현재 머신러닝 기술이 사이버공격 도구로 쓰이고 있을 공산이 크다. 보안 위협의 범위와 양상은 이미 사람이 일일이 대응할 수 없는 수준이다. 이에 맞서기 위해 사이버보안 영역에서도 머신러닝 기술이 더 폭넓게 활용될 것이란 관측이 나왔다. 어찌보면 이이제이(以夷制夷)다. [☞관련기사1] [☞관련기사2]
18일 최원식 팔로알토네트웍스코리아 대표는 "클라우드컴퓨팅 파워를 쓰면 악성코드를 하루에 몇십만개씩 자동으로 생성할 수 있고, 악성코드는 인터넷에 연결돼 있으면 PC든 사물인터넷(IoT) 기기로든 다 들어간다"며 "기계가 (자동화) 공격하는데 어떻게 사람이 막겠나, 인공지능을 이런 데 써서 막는 것도 자동화해야 한다"고 주장했다.
그에 따르면 매일 신종, 변종 악성코드가 발생하고 기존 안티바이러스 솔루션으로는 이를 탐지, 제거하기 위해 일일이 시그니처(탐지정보)를 만들고 업데이트해야 한다. 공격자는 몇 초만에 변종을 만들어 뿌릴 수 있지만 그걸 탐지하려면 새로운 시그니처가 또 필요하고 결국 수작업으로는 모든 악성코드를 찾아 막기가 시간, 규모상 불가능하다는 논리다.
최 대표는 "팔로알토네트웍스는 엔드포인트 보안제품(트랩스)과 사전에 네트워크 차원에서 행위기반 위협탐지를 수행하는 솔루션(라이트사이버)에 머신러닝 기술이 적용돼 알려진 위협과 클라우드기반 분석을 통한 알려지지 않은 위협까지 막아낸다"고 강조했다. 이어 "엔드포인트 탐지와 대응에 중점을 둔 솔루션만으로는 어려운 상황이며 자동화 방어, 타 솔루션과 통합되는 API도 제공해야 한다"고 덧붙였다.
팔로알토네트웍스코리아는 이날 서울 삼성동 아셈타워에서 업계가 주목해야 할 2018년도 사이버보안 전망을 발표했다. 전망은 클라우드, 데이터, 랜섬웨어, IoT 기기, 소프트웨어(SW) 공급망, 5가지 위협과 자동화위협대응(ATR), 머신러닝, 2가지 보안전략 차원의 흐름을 담았다.
■"클라우드 데이터 보호는 사용자가 맡아야"
첫째로 클라우드시스템상의 데이터 보호가 필요하다. 아마존웹서비스(AWS) S3같은 서드파티 클라우드스토리지 활용이 증가 추세다. AWS에 저장된 데이터에 대한 보안 책임은 사용자에게 있다. AWS S3 저장소 단위인 '버킷'을 잘못 설정하면 누구나 인터넷을 통해 해당 데이터에 접근할 수 있다. 실제로 최근 수개월간 미국 유권자 1만8천명 규모의 관련 파일, 암호, 집주소, 고객데이터베이스, 정보가 노출되는 사고가 있었다. 버킷에 덮어쓰기할 수 있는 데이터는 더 유의해야 한다. 공격자가 이를 찾아내면 맬웨어로 파일을 덮어쓸 수 있기 때문이다.
둘째로 데이터무결성(integrity) 관리가 중요해진다. 매출 실적을 조작해 기업 주가를 부풀리거나 스마트시티를 추진하는 공공기관 IoT 시스템 데이터가 변조돼 교통신호나 상수도 운영환경에 문제가 생길 수 있다. 무결성 확보를 위해 어떤 데이터를 보유했는지, 수집 및 생성 방법은 뭔지, 데이터 중 민감한 부분이 어딘지 파악해야 한다. 다중요소인증기법으로 사용자명, 패스워드가 보안기능을 제공하지 못할 때 추가 보안 절차를 지원해야 한다. 암호화를 통해 민감 데이터를 보호해야 한다.
