‘인공지능(AI)가 사이버 세상의 새로운 ‘방패’로 떠오르고 있다. 대표적인 사이버 공격 수단 중 하나인 디도스 방어는 물론 국방 등 다양한 분야에서 ‘AI 해킹 방어’가 새롭게 주목받고 있다. AI를 주로 공격 수단으로 이용하던 기존 트렌드를 벗어난다는 점에서 관련 개발자들의 관심을 얻고 있다.
◇波선 디도스 방어기술 이미 실용화
대표적인 사례는 폴란드 실레시안 공대 응용수학부 연구팀이 지난 해 AI를 이용해 개발한 해킹 방어 시스템이다. ‘디도스(DDos)’를 방어하는 기술이다. 디도스는 쓸모없는 데이터(더미 데이터)를 대량 전송해 전산 서비스를 마비 시키는 공격 방식인데, 이를 막기 위해선 어느 네트워크에서 더미 데이터가 전송되고 있는지 신속히 찾아내야 한다. 그래야 공격로를 막아 피해를 최소화할 수 있다. 연구진은 AI의 실시간 탐지 능력을 사용해 수많은 네트워크 중 더미 데이터가 유입되는 네트워크를 쉽게 찾아내는데 성공한 것이다. 현재 연구팀은 이 기술을 특허로 등록했고 폴란드 내 기업들 이 기술을 도입하고 있다.
AI의 디도스 공격 탐지 원리는 ‘AIMM(인공지능 병합 시스템)’ 기술을 살펴보면 이해가 쉽다. 실레시안 공대 팀이 개발한 디도스 방어시스템도 이 같은 원리다. 서버로 들어오는 데이터의 정보를 분석한 다음, 차단 여부를 결정하는 AI모델이다. 연구팀에 따르면 AIMM의 디도스 공격 식별 정확도는 99.5%에 달한다.
AIMM은 ‘최근접 이웃 신경망(K-NN)’을 기반으로 제작됐다. K-NN은 정답과 유사한 데이터 식별에 최적화된 ‘지도학습’ 알고리듬이다. AI에 정답을 미리 알려주고, 답과 거리가 가까운 데이터는 ‘이웃’으로, 거리가 먼 데이터는 배제하는 방식으로 AI를 학습시키는 것이다.
◇美선 국방분야에 활용… ‘AI로 네트워크 취약점 분석’
AI는 사이버 공격 탐지뿐만 아니라 네트워크 취약점 점검 및 보완에도 우수한 능력을 보여줄 수 있다. 대표적 사례는 미국 사이버 보안기술업체 ‘포올시큐어(ForAllSecure)’가 개발한 ‘메이헴(Mayhem)’이다.
메이헴의 핵심 기술은 ‘퍼징(fuzzing)’ 기술이다. 이는 디도스 공격 방식을 응용한 것으로, 메이헴에 적용된 AI가 상대방 네트워크에 무작위 데이터를 전송시켜 보안시스템과 충돌시키는 것이다. 이 과정이 반복되면 어느 순간 보안네트워크가 감지나 코드 검증에 실패하는 경우가 발생하는데, 이곳이 바로 해커들이 노릴 수 있는 네트워크 취약점인 셈이다. 퍼징 작업을 통해 알아낸 네트워크 취약점은 ‘심층신경망(DNN)’ 기반의 AI가 분석한 후, 인간 보안담당자에게 알려주게 된다.
메이헴은 인간이 찾지 못한 보안네트워크의 약점을 찾아내기도 했다. 메이헴은 지난 2016년 미국 국방부 산하 방위고등연구계획국(DARPA)이 개최한 ‘사이버 그랜드 챌린지(CGCD)’서 사용된 리눅스 기반 보안 네트워크 ‘데비안’에서 1만4000개의 취약점을 찾아냈다. 놀라운 것은 이중 250개 약점을 데비안을 만든 인간 프로그래머들조차 몰랐다는 점이다. 이 같은 성과를 인정받아 메이헴은 현재 미 국방부의 사이버 보안 작전에 사용되고 있다.
◇韓도 뒤늦게 잰걸음, 사이버보안 AI데이터셋 구축
국내 정부기관들도 AI를 사이버 보안에 활용하려는 움직임을 보이고 있다. 대표적인 곳은 한국인터넷진흥원(KISA)으로, 지난 2021년 7월부터 ‘사이버보안 AI데이터셋 구축 사업’을 진행 중이다.
이 사업은 과학기술정보통신부가 추진 중인 ‘K-사이버방역 추진전략’의 일환이다. 민관 전문가가 협력해 사이버보안 AI데이터셋 구축 및 보안기술 지능화 촉진을 목표로 한다. 악성코드, 랜섬웨어 등 사이버보안을 위협하는 데이터들을 모아 AI 사이버 보안시스템에 적용하는 것이 목표다.
이 데이터셋은 악성·정상 데이터 및 파일로 구성됐으며, 분류 작업을 거쳐 AI가 학습할 수 있도록 만들었다. 데이터셋 구축에는 KISA뿐만 아니라 KT, 이글루코퍼레이션, 넥슨 등 민간 기업도 참여하고 있다.
권정현 KT 융합기술원 인프라 DX 연구소 선임 연구원은 “현재 구축 중인 AI데이터셋을 사내 이메일 서비스에 적용한 결과, 악성코드 및 랜섬웨어 탐지 정확도가 95%에서 98%까지 개선됐다”며 “기존 AI모델이 탐지하지 못한 악성코드 감염파일 163건도 추가 식별하는데 성공했다”고 말했다.
다만 국내선 아직 시간이 필요할 것으로 보인다. AI기반 사이버 보안 시스템 구축이 초기 단계인 만큼, 실제 보안기술로 거듭나려면 연구개발이 더 필요하기 때문이다.
이규생 한국인터넷진흥원(KISA) AI위협데이터대응팀장은 “현재 KISA와 정부가 추진하는 AI기반 사이버 보안 시스템 구축 사업은 시범 개방 단계”라며 “최근 중국 해커들이 몇몇 연구기관을 공격하는 사례가 있었는데, 방어시스템에 AI를 이용한 최신 기술을 적용하진 않은 상태”고 말했다. 이어 “앞으로 다양한 사례를 AI데이터셋에 추가해 AI관제 성능을 향상 시키도록 할 것”이라고 말했다.