사이버공격 막아줄 기대주 '머신러닝'… 왜? 어떻게? 한계는?

Network World
시장의 판도를 바꾸는 기술인 머신러닝이 기업 네트워크 보호의 새로운 수준을 제시할 수 있을 것이다.



지난 몇 년 동안 데이터 유출 사건 수는 충격적이다. 이를 고려해 볼 때 증가하는 위협의 수에 기업들이 점점 더 압도되고 있다고 할 수 있다.

하지만 새로운 종류의 보안 솔루션이 등장하여 머신러닝을 기업 보안에 적용하는 방법을 제시하고 있다. 이런 툴은 네트워크를 분석하고 파악해 변칙을 찾아내고 기업을 위협에서 보호하는 기능을 제공한다.

그렇다면 머신러닝이 오늘날의 사이버 보안 문제의 해답일까? 업계 애널리스트와 이들 제품을 개발하는 기업들은 수요가 점차 증가하고 있으며 사용자들의 초기 반응이 긍정적이라는 분석이다.

451 리서치(451 Research)의 수석 보안 분석가 에릭 오그렌은 "머신러닝이 2016년의 주요 보안 트렌드"라며 "모든 보안 책임자는 이제 행동 분석 제품이 정적 예방 방어책을 빠져나가는 공격을 잡아낼 가능성이 가장 높다는 사실을 알고 있다"고 말했다.

오그렌은 머신러닝이 행동 접근방식의 심장이라며 "보고 듣고 배우는 것보다 나은 방법은 없다"고 밝혔다. 이어서 "머신러닝은 사용자, 기기, 웹사이트의 정상적인 활동에 통계적 프로필을 정의하는 행동을 관찰한다. 위협 방지 방어책을 빠져나가거나 인증 활동을 남용하는 공격으로부터 중대한 피해를 방지하기 위해 행동 분석의 기초를 제공하기 때문에 중요하다"고 덧붙였다.

머신러닝의 장기적인 이점은 조직이 일반적으로 용인되는 IT 활동과 매끄럽게 통합되는 확률적이고 예측적인 보안 접근방식을 활용할 수 있다는 점이라고 오그렌은 강조했다. 또 "보안의 좋고 나쁨을 1초와 0초 이내에 측정하는 주요 클라우드 및 미디어 기업에서 효과가 나타나고 있으며 즉각적인 결과가 나타날 수 있는 주요 비즈니스 붕괴의 위험이 낮아지고 있다"고 이야기했다.

잠재적인 문제
새로운 기술과 마찬가지로 머신러닝에도 잠재적인 문제점이 있다. 오그렌에 따르면, 여러 업체의 머신러닝 알고리즘 품질을 판단하기가 어려울 수 있다. 그는 "품질이 결과로 나타난다"며 "우리는 사용자, 기기, 웹사이트의 일부 개별적인 사용례에 집중하는 개념 증명 프로젝트로 제품의 효과를 입증하는 것이 좋다고 생각한다"고 당부했다.

조사 기업 EMAI(Enterprise Management Associates Inc.)의 조사, 보안, 위험 관리 책임자 데이비드 모나한은 머신러닝이 엄청난 보안 향상으로 이어질 수 있지만 가장 중요한 것은 아니라고 지적했다. 모나한은 "한계와 우수 적용사례가 있다. 정상을 벗어나는 것을 확인하여 보안을 확보하는 훌륭한 툴이며 평가 또는 조사가 필요하다"고 의견을 밝혔다.

