러닝 엔진이 분석을 수행하는 단계다. 이 단계에서 머신 러닝 엔진은 보통 다른 탐지 기술과 결합돼 향상된 방어를 제공하는데 더 개방적이고 통합된 형태의 방어가 깊은 층위에서 실현될 수 있다. 2단계는 자동적이면서 일원화된 방식으로 네트워크 전체에 조치가 실행되는 단계다. 마지막 3단계는 사이버 위협 첩보(CTI: Cyber Threat Intelligence)가 다른 시스템 및 개체에 공유되는 단계를 말한다. 3단계를 통해 다음의 분석 과제, 즉 피드백을 더욱 풍성하게 하고 이에 맥락을 더할 수 있는 것이다.
사이버 방어에 남겨진 과제와 머신 러닝
머신 러닝 모델의 품질은 원천이 되는 데이터의 품질만큼만 나온다. 흔히 “쓰레기를 넣으면 쓰레기가 나온다”라는 문구로 통용된다. 마찬가지로 특정 분야에 대한 전문성이나 맥락 없이 분석을 수행하는 것은 잘못된 방향으로 나아가는 일이 될 수 있으며 해당 엔진의 성능이나 정확도 측정을 어렵게 만들 수 있다.
2017 인텔 시큐리티 위협 전망 보고서도 지적했듯이, 공격자들이 공격 단계마다 다른 기계를 사용한다는 사실 역시 또 다른 과제다. 그러나 가장 흥미로운 부분은 바로 공격자들이 머신 러닝의 방어 엔진을 사실상 조작할 수 있다는 데서 오는 위험이다. 지난 해 미국의 격월간지 파퓰러사이언스(Popular Science)에서 데이브 게르쉬고른(Dave Gershgorn)이 언급한 것처럼 대표적인 사례로 구글 연구진이 무인 자동차를 속이기 위해 도로 표지판을 조작한 것을 꼽을 수 있다. 당시 연구진은 블랙박스 공격 원리를 사용했는데 이 원리는 사이버 영역에서 기계를 속일 때도 똑같이 사용될 수 있다.
기계는 인간 삶의 많은 부분을 넘겨받고 있다. ‘자율자동차’라고들 하지 않는가? 그러나 앞서 언급한 장단점들을 고려해볼 때, 기계가 우리의 방어 시스템까지 넘겨받도록 해야 한다고 생각하는가? 이에 대한 대답은 ‘그렇다’도 되고 ‘아니다’도 된다. 특정한 규모나 복잡성에 있어서 기계가 인간 역량을 뛰어넘을 수는 있다. 기계는 조작될 수 있지만 인간도 마찬가지로 조작될 수 있다. 논쟁은 계속될 것이다. 그러나 시장에서 웅성대는 소리를 들어보면 우리가 사이버 방어를 수행하는 방식을 기계가 이미 바꿔놓고 있다는 건 분명한 사실 같다.
글 : 아비람 즈라히아(Aviram Zrahia)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
