보안업계도 AI가 싹 바꾼다

[테크월드뉴스=주가영 기자] AI 기술의 실생활 적용 영역이 늘어나면서 보안산업 역시 이에 대한 대비와 활용에 주목하고 있다. AI를 활용한 사이버 공격의 자동화·지능화 같은 같은 부작용도 있지만 역으로 이를 활용한 대응 기술이 개발되는 등 그야말로 창과 방패의 싸움이 전개되고 있다. 

▶ 보다 높은 효율성과 정확성을 제공 

현대사회는 PC와 스마트폰으로 금융부터 쇼핑에 이르기까지 다양한 업무가 가능하다. 그러다보니 수없이 많은 사이버 보안 위험 사례를 처리하기 위해서는 많은 인력이 필요하다. 전문 인력이 부족하게 되면 기업별로 보안 격차가 드러날 수밖에 없다. 따라서 기업들은 보안 툴에 AI를 적용해 확장 가능한 솔루션을 구축하고 있다.

위험 자동 탐지나 위험에 대한 자동 대응, 소프트웨어 패치 또는 업데이트 등의 반복적인 작업을 자동화하면 인간의 작업 시간을 축소할 수 있다. AI는 대량의 데이터를 실시간 분석하는 데에 특화되어 있어 인간 분석가보다 더 빠르고 정확하게 잠재적인 위험 식별이 가능해진다.

보안 인공지능은 오프라인에서 벌어질 수 있는 더 많은 위험에 대응할 수도 있다. 예를 들어 CCTV 영상을 모니터링하거나 경보에 대응하는 등 현재 보안 요원이 수행하는 많은 작업을 자동화하는 데에 사용할 수 있다. 범죄가 발생할 가능성이 있는 장소와 시간 등 잠재적인 위험을 예측해 정보를 제공하기도 한다. 비즈니스의 특정 요구사항에 맞게 보안 경고를 맞춤 설정하거나 개인의 위험 프로필에 맞는 보안 조치를 추천 받을 수 있다.

▶ 방대한 데이터를 바탕으로 스스로 판단하는 AI 보안기술들

AI는 통계적 분석(Statistical analysis)에 용이하다. 시스템 또는 네트워크의 사용자 활동 패턴을 분석해 정상적인 동작과 비교한다. 이를 위해 대량의 데이터가 필요하며 일반적으로 평균, 표준편차, 분산 등의 통계적 지표를 사용해 정상 범위를 설정한다. 그런 다음 실시간으로 들어오는 데이터와 비교해 이상 혹은 비정상적인 패턴을 감지한다.

방대한 데이터를 바탕으로 학습하고 미래를 예측하는 머신러닝과 딥 러닝은 보안 산업에서 가장 적극적으로 쓰이고 있는 기술이다. 머신러닝(Machine learning)은 말 그대로 기계학습, 알고리즘을 사용해 데이터로부터 학습한다면 딥 러닝(Deep Learning)은 인간의 뇌와 같이 컴퓨터가 스스로 외부 데이터를 조합, 분석해 학습하는 기술이다. 머신러닝은 인간이 개입해 통제해야 하지만 딥 러닝은 자체 오류 수정이 가능해 인간의 개입이 최소화된다. 예를 들어 머신러닝의 응용 분야에는 이메일 스팸 필터링, 음성인식, 추천 시스템 등이 있다면 딥 러닝은 머신러닝의 한 분야로 이미지, 음성, 텍스트와 같은 복잡한 데이터에서 높은 수준의 추상화와 패턴 인식을 수행하는데 강점이 있다.

AI는 악성코드를 식별하고 격리하는데도 사용된다. 바이러스, 웜, 트로이목마와 같은 악성 소프트웨어를 미리 탐지하고 소프트웨어에 대한 보호를 강화하는 역할을 수행하며, 이메일 피싱, 스미싱 등을 감지하고 사용자에게 경고를 보낸다.

동작 기반 감시(Behaviour-based surveillance) 기술의 경우 AI는 시스템의 사용자나 애플리케이션의 동작을 실시간으로 모니터링해 이상 행위를 탐지할 수 있다. 특정 프로세스가 예상되는 동작을 벗어나거나 비인가된 시스템 변경이 감지될 경우 이를 이상 행위로 판단하고 경고 또는 차단 조치를 수행한다.

사물 또는 사람을 식별해 각종 전자매체, 개인정보 등을 보호하고 해킹을 방지한다. AI에 의한 악성코드 탐지와 심층학습은 주로 온라인 환경에서 활용되고 있고, 동작기반감시나 얼굴인식 등은 CCTV와 결합해 오프라인에서 주로 활용된다.

AI를 적용한 보안 솔루션은 얼굴이 없는 상태에서도 인식할 수 있다. 키, 성별, 혹은 옷이나 자세와 같은 사람의 신체적 특징을 가지고 사람을 식별하는 방법이다. 또한 활동 패턴을 인식해 안전한 환경을 장려하면서, 범죄나 비정상적인 행동이 발생하는 것을 감지할 수 있다.