---------------------------------------------------------------
머신러닝 인기기사
->기계 학습을 최대한 활용할 수 있는 11가지 오픈소스 도구
->'인지, 신경, 딥, 머신?'··· AI 분야 기본 개념 따라잡기
->MS 애저 머신러닝 리뷰 : 기대되는 전문가용 머신러닝 서비스
->칼럼 | 성큼 도래한 유비쿼터스 AI 세상··· 마음의 준비를 'Her'하라
->기고 | 기계 학습 대중화 노린다 'MS의 애저 머신 러닝'
->기계 학습을 최대한 활용할 수 있는 11가지 오픈소스 도구
->인공지능의 무한질주···협상·테스팅에도 접목
---------------------------------------------------------------

보안 부문에서는 사용하는 머신러닝의 주요 유형은 감독형(Supervised)과 비감독형(Unsupervised)이 있다. 모나한은 "다양한 것들에 효과가 있지만 결국 제공된 데이터 세트에서 이상 징후를 찾아낸다"며 "따라서 제공되는 데이터에 따라 효과가 결정된다. 그래서 [머신러닝은] 근본적인 기술이 아니라 부수적인 기술일 뿐이다"고 주장했다.
 

주요 이점
모나한에 따르면, 이 기술의 주요 이점은 크고 다양한 데이터 세트에서 트렌드, 패턴, 이상 감지 기능과 속도다.

모나한은 "현재 대부분의 빅데이터 툴보다 빠르며, 실시간이나 실시간 가까운 수준(수 초에서 수 분)으로 동작할 수 있고 데이터 세트 일괄 처리를 기다릴 필요가 없다"고 강조했다. 머신러닝을 이용하는 보안 기술을 제공하는 블루벡터(BluVector)의 사장 겸 CEO 크리스 러브조이는 머신러닝의 필요성이 2가지 사실에 기초하고 있다고 밝혔다.

하나는 위해를 찾아내는데 긴 시간이 소요된다는 점이며 다른 하나는 많은 경우에 기업들이 피해를 입은 제 3자로부터 정보를 얻게 된다는 점이다. 러브조이는 "위험에 앞서 조직은 피해가 발생하기 전에 발견해 근절할 수 있는 역량이 필요하다"고 주장했다.

머신러닝을 활용하는 보안 툴 제공사 프리러트(Prelert)의 제품 부사장 마이크 파케트는 "가능한 모든 공격 벡터를 예측할 수 없으며 예측한 벤더를 감지하는 규칙을 수동으로 만들 여력이 없다는 사실을 기업들이 깨달았다"고 설명했다. 이어서 "이런 요소 공격 행동을 지속적으로 감지할 수 있는 방식으로 보안 관련 로그 데이터에 대한 분석을 자동화는 방법을 찾고 있다"고 덧붙였다.

현재 머신러닝을 활용하는 보안 툴은 다음과 같다.

• 어큐어티 솔루션스(Acuity Solutions)는 잠재 위협을 파악하고 우선순위를 설정하는 메커니즘으로 머신러닝을 활용하는 악성코드 감지 및 사이버 사냥 제품인 블루벡터(BluVector)를 제공한다. 이러한 위협이 파악되면 위협을 조사하고 분류하는 헌터(Hunter)와 리스폰더(Responder)를 위한 포렌식(Forensic) 패키지가 생성된다.

• 데이터가이즈(Dataguise)의 DSM(DgSecure Monitor)은 사용자 행동이 일반적인 행동 프로필에서 벗어날 때마다 경보를 생성하기 위해 머신러닝과 행동 분석을 활용하는 데이터 유출 감지 제품이다. 민감한 데이터를 보호하는지 여부에 상관없이 DSM은 이 기능을 사용자 정의 정책과 함께 활용하는 데이터 거버넌스 정책을 손쉽게 만들 수 있다.

• 딥 인스팅트(Deep Instinct)는 두뇌가 학습을 통해 물체를 인지하고 그 신원을 제 2의 천성으로 변화시키는 능력에서 영감을 얻은 딥 러닝(Deep Learning) 이라는 제품을 제공한다. 딥 인스팅트는 사이버 보안에 딥 러닝을 적용함으로써 이 과정을 학습과 예측이라는 2단계에 활용한다. 그 결과, 소스에 상관없이 가장 약삭빠른 사이버 공격에도 직감적인 사이버 보호를 제공한다.

