2017.07.28

사람이 놓치는 악성코드, AI는 찾아낸다··· 사일런스 설립자 일문일답

Zeus Kerravala | CSO
한 기업의 데이터와 사람들, 애플리케이션을 보호하는 것이 지금처럼 중요하고 어려운 적은 없었다. 엔트리포인트(entry point)와 연결된 엔드포인트의 수가 급증했으며 악당들은 계속 똑똑해지고 있다. 분명히 변화가 필요하다.

보안 신생기업인 사일런스(Cylance)는 인공지능을 활용해 보안 업계의 판도를 바꾸고 있다. <CSO>는 인공지능이 어떻게 보안에 영향을 미치는지 더 잘 알아보기 위해 최근 사일런스의 창립자 겸 최고 과학자 라이언 퍼르메(왼쪽 사진)를 만나 이야기를 나눴다. 다음은 퍼르메와의 일문일답이다.

CSO : 맥아피 출신인 당신이 세운 사일런스는 기존의 백신 모델을 뒤흔들고 있다. 이전 회사의 문제점은 무엇이었으며 사일런스를 창립한 동기는 무엇이었나?
라이언 퍼르메(이하 퍼르메) :
백신은 수십 년 전에는 훌륭한 기술이었지만 이제는 그동안 진화해 온 위협을 잡아내기에는 역부족이다. 오늘날 더 많은 위협이 더 많은 곳으로부터 등장하고 있으며 백신 솔루션이 놓치는 것이 많다. 백신 기술은 이미 알려진 것만 잡아낼 수 있기 때문에 사후 대응적 속성을 띠고 있다. 바이러스의 숫자와 다양성이 늘어나면 백신을 깰 수 있다. 악당들은 상대적으로 운영 비용이 훨씬 낮기 때문에 시스템은 기하급수적으로 더욱 뒤처지게 된다. 게다가, 새로운 백신 업데이트 제공에는 보통 며칠이 걸리는데 오늘날 기업들 입장에서는 너무 길다. 판을 바꿔야 한다는 것이 명백해졌기 때문에 사일런스를 창립하게 되었다.

CSO : 사일런스의 문제 해결 방식은 어떻게 다른가?
퍼르메 :
더욱 효과적인 대처를 위해 머신러닝을 활용한다. 인간은 태생적으로 비효율적일 수밖에 없다. 서로 관련이 없는 것을 연결하는 능력이 없기 때문이다. 예를 들면, 보험회사들은 20개의 질문을 한 후 데이터를 머신러닝으로 분석함으로써 미래를 정확하게 예측할 수 있다. 이와 비슷한 개념인데 데이터가 훨씬 더 많다고 보면 된다. 과거를 살펴보면 백신 연구자는 평생 1만 개의 바이러스를 접한다고 하는데 오늘날 바이러스 수는 하루에도 70만 개가 넘는다. 오늘날 공격자들을 물리칠 방법은 머신러닝밖에 없다.

CSO : 왜 이제서야 이 방법이 사용되는가?
퍼르메 :
최근 클라우드와 머신러닝, GPU 기술의 발전이 없었다면 사실상 불가능했을 것이다. 우리가 만든 모델을 전통적인 서버에서 실행했다면 몇 달은 걸렸을 것이다. 우리는 수백만 개의 데이터 지점을 이용해 모델을 만들었다. 이 과정은 아마존에서 4만 개의 코어를 동원해 2주가 걸렸다. 클라우드가 없던 시절이라면 어림없는 일이지만 지금은 가능하다.

CSO : 머신러닝은 어떻게 위협을 찾아내는가?
퍼르메 :
보안 업계의 감추고 싶은 비밀이라면 악당들이 창의적이지 않다는 점이다. 대부분은 그냥 기존의 악성코드를 가져다가 조금만 바꿔서 현재 솔루션을 피해 나가곤 한다. 각 악성코드는 종류마다 지문이라 할만한 특징을 남긴다. 따라서 데이터를 수집해 분석하면 우발적 양성 패턴과 우발적 악성 패턴을 찾을 수 있다. 우리의 모델은 상용 하드웨어에서 실행되며 99.7%의 정확도로 악성 프로그램을 식별해낼 수 있다.

CSO : ‘우발적 악성’ 패턴에는 어떤 것이 있는가?
퍼르메 :
우리의 모델은 사실 700만 개가 넘는 특성으로 이루어진 인공신경망으로서 우발적 악성 패턴의 여러 가지 특징을 파악했다. 악당들은 마이크로소프트 제품이 널리 사용되고 있는 점을 노려 파일을 오피스 문서처럼 보이게 만드는 것을 좋아한다. 따라서, 우발적 악성 패턴 중 60%는 파일 크기, 파일 내용 등을 살펴보면 찾아낼 수 있다. 또한, 일반적으로 2.5MB가 넘는 큰 파일은 양성이다. 기본적인 것 같지만 그것이 악성코드 대다수를 차지한다. 중요한 점은 분석해야 할 요소가 많다는 것이며 한 번의 계산으로 “이것이 악성이다”라고 간단히 결론 내릴 수는 없기에 머신러닝이 필요하다.

