갈수록 해킹 같은 사이버 위협이 폭증하고 공격 양상도 복잡해지면서 인공지능(AI)을 사이버 보안에 적용해야 한다는 목소리가 높아지고 있다. 인터넷 환경은 급변하는데 사람이 일일이 이상징후를 탐지·대응하는 전통 방식은 한계에 도달했다는 분석이다.
AI 활용 성패는 양질의 데이터 구축과 알고리즘 고도화에 달렸다. 이미 구글이나 IBM, MS 등은 기존 자사의 클라우드 서비스에 AI를 입혀 보안서비스를 제공 중이다. 그러나 현재 국내 보안업체 대부분은 규모도 영세하고 전문인력도 부족해 AI 보안 기술 개발에 어려움을 겪고 있다.
◇ "AI를 보안에 활용하면 단순반복·수작업 대체, 대응시간 단축"30일 한국인터넷진흥원(KISA)에 따르면 지난해 기준, 하루에만 평균 2만 3883건의 악성코드가 탐지됐다. ▲스미싱 메시지 1376건 ▲홈페이지 통한 악성코드 유포 건수는 37건 ▲피싱·파밍 사이트 35건 ▲랜섬웨어 피해 신고 건수는 16건에 달한다. 모두 하루 평균 집계된 수치다.
지난해 전 세계적으로 발견된 악성코드는 7억 건에 달한다. 유사·변종코드는 하루에만 100만 건 이상 쏟아지고 있다.
기하급수적으로 늘고 있는 신규기기의 IoT 연결과 자율주행차, 스마트시티 등 정보통신기술(ICT) 기술 융합이 가속화되면서 앞으로 사이버 보안은 더 위협받을 것으로 우려되고 있다. 보안전문가들이 일일이 수동으로 분석해 대응하는 방식은 한계에 직면했다는 지적이다.
강필용 한국인터넷진흥원(KISA) 정보보호연구개발(R&D)기술공유센터장은 "AI 기술로 새로운 공격에 대응하고 단순반복 작업을 대체해야 한다"고 주장했다. "사이버보안 위협이 늘고 보안 패치가 나오지 않은 신규 취약점 공격도 증가하고 있지만, 정해진 룰이나 알려진 방식에만 대응하는 기존 방식으로는 유사 변종 등장 시 놓치는 경우가 많다"는 이유에서다.
강 센터장은 "AI가 보안전문가를 대체할 수는 없지만, 전문의 진료를 기다리는 동안 AI 의사가 영상을 분석해 진단하는 것처럼 단순반복적인 진단이나 수작업을 대체하고 보다 빠르고 정확한 판단을 내릴 수 있다"고 말했다.
기존에는 코드나 실행순서, 이름을 조금만 바꿔도 탐지하기 힘들었던 것을 AI는 새로운 데이터가 들어오면 특성을 뽑아내고 군집화해 바로 걸러낸다. 이런 식으로 이상징후나 공격시도를 AI가 탐지한 뒤 전문가의 판단을 보조하면 새로운 공격에도 대응 시간을 단축할 수 있다. 이는 전문적인 의사결정에 도움을 주고 사후 대응이 아닌 '사전 차단'으로 안전한 사이버 환경을 만들 수 있다.
미국 정보보안업체 파이어아이(FireEye)에 따르면 정보보안 사고 발생 시 이를 분석·식별하는데 평균 99일이 걸린다. 반면, KISA가 개발 중인 '악성코드 고속분류 시스템'(분석된 악성코드와의 유사성 확인을 통해 유사/변종 악성코드 분류)으로 3만 8984개의 유사·변종 악성코드를 분류한 결과, AI는 약 95%의 정확도를 보였다.
이런 AI 기술로 악성코드를 분류하면 하루에 10만 건 이상의 샘플을 분류해 침해대응 시간을 크게 줄일 수 있을 전망이다.
◇ AI 활용 성패는 양질의 데이터 확보…국내 규모 영세, 전문인력 부족마이크로소프트(MS), IBM, 구글 등은 클라우드 서비스 등 이미 가진 막강한 인프라를 앞세워 AI 보안 분야에 뛰어들었다. 특히 IBM은 자사의 AI 왓슨에다 100만개의 인터넷 침해사고 보고서를 학습시켜 어떤 상황에 어떻게 대처해야할지 신속 정확하게 추천해주는 등 지능을 상당한 수준으로 끌어올렸다.