• 디스틸 네트웍스(Distil Networks)는 악성 봇(Bot), API 남용, 사기로부터 웹 애플리케이션을 보호하는 기술을 제공한다. 디스틸의 각 고객은 공격 패턴을 실시간으로 분석하는 글로벌 머신러닝 인프라를 활용할 수 있다. 예를 들어, 디스틸은 100개 이상의 동적 분류의 상관성을 분석하여 봇을 선제적으로 예측하고 사이트의 유일무이한 트래픽 패턴 별로 행동 이상을 정확히 찾아낸다.

• 프리러트는 보안을 위해 머신러닝 기술을 활용하는 3가지 고급 위협 감지 제품을 제공한다. 이 3가지는 기업의 로그 데이터에서 정상 행동의 기준선을 만들고 사이버 공격 활동과 관련된 데이터에서 이상 또는 비정상 패턴을 확인하는 비감독형 머신러닝 기술을 활용하는 프리러트의 행동 분석 엔진을 중심으로 개발되었다.

머신러닝에 대한 기대
머신러닝 기술을 활용하는 기업들은 초기의 성공을 보고하고 있다. 커뮤니티 뱅킹 서비스를 제공하는 오스타운 뱅크(Orrstown Bank)는 걷잡을 수 없이 증가하는 신용 및 직불 카드 사기를 해결하기 위해 머신러닝 기술을 활용하기 시작했다.

오스타운 뱅크의 수석 부사장 겸 CISO 앤드류 린은 "몇 가지 이유 때문에 카드 사기가 증가하고 있지만 기본적으로는 상인들의 카드 데이터 유출량 때문이다"고 말했다. 그는 "사기 감지 솔루션이 기본적인 감지 기능만을 제공하거나 일반적인 커뮤니티 은행에는 너무 비싸다"고 지적했다.

오스타운은 프리러트와 협력해 머신러닝 기술을 이용해 카드 사기 문제를 해결하고 있다. 본래는 기술 자산의 이상을 감지하기 위해 개발되긴 했지만 오스타운은 프리러트의 제품이 인간 카드 사용 행동을 포함하여 인간 행동의 이상도 감지할 수 있다는 사실을 발견했다.

린에 따르면, 사기꾼들은 종종 훔친 카드를 사용할 때 구매 패턴을 따르곤 한다. 예를 들어, 그들은 처음에 저렴한 물건을 구매하여 카드를 여전히 사용할 수 있는지 확인한다. 이 시험 거래를 통과하면 곧바로 더 큰 금액의 거래를 실행에 옮긴다.

프리러트의 머신러닝에 기초한 사기 채점 엔진은 은행이 초기 사기 거래를 감지하는데 도움이 됐기 때문에 더 큰 금액의 후속 사기 거래를 막을 수 있다.

이 기술은 시간대, 금액, 위치, 제품 종류 등의 여러 차원에서 카드 사용 이상을 감지하고 이를 오스타운이 제공하는 알려진 사기 거래의 패턴에 관한 전문 지식과 결합하여 사기를 파악한다.

린은 "최근에야 이 솔루션을 사용하기 시작했지만 초기의 결과로 사기 손실이 최대 50% 감소했다"고 밝혔다.


바라던 대로다
또 다른 머신러닝 사용자인 티켓 재판매 서비스 제공사 스터브허브(StubHub)는 약 18개월 동안 디스틸의 기술을 통합했다. 스터브허브의 기술 운영 책임자 마티 부스에 따르면, 새로운 보안 위협이 나타날 때마다 디스틸은 계정 탈취에 대항하기 위해 스터브허브의 더 큰 보안 전략의 중요한 부분이 되었다.