악성 프로그램의 30%는 문자열의 글자와 같은 다른 엔트로피의 측정치다. 색다르지만 예측력이 뛰어나다. 마지막 10%는 다른 악성코드가 남긴 지문을 이해함으로써 찾을 수 있는 3차 함수다. 인간의 속도로는 따라갈 수 없기 때문에 기계의 장점이 발휘돼야 하는 부분이다. 남겨진 패턴을 인간이 찾는 것은 불가능할지라도 기계는 분명히 알아낼 수 있기 때문이다. 대부분의 백신 시스템은 놓치지만 머신러닝이 빛이 나는 부분이 바로 이 마지막 10%이다.

CSO : 머신러닝 측면이 효과를 거둔 예가 있는가?
퍼르메 :
가장 최근 발생한 워너크라이(WannaCry) 랜섬웨어가 아주 좋은 예다. 새로운 악성코드라서 전통적인 백신 솔루션은 거의 모두 초기에 놓쳤다. 그렇지만 로드된 코드가 악성으로 예측되었기 때문에 머신러닝 알고리즘이 이를 즉시 잡아냈다. 백신 업체들은 결국 솔루션을 내놓았지만 이미 피해를 본 기업과 기관이 많았다.

머신러닝의 가치는 제로데이 위협에 효과적이라는 점에서 가장 잘 드러난다. 이러한 위협은 점점 빠른 속도로 등장하고 있기 때문에 이제 기업들은 보안에 대한 접근 방식을 완전히 바꿔야 한다. 우리는 이제 기존 위협의 60~70%와 새로운 위협의 10~20% 정도만을 잡던 수준을 뛰어넘어 약 99%를 잡아낼 수 있다.

CSO : 마지막으로 한마디 부탁한다.
퍼르메 :
개인적으로 우리는 머신러닝이 세상을 변화시키기 직전에 와 있다고 생각하며 보안 분야에는 엄청나게 긍정적이라고 본다. 해커들이 자동화된 시스템과 인공지능을 사용한다면 인간의 업무 속도로 어떻게 기업을 제대로 보호할 수 있겠는가? 불가능한 것이 현실이다. 사일런스는 기술의 진보를 활용하여 업계를 변화시키고 있는 대표적인 회사다. ciokr@idg.co.kr
 
2017.07.28

사람이 놓치는 악성코드, AI는 찾아낸다··· 사일런스 설립자 일문일답

Zeus Kerravala | CSO
한 기업의 데이터와 사람들, 애플리케이션을 보호하는 것이 지금처럼 중요하고 어려운 적은 없었다. 엔트리포인트(entry point)와 연결된 엔드포인트의 수가 급증했으며 악당들은 계속 똑똑해지고 있다. 분명히 변화가 필요하다.

보안 신생기업인 사일런스(Cylance)는 인공지능을 활용해 보안 업계의 판도를 바꾸고 있다. <CSO>는 인공지능이 어떻게 보안에 영향을 미치는지 더 잘 알아보기 위해 최근 사일런스의 창립자 겸 최고 과학자 라이언 퍼르메(왼쪽 사진)를 만나 이야기를 나눴다. 다음은 퍼르메와의 일문일답이다.

CSO : 맥아피 출신인 당신이 세운 사일런스는 기존의 백신 모델을 뒤흔들고 있다. 이전 회사의 문제점은 무엇이었으며 사일런스를 창립한 동기는 무엇이었나?
라이언 퍼르메(이하 퍼르메) :
백신은 수십 년 전에는 훌륭한 기술이었지만 이제는 그동안 진화해 온 위협을 잡아내기에는 역부족이다. 오늘날 더 많은 위협이 더 많은 곳으로부터 등장하고 있으며 백신 솔루션이 놓치는 것이 많다. 백신 기술은 이미 알려진 것만 잡아낼 수 있기 때문에 사후 대응적 속성을 띠고 있다. 바이러스의 숫자와 다양성이 늘어나면 백신을 깰 수 있다. 악당들은 상대적으로 운영 비용이 훨씬 낮기 때문에 시스템은 기하급수적으로 더욱 뒤처지게 된다. 게다가, 새로운 백신 업데이트 제공에는 보통 며칠이 걸리는데 오늘날 기업들 입장에서는 너무 길다. 판을 바꿔야 한다는 것이 명백해졌기 때문에 사일런스를 창립하게 되었다.