셋째로 랜섬웨어 공격은 과거에 이어 올해도 활발할 전망이다. 올해 더 정교한 기법과 확대된 규모로 지속 피해를 발생시킬 것으로 보인다. 랜섬웨어 공격이 고수익 비즈니스 모델로 진화해, 공격을 더욱 쉽게 만들어주는 서비스형 랜섬웨어도 이미 등장했다. 금전 이득뿐 아니라 정치적 목적의 랜섬웨어가 많아질 수 있다. 지난해 중동지역에서 나온 랜섬웨어 '란란(RanRan)'은 돈을 요구하는 대신 정치인에게 메시지를 보내도록 요구한 사례다. 사전대응 정책에 기반한 엔드포인트, 방화벽의 연계로 위협을 실시간 공유하는 플랫폼 확보가 중요하다.
넷째로 IoT 기기들의 잠재적 보안위협에 대한 보안관리가 필요하다. 개인 기기를 통해 공격자가 기업 네트워크를 넘나드는 일이 가능해졌다. 회사 자산이 아닌 개인 기기에 대해서도 최고정보보안책임자(CISO)들은 보안전략을 수립하고 관리방안에 포함시켜야 한다. 애플리케이션 설정 및 기기 보안 설정에 대한 정기 임직원 교육도 실시해야 한다.
다섯째로 SW공급망을 통한 공격 피해 빈도와 심각도가 심화할 수 있다. 2015년 9월엔 iOS 및 맥OS 앱 개발툴 X코드를 감염시키고 이걸로 개발돼 오염된 앱을 애플 앱스토어에 수천개 등록되게 만든 'X코드고스트' 사건이 알려졌다. 2016년 3월에는 비트토렌트 프로그램 '트랜스미션'에 랜섬웨어(KeRanger)가 삽입돼 사용자 파일을 암호화하고 금전을 요구한 사례가 나왔다. 2017년 6월에는 우크라이나 SW업체 업데이트서버로 세계각지에 확산된 악성코드(NotPetya)도 있었다. 믿었던 SW가 맬웨어로 변하는 걸 방지할 기술과 프로세스를 확보해야 한다.
■"자동화, 머신러닝 기술로 맬웨어, 공격징후 탐지 확대"
최 대표는 "상호 연결성이 더욱 더 심화되는 추세이므로 앞으로는 사이버공격을 하나의 예견된 사건으로 가정하고 대비에 만전을 기해야 할 것"이라며 "IoT와 인공지능 등 새로운 기술을 비즈니스의 기회로 이용하기 위해서는 사이버 범죄자들보다 한 발 앞서 높은 수준의 사이버 보안 관리를 유지해야 한다"고 말했다. 회사 전망 여섯째, 일곱째로 이어지는 보안위협 방어 기술확산 동향에 그 방법이 담겼다.
관련기사
- 팔로알토네트웍스, 보안 앱스토어 만든다2018.01.18
- "리눅스, 랜섬웨어 안전지대 아니다"2018.01.18
- 팔로알토네트웍스 "악성코드 1년에 5억개, 새 보안아키텍처 필요"2018.01.18
- 팔로알토네트웍스, 엔드포인트보안 '트랩스4.0' 출시2018.01.18
여섯째 전망은 제조환경의 산업제어시스템(ICS)같은 운영기술(OT) 영역의 ATR 기술 수요 가시화다. ATR은 위협탐지와 방어프로세스를 자동화하는 기술이다. 지능형 위협분석 대응시간을 줄여 주는 역할을 한다. 주요 기업이 개념증명(PoC) 과정을 마치고 OT 환경 보안을 강화하기 위해 행동분석, 변칙 탐지 기술을 추가하고 있다. 통합보안관제시스템(SIEM)을 보충하기 위한 전용센서와 모듈이 여기에 포함된다. ICS 네트워크 모니터링 솔루션은 차세대방화벽과 같은 장비에 통합돼 위협에 대응하도록 구성될 전망이다.
일곱째 전망은 사이버보안을 강화하는 머신러닝 기술 발전이다. 과거 엔드포인트, 네트워크, 클라우드상에 각각 시그니처기반 보안제품을 사용해 공격에 대응해 왔던 방식으로는 공격자들이 자동화한 맬웨어 생성 방식에 무력하다. 이에 팔로알토네트웍스는 트랩스, 라이트사이버 솔루션에 머신러닝 기반 사용자, 디바이스 행동 예측과 공격징후 탐지 기술을 담았다. 회사는 지능형 맬웨어 탐지에 머신러닝을 활용한 사례가 헬스케어 분야에서 늘고 있으며 올해 사이버보안 전략에 머신러닝 기술을 포함하는 CISO가 많아질 것이라 내다봤다.