부스에 따르면, 디스틸이 제공하는 머신러닝 기능은 스터브허브로 유입되는 트래픽 내에서 감지하는 패턴으로 학습하기 때문에 봇이 얼마나 나쁜지 그리고 다른 보안 문제가 어떻게 발달하는지 예측할 수 있다.

스터브허브와 디스틸은 매일 협력하여 현재 상황과 스터브허브가 미래에 예상하는 일을 파악할 수 있다. 부스는 "봇과 기타 악의적인 트래픽 유형이 빠르게 발전하면서 네트워크와 플랫폼들은 부지런히 새로운 전략을 미리 마련해야 한다"고 강조했다.

스터브허브에서는 구매가 즉각적인 디지털 재화의 이전을 구성하는 경우가 많다. "따라서 봇과 다른 위협이 우리의 네트워크에 위해를 가하지 못하도록 하는 것이 중요하다"며 부스는 다음과 같이 말했다.

"이것이 사업 위험이다. 디스틸은 우리가 현재의 문제를 해결하고 미래의 위협이 발달하는 방식에 대비할 수 있는 방법을 찾는데 도움이 된다."

총유전체, 표현형, 임상 데이터에 관한 세계 최대 규모의 가장 포괄적인 데이터베이스를 구축하는 기술을 제공하는 HLI(Human Longevity Inc.)는 자사의 사업 및 기업 플랫폼에서 정상 네트워크 활동이라고 여기는 것을 특징 짓기 위해 2015년 9월부터 다크트레이스(Darktrace)의 EIS(Enterprise Immune System)를 사용하기 시작했다.

IT보안 책임자 톰 브랜들은 "네트워크에서 비정상적인 활동을 파악하고 팀들이 이런 이상 분석에 집중하여 그 위협 수준을 판단하는 것이 목표였다"고 이야기했다.

브랜들은 "다크트레이스의 머신러닝 기술은 우리의 환경에서 삶의 패턴을 학습하여 네트워크에서 정상인 것을 파악함으로써 비정상 활동을 확인할 수 있다"고 말했다. 이어서 "이를 통해 프로그래머 및 전문가들은 EIS가 파악한 이상을 검토하고 위협의 수준과 취할 조치를 판단하는 등 자신들의 강점을 살릴 수 있다"고 덧붙였다.

이 기술의 가장 큰 장점은 해당 기업이 자사의 환경에서 일어나는 일에 대해 더 많은 것을 보고 파악하게 되었다는 점이다. 시장 전문가들은 앞으로 정보 보안을 강화하기 위해 새로운 기능이 등장할 것으로 전망했다.

딥 인스팅트의 CEO 가이 카스피는 "인간 두뇌의 인공적인 버전을 만드는 것에 대한 이론적인 한계는 없다"고 주장했다. 그는 "딥 러닝을 통해 엄청난 속도로 이 목표에 접근하고 있다. 특히, 비감독형 학습에서 앞으로 흥미로운 많은 혁신이 있을 것이다"고 이야기했다.

카스피는 "딥 러닝이 컴퓨터 비전, 스피치, 텍스트 파악에 성공적으로 적용되었지만 잠재적으로 혁신할 수 있는 다른 많은 문제 영역이 있다"고 주장했다.

데이터가이즈의 CTO 벤카트 서브라마니안은 "머신러닝이 인공 지능과 데이터 공학의 중심이 되면서 지속적으로 개발 및 학습 알고리즘의 혁신을 유도할 것이다"고 전망했다.

서브라마니안도 "데이터 집약적인 분석이 이뤄지고 있는 모든 산업에서 이 기술이 도입되고 있으며 엄청난 빅데이터 도입률은 분석 전반에 걸친 통합을 가속화하는 추세다"고 전했다.

"모든 컴퓨팅 영역으로 확산될 것이며 특히 기업 보안에 대한 위반과 민감한 정보에 대한 원치 않는 접근을 감지하고 방어하는데 유용할 것이다"고 서브라마니안은 분석했다. ciokr@idg.co.kr