머신러닝 기술이 사이버보안 세계서 '양날의 검'이 될 것으로 보인다. 여러 머신러닝 기술이 사이버 보안 강화뿐아니라 보안 위협을 키우는 쪽으로도 쓰일 거란 얘기다. 최근 사이버보안업체 인텔시큐리티의 맥아피랩스 보고서에 담긴 전망이다.
인텔시큐리티는 지난해 11월 '맥아피랩스 2017 위협예측' 보고서를 공개했다. 57쪽 분량의 보고서에 담긴 2017년 위협예측 중 하나가 '머신러닝이 사회공학 공격을 가속한다(Machine learning accelerates social engineering attacks)'는 시나리오였다.
[☞참조링크: McAfee Labs 2017 Threats Predictions November 2016(PDF)]
사회공학 공격은 보안 수단 및 절차를 무력화하기 위해 사람간의 기본적 신뢰를 기반으로 속이는 기법을 통칭한다. 타인의 민감정보를 알아내기 위해 지인이나 가족을 사칭하는 행위를 예로 들 수 있다. 즉 '비(非)기술적' 사이버보안 위협을 가리킨다.
보고서에서 에릭 페터슨 인텔시큐리티 위협연구 담당 디렉터는 사이버보안 업체뿐아니라 범죄자들에게도 머신러닝을 위한 데이터와 기술에 더 쉽게 접근케 됐으며, 자신들이 추적해 온 기업대상 이메일사기에 이미 머신러닝이 동원됐다고 주장했다.
주류 사이버보안 업체들은 기존 방어수단에 머신러닝 기술을 접목해 위협 탐지 및 대응력을 높일 수 있다고 목소리를 높여 왔다. 반면 공격자가 머신러닝을 동원할 가능성을 경고하는 덴 인색했다. 이젠 마땅히 우려할 일이라는 게 보고서의 메시지다.
페터슨 디렉터가 작성한 보고서의 영어 원문에서 주요 대목을 한국어로 옮겨 봤다.
■"머신러닝 기술 활용 문턱 확 낮아져"
페터슨 디렉터는 우선 머신러닝 기법과 활용 방법이 최근 빠르게 발달, 확산돼 과거만큼 그걸 활용하는 일이 개인에게 어렵지 않은 상황이라는 점을 지적했다.
"교육, 비즈니스, 연구 분야의 성취가 늘면서 최근 몇년간 머신러닝 툴킷, 문서, 교육자료 가용성이 폭발적으로 늘었다. 한시간 정도면 개인이 분산아키텍처 기반 대규모 데이터셋으로 복잡한 모델을 훈련할 수 있다. 2016년 우리는 기술애호가와 전문 데이터과학자가 기계에 셰익스피어리안 소네트(서양 시가의 일종)를 쓰고, 작곡하고, 피카소처럼 그리고, 이세돌같은 프로 바둑기사와 맞서 이기는 법을 가르치는 모습을 봤다. 학습 기간은 계속 짧아졌고, (머신러닝 기술에) 사이버범죄자를 포함한 모든 이들의 접근성은 전에 없이 좋아졌다."
[☞관련기사: MS, 머신러닝 진입장벽 낮춘다]
[☞관련기사: 개발자들을 위한 인공지능 기술시대]
[☞관련기사: 구글 "AI 기술 텐서플로, 학습속도 수 십배 향상"]
■"이미 이메일 사기 표적 발굴에 쓰여"
그는 이어 맥아피랩스에서 지속적으로 추적 중인 재정적 이익을 추구하는 기업 대상 이메일사기, 즉 '비즈니스 이메일 컴프로마이즈(BEC)' 사기 행태가 심각해지는 추세인데, 그 배경에 사이버 범죄자의 머신러닝 응용 혐의가 짙다고 주장했다.