CSO : 사일런스의 문제 해결 방식은 어떻게 다른가?
퍼르메 :
더욱 효과적인 대처를 위해 머신러닝을 활용한다. 인간은 태생적으로 비효율적일 수밖에 없다. 서로 관련이 없는 것을 연결하는 능력이 없기 때문이다. 예를 들면, 보험회사들은 20개의 질문을 한 후 데이터를 머신러닝으로 분석함으로써 미래를 정확하게 예측할 수 있다. 이와 비슷한 개념인데 데이터가 훨씬 더 많다고 보면 된다. 과거를 살펴보면 백신 연구자는 평생 1만 개의 바이러스를 접한다고 하는데 오늘날 바이러스 수는 하루에도 70만 개가 넘는다. 오늘날 공격자들을 물리칠 방법은 머신러닝밖에 없다.

CSO : 왜 이제서야 이 방법이 사용되는가?
퍼르메 :
최근 클라우드와 머신러닝, GPU 기술의 발전이 없었다면 사실상 불가능했을 것이다. 우리가 만든 모델을 전통적인 서버에서 실행했다면 몇 달은 걸렸을 것이다. 우리는 수백만 개의 데이터 지점을 이용해 모델을 만들었다. 이 과정은 아마존에서 4만 개의 코어를 동원해 2주가 걸렸다. 클라우드가 없던 시절이라면 어림없는 일이지만 지금은 가능하다.

CSO : 머신러닝은 어떻게 위협을 찾아내는가?
퍼르메 :
보안 업계의 감추고 싶은 비밀이라면 악당들이 창의적이지 않다는 점이다. 대부분은 그냥 기존의 악성코드를 가져다가 조금만 바꿔서 현재 솔루션을 피해 나가곤 한다. 각 악성코드는 종류마다 지문이라 할만한 특징을 남긴다. 따라서 데이터를 수집해 분석하면 우발적 양성 패턴과 우발적 악성 패턴을 찾을 수 있다. 우리의 모델은 상용 하드웨어에서 실행되며 99.7%의 정확도로 악성 프로그램을 식별해낼 수 있다.

CSO : ‘우발적 악성’ 패턴에는 어떤 것이 있는가?
퍼르메 :
우리의 모델은 사실 700만 개가 넘는 특성으로 이루어진 인공신경망으로서 우발적 악성 패턴의 여러 가지 특징을 파악했다. 악당들은 마이크로소프트 제품이 널리 사용되고 있는 점을 노려 파일을 오피스 문서처럼 보이게 만드는 것을 좋아한다. 따라서, 우발적 악성 패턴 중 60%는 파일 크기, 파일 내용 등을 살펴보면 찾아낼 수 있다. 또한, 일반적으로 2.5MB가 넘는 큰 파일은 양성이다. 기본적인 것 같지만 그것이 악성코드 대다수를 차지한다. 중요한 점은 분석해야 할 요소가 많다는 것이며 한 번의 계산으로 “이것이 악성이다”라고 간단히 결론 내릴 수는 없기에 머신러닝이 필요하다.

악성 프로그램의 30%는 문자열의 글자와 같은 다른 엔트로피의 측정치다. 색다르지만 예측력이 뛰어나다. 마지막 10%는 다른 악성코드가 남긴 지문을 이해함으로써 찾을 수 있는 3차 함수다. 인간의 속도로는 따라갈 수 없기 때문에 기계의 장점이 발휘돼야 하는 부분이다. 남겨진 패턴을 인간이 찾는 것은 불가능할지라도 기계는 분명히 알아낼 수 있기 때문이다. 대부분의 백신 시스템은 놓치지만 머신러닝이 빛이 나는 부분이 바로 이 마지막 10%이다.

CSO : 머신러닝 측면이 효과를 거둔 예가 있는가?
퍼르메 :
가장 최근 발생한 워너크라이(WannaCry) 랜섬웨어가 아주 좋은 예다. 새로운 악성코드라서 전통적인 백신 솔루션은 거의 모두 초기에 놓쳤다. 그렇지만 로드된 코드가 악성으로 예측되었기 때문에 머신러닝 알고리즘이 이를 즉시 잡아냈다. 백신 업체들은 결국 솔루션을 내놓았지만 이미 피해를 본 기업과 기관이 많았다.

머신러닝의 가치는 제로데이 위협에 효과적이라는 점에서 가장 잘 드러난다. 이러한 위협은 점점 빠른 속도로 등장하고 있기 때문에 이제 기업들은 보안에 대한 접근 방식을 완전히 바꿔야 한다. 우리는 이제 기존 위협의 60~70%와 새로운 위협의 10~20% 정도만을 잡던 수준을 뛰어넘어 약 99%를 잡아낼 수 있다.

CSO : 마지막으로 한마디 부탁한다.
퍼르메 :
개인적으로 우리는 머신러닝이 세상을 변화시키기 직전에 와 있다고 생각하며 보안 분야에는 엄청나게 긍정적이라고 본다. 해커들이 자동화된 시스템과 인공지능을 사용한다면 인간의 업무 속도로 어떻게 기업을 제대로 보호할 수 있겠는가? 불가능한 것이 현실이다. 사일런스는 기술의 진보를 활용하여 업계를 변화시키고 있는 대표적인 회사다. ciokr@idg.co.kr
 
X