패턴 및 시그니처 기반 탐지(Pattern and signature-based detection) 기술은 AI가 사전에 알려진 악성 코드, 사이버 공격 및 다른 보안 위협에 대한 패턴과 시그니처 데이터베이스와 비교해 이상 행위를 감지한다. 이러한 데이터베이스는 지속적으로 업데이트되며, 새로운 위협에 대한 정보가 추가된다.

▶ 클라우드에서부터 CCTV까지, 광범위한 적용 사례 

구글은 자체 보안 인텔리전스 시스템을 구축해 악성 소프트웨어와 행동 패턴을 인식하고 차단하는 데에 AI와 머신러닝을 활용한다.

구글의 시큐리티 코맨드 센터(Security Command Center)는 텐서플로 기반의 보안 솔루션이다. 사용자의 클라우드 환경을 지속적으로 모니터링해 이상 행위를 탐지하고, 보안 위협에 대응할 수 있다. 이러한 서비스는 구글 클라우드에서 로그 및 리소스를 스캔해 위협 표시기, 소프트웨어 취약점, 잘못된 구성을 찾을 수 있다.

과학기술연합대학원대학교(UST) 한국전자통신연구원(ETRI)에서 개발한 지능형 CCTV는 다수의 이상상황을 복합적으로 검출, 판단할 수 있는 통합 프레임워크 기술이 적용됐다. 여기에는 시각 인공지능과 언어 인공지능을 결합한 방식으로 컴퓨터가 시스템 경험에 근거하여 정보를 스스로 조합해 결과를 유추하는 ‘제로샷 학습(Zero-shot Learning) 기법’이 적용되었다.

이는 한국인터넷진흥원(KISA)의 일곱 가지 지능형 CCTV 인증 영역인 ‘배회, 침입, 쓰러짐, 싸움, 유기, 방화, 마케팅’ 부문을 모두 통과한 국내 유일의 기술이다. 세계 최대의 3차원 시각 데이터셋(DB)인 싱가포르 난양공대(NTU)의 ‘RGB+D’ 기준 성능평가에서도 94.66%의 행동인식률을 도출할 수 있었다. 특히, 안개, 눈, 야간 등 다양한 외부 환경에도 사람의 움직임과 이상행동을 정확히 감지 가능하다.

▶ 보안 AI, 지속적인 연구와 개발 필요

보안 인공지능은 현대 사회에서 증가하는 사이버 위협에 대응하기 위해 많은 기업과 조직에서 채택하고 있는 중요한 도구다. 그러나 이러한 기술도 자체적인 한계와 도전 과제를 가지고 있다. 때문에 그 한계점을 이해하고 극복하기 위해 지속적인 연구와 개발이 필요하다는 지적이다.

우선 기술적인 한계가 존재한다. AI 시스템은 편견을 포함하거나 사회적 편견을 반영할 수 있는 과거의 데이터를 기반으로 훈련된다. 이러한 편견이 적절하게 해결되지 않으면, 인공지능은 차별이나 불공정한 관행을 영속화해 사회적, 윤리적 문제를 야기할 수 있다. 예컨대 특종 인종의 범죄 발생률이 높다는 단순 결과만을 무비판적으로 학습하게 될 경우, AI 모델 자체에 인종차별적 요소가 반영될 수 있다. 또한 학습자가 악의적인 의도를 가지고 있거나, 조작된 데이터를 주입할 수 있다면 AI 시스템의 성능과 동작에 영향을 미칠 수 있어 시스템이 취약해지거나 신뢰할 수 없게 된다. 

설명 가능성이 부족하면 AI 시스템이 어떻게 결정을 내리는지 이해하기 어려워질 수도 있다. 이는 잠재적인 보안 위협을 효과적으로 탐지하고 대응하는 능력을 방해할 수 있다.

AI 기술의 발전은 보안 업계에 양날의 검으로 작용하고 있다는 목소리도 나온다. 악성 코드 및 해킹 도구 제작에 활용될 수 있는 정보 생성 가능성이나 프롬프트 엔지니어링과 같은 기법으로 정상적인 질문에서 벗어난 정보 유출 우려 등이 그것이다. 물론 반대로 AI 모델을 해킹 분석 도구로 활용할 수도 있다.

한 기업 보안 관계자는 “보안 AI의 약점과 한계를 극복하기 위해서는 학습 데이터에 대한 이해가 필요하다”며 “AI 모델을 학습시킬 때 데이터의 다양성과 대표성을 고려해 학습 데이터를 구축하고 라벨링된 데이터의 정확성과 일관성을 유지하는 것에 중점을 두어야 한다”고 말했다.

또한 “우수한 보안 인공지능을 구축하기 위해서는 AI 기반 비즈니스 모델에 대한 이해와 협력이 필요하다”며 “인공지능에 사람의 손길이 필요하다는 점을 인지하고 전문 인력의 관리와 개발을 이어나가야 한다”고 덧붙였다.