특히 자체 클라우드에 보안까지 하고 있는 IBM은 전세계적인 모니터링 환경을 기반으로 AI 보안 서비스의 '클라우드화'에 나섰다.
특정 보안 솔루션이 아닌 AI 보안 클라우드로 기업에 제공하면, 정보 보안 전문가가 아니더라도, 이를 이용해 유사변종이나 새로운 공격이 발생했을 때 어떻게 대응할지 추천, 재빨리 대응할 수 있도록 도와준다.
반면, 국내 보안업체들은 아직 갈 길이 멀다. 규모도 영세하고 전문인력이 부족해 AI 보안 기술 개발이 부진한 상황이다. 특히 양질의 데이터를 구하기 어렵다는 점이 가장 큰 난관이다.
차세대 사이버 보안 기술 연구·검증 등을 위해서는 양질의 데이터 확보가 필수적이다. 양질의 학습데이터를 확보하면 보안에 특화된 알고리즘을 개발할 수 있다. 특히 사이버보안 분야에 AI 기술 적용도 활발한 가운데, 기계학습에 필요한 데이터가 AI 기술의 품질을 좌우한다는 것이 KISA의 설명이다.
강 센터장은 "앞으로 3~4년, 늦어도 5년 이내에 인공지능 기술을 확보하지 못한 보안업체는 살아남기 어려울 것"이라며 "국내 기업들이 양질의 데이터와 알고리듬을 확보하도록 체계적인 지원이 필요하다"고 말했다.
◇ 양질 데이터 공유 'DHS 데이터 셋' 가입 추진…KISA 데이터 챌린지 개최현재 우리 정부는 악성 트래픽 등 사이버보안 데이터와 분석 도구를 공유하는 IMPACT(The Information Marketplace for Policy and Analysis of Cyber-risk & Trust) 가입을 추진 중이다. IMPACT는 미국 학계·산업계·비영리단체·정부 기관과 7개 국가가 참여해 데이터셋을 구축한다. 현재 IMPACT에서는 미 국토안보부(DHS)의 승인을 받은 호주, 캐나다, 이스라엘, 일본, 네덜란드, 싱가포르, 영국이 고품질의 데이터를 공유해 이용 중이다.
오주현 KISA 보안기술확산팀장은 "아직 구체적 날짜는 합의되지 않았지만, 한미 고위급 정상회담에서 이와 같은 합의가 진행됐다"며 "현재 과기정통부가 DHS와 구체적 방안을 합의 중이고, KISA는 이에 대한 필요 사항을 지원하고 있다"고 말했다.
미국뿐 아니라 일본 등 해외 주요 국가의 경우 AI 보안 시스템 구축을 목표로 민관 데이터 공유를 위해 팔을 걷어붙이고 있다. 일본의 경우 정부 기관 등이 보유한 악성코드 데이터를 공유해 분석결과 등을 경쟁하는 대회를 지난 2008년부터 진행 중이다.
KISA도 지난해부터 AI 기술을 활용해 사회문제를 해결하기 위한 AI R&D 챌린지를 개최하고 있다. KISA가 보유한 각종 침해사고 데이터를 대회 참가자들에게 제공하고, 이를 바탕으로 악성코드나 차량 이상징후 파악 등 총 4개 분야에 걸쳐 경쟁을 벌인다. 대회 입상 시 상금과 함께 입상팀이 후속 연구를 진행할 수 있도록 연구개발은 물론, 취업 창업 같은 실질적인 지원도 제공한다.
올해부터는 이를 본격적으로 확대 개편해 운영할 방침이다. 오는 9월 10일부터 11월 9일까지 두 달에 걸쳐 참가 접수를 받고 온라인 예선을 진행한다. 상금도 지난해 총 600만 원에서 2500만 원으로 대폭 늘렸다.
오주형 KISA 보안기술확산팀장은 "전 세계적으로 이런 대회가 늘어나고 있으며, 이는 현실의 문제를 데이터로 묶고 분석해 사회 현안을 해결하는데 목표를 두고 있다"고 설명했다.