[보안뉴스 문가용 기자] 마이크로소프트가 머신러닝을 사용해 공격자의 다음 단계를 미리 예측하고 공격의 주체를 특정 짓는 방법을 개발 중에 있다는 소식이다. MS의 개발자 블로그에 따르면 MS는 엔드포인트와 클라우드 보안 제품을 통해 수집된 위협 행위자들의 데이터를 머신러닝 알고리즘에 학습시켰고, 이를 통해 방어자가 공격자의 의중과 다음 행위를 파악하는 데 도움이 될 ‘시그널’을 추려내는 데 성공했다고 한다.
[이미지 = utoimage]
만약 이러한 접근법이 효과를 거둔다면 방어자들의 대응 시간이 크게 개선될 것으로 예상되며, 동시에 공격 배후 세력을 파악하는 것도 보다 정확해질 것으로 보인다. MS의 보안 연구 디렉터인 탠메이 가나차랴(Tanmay Ganacharya)는 “사이버 공격과 위협은 빨리 발견하면 할수록 좋은 것이며, 침해의 규모를 이해하고 다음 공격 순서를 미리 예측할 수 있게 된다면 방어가 획기적으로 변할 것”이라고 설명했다.
“공격이 어떤 방향으로 진행되느냐는 공격자의 최종 목적이 무엇이며, 어떤 전략과 기술을 사용하고 있는지에 따라 결정됩니다. 즉 배후 세력을 이해하고, 공격의 전략, 전술, 기술을 파악하는 것이 방어의 효율을 높이는 데 중요한 요인이라는 겁니다.”
4월 초에도 MS는 또 다른 블로그를 통해 머신러닝과 위협 첩보를 조합하는 연구를 진행하고 있다고 발표했었다. 이 때 언급된 건 마이터(MITRE)의 어택(ATT&CK)이라는 프레임워크였다. 어택 프레임워크에 등록된 공격자들의 기술과 전술을 머신러닝에 학습시킴으로써 효과적이고 빠른 대응을 할 수 있는지를 실험한다는 것이었다. 여기에 고객사 엔드포인트에서 발생한 데이터까지 추가한다는 게 MS의 방향성이다.
머신러닝을 보안에 활용하는 이야기는 수년 전부터 있어 왔지만, 아직 실제 현장에서 사용되는 사례는 드문 편이다. ‘인공지능 기반 보안’ 기술은 아직 초기 단계라고 볼 수 있다. 물론 인공지능과 첩보를 혼합해 사용하는 경우가 이미 70%에 다다르고 있지만 이중 불만족스럽다는 반응이 54%를 넘는 것으로 SANS 인스티튜트가 조사한 바 있다. 머신러닝이라는 것이 우리가 상상하는 것과 같은 효과를 아직 거두지 못하고 있는 것이다.
MS도 아직 연구가 초기 단계에 있다는 것을 인정한다. “머신러닝이 위협 첩보를 학습하게 한다는 개념을 실제 현장에서 활용한 가능한 수준으로 실현시키려면 아직 시간이 좀 더 걸릴 것으로 예상합니다. 하지만 현재까지 진행된 연구 결과는 충분히 성공적이며, 따라서 앞으로 나올 결과에 대해서도 희망을 가질 수 있습니다. 특히 사람이 직접 수행하는 공격의 경우 높은 확률로 탐지가 가능함을 여러 실험을 통해 입증한 바 있습니다.”
MS의 이러한 연구 및 실험에 가장 많이 소비되는 건 마이크로소프트 디펜더(Microsoft Defender)에서 수집되는 데이터들이다. 이런 데이터들을 베이지안 네트워크 모델(Bayesian Network Model)에 적용한다. 베이지언 네트워크는 정보 보안 분야에 있어서는 안티스팸 엔진과 연관성이 가장 높다. “이렇게 했을 때 데이터를 대량으로 학습시키면 인간이 지도 학습을 통해 가져갈 수 없는 통찰을 얻어낼 수 있게 됩니다.”
여기에다가 확률 모형까지 함께 사용한다면 분석가들이 공격자의 다음 행위를 예측하는 데에 도움이 된다. 여기에는 마이터의 어택 프레임워크가 적잖은 역할을 한다. 확률 모형은 어택 프레임워크를 기준으로 현재까지 입력된 공격자의 행위 관련 데이터를 분석하고, 이를 바탕으로 가장 가능성 높은 다음 행위를 예상해 사용자에게 알려준다. “또한 공격자들이 전략을 수정할 때마다 업데이트가 가능하기도 합니다.”
그러나 아직 넘어야 할 산들이 남아 있다. “먼저는 위협 행위자의 전략과 움직임, 기술에 대한 양질의 정보를 꾸준히 확보해 주입할 수 있어야 합니다. 이 부분에 있어서는 데이터를 감수 및 검수할 인간 데이터 분석가의 역할이 있어야 합니다. 학습할 데이터의 질과 양이 보장되지 않으면 연구 성과가 미비할 것입니다.”
가나차랴는 “훈련용 데이터가 공격자의 실제 행위들을 반영하지 않는다면, 알고리즘의 예측이라는 것이 부정확하고 무의미하게 될 것”이라고 계속해서 설명했다. “그렇다면 오히려 방어에 방해가 되겠죠. 시간도 지연시키고요. 여태까지의 연구 진행이 성공적이었지만, 앞으로가 더 조심스럽습니다.”
3줄 요약
1. 마이크로소프트, 머신러닝 활용해 다음 공격 수순 예측하게 해 주는 모델 개발 중.
2. 마이터의 어택 프레임워크와 마이크로소프트 디펜더에서 수집되는 데이터로 학습시키는 중.
3. 여태까지는 괜찮게 연구가 진행됐지만, 앞으로 양질의 데이터 더 확보해야 의미가 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>