"우리가 추적하는 지속위협 중 하나는 2015년초부터 점차 기승을 부려 미국 연방수사국(FBI)에서조차 문제로 삼고 있는 BEC사기다. BEC사기 시나리오에서 공격자는 기업내 재무담당 책임자 개인을 표적삼는다. 솜씨 좋은 사회공학 기법으로 개인을 속여 사기 목적의 은행계좌로 자금을 이체하게 만든다. 사례에 따라 이런 공격은 사기의 성공률을 높이려는 의도로 경영진의 출장기간에 맞물리게 이뤄진다. FBI에 따르면 50개주 및 100개국에서 이렇게 탈취당한 자금이 30억달러를 넘었다. 피해자가 어떻게 선별되는지는 불명이지만, 공격에 앞서 상당량의 조사가 이뤄진다는 점은 확실하다. 우리는 사이버범죄자가 BEC 및 유사 사기의 표적을 삼는 일에 머신러닝을 동원하고 있다고 본다."
[☞관련기사: "대푠데, 이리 돈 보내"…재무담당자 노린 사기 기승]
■"방어 아닌 위협 강화에도 동원될 것"
그는 또 기성 사이버보안 업체들이 소비자와 기업들에게 자신들의 보안 역량을 머신러닝 기술로 강화할 수 있다고 말하면서, 동시에 사이버범죄에 머신러닝 기술이 동원될 가능성을 일축하는 건 마땅하지 않다고 지적했다.
"우리가 트릴리움(Trillium), 제우스(Zeus), 앵글러(Angler)같은 현대 악성코드 툴킷으로 봤듯, 악성코드 제작자는 그들 개인의 기술력(skillsets)으로 가능한 것보다 훨씬 많은 피해를 기성 툴킷의 보조로 발생시킬 수 있다. 우리는 이와 동일한 (위협) 가속을 구글 텐서플로(TensorFlow), 넘피(Numpy), 사이킷런(Scikit-learn), 판다스(Pandas) 및 기타 머신러닝 툴과 라이브러리를 통해, 데이터과학 분야에서도 본다. 머신러닝 툴은 우리의 보안 분야 역량을 증대해 준다. 사이버 범죄자가 이런 강력한 툴을 채택하지 않을 것이라는 가정은 부주의하다. 결론은 불법과 합법인 비즈니스 모델간 공통점이다. 양측 모두 투입을 줄이면서 생산을 늘리기 위해 그들의 기술을 계속 단련해 나간다."
[☞관련기사: 주목받는 딥러닝, 보안 측면의 기회와 위협]
■"공격용 '데이터' 제공업자 등장할 수도"
관련기사
- "악성코드광고·좀비IoT기기…사이버공격 더 거세진다"2017.02.17
- 포티넷 "내년 적응하는 사이버공격 등장"2017.02.17
- 시만텍 "백신은 최종 방어선…'미확인' 위협까지 막아야"2017.02.17
- "대푠데, 이리 돈 보내"…재무담당자 노린 사기 기승2017.02.17
실제 공격자들이 머신러닝을 어떻게 악용할 수 있었을까. BEC라 불리는 이메일 사기 고도화에 머신러닝이 쓰일 수 있게 된 또다른 핵심은 이미 유출되거나 공개된 데이터였다. 따라서 공격을 돕는 데이터 거래 행위도 나타날 것으로 보인다.
"우리는 BEC 공격 모델에서 복잡한 데이터 분석을 수행하는 머신러닝 툴의 가용성을 통해 머신러닝과 범죄활동의 만남을 볼 수 있다. 데이터가 이 공격을 지탱하는 세번째 축이다. …(중략)… 소셜미디어정보, 도난당한 데이터웨어하우스, 공시된 기업정보 사이에서 공격자는 가치 높은 표적을 식별하는 예측모델을 충분히 훈련할 데이터에 접근할 수 있다. …(중략)… 공격자는 BEC사기로 성공적인 공격 모델을 개발했다. …(중략)… 2017년 이후엔 머신러닝 알고리즘 기반으로 만든 '서비스형 표적탐색(Target Acquisition as a Service)'을 제공하는 데이터 장물아비(purveyors of data theft)를 볼 수도 있다. 머신러닝 접근성은 2017년 사회공학 공격을 가속하고 날카롭게 만들리라 전망한다."