[테크M=김기홍 세인트시큐리티 대표]  “인공지능이 보안 분야에 꼭 필요합니까?” “진짜 도움이 됩니까?” “정말 신뢰할 수 있어요?”

최근 보안 컨퍼런스와 기술 포럼에서 필자가 많이 듣는 질문들이다. ‘인공지능,(Artificial Intelligence, AI)’이라는 단어가 들어가지 않으면 시대에 뒤떨어지는 듯한 느낌을 줄 정도로 보안 제품과 서비스에서도 해당 용어를 흔하게 사용한다. 의존도가 적든 크든 실제 보안 분야에서 인공지능 기술을 적극적으로 검토하고 활용을 하고 있다. 하지만 아직 사용자 측면에서는 필요성과 중요성에 대해서 검증이 더 필요해 보인다.

이 기고에서는 인공지능의 기술적 측면과 함께 사회, 경제적인 측면에서의 필요성에 대해 검토해보고자 한다.

현재 인공지능 기술은 다양하게 사용된다. 모두가 잘 알고 있는 ‘알파고’는 인공지능 기술로 만들어진 시스템이다. TV CF에서 자주 볼 수 있는 음성인식 스피커와 가전제품에도 인공지능 기술이 들어가 있다. 음성을 인식하거나 주변 상황을 파악해 적절한 행동을 취하는 이 모든 것들이 과거의 기술로는 구현할 수 없었던 인공지능 기반 기술들이다.

보안 분야는 어떨까? 보안이라는 카테고리 안에는 상당히 많은 세부기술이 존재하는데 널리 알려진 지문인식, 안면인식 등 개인의 신분(ID)을 확인하는 기술에도 인공지능 기술이 활용된다. 악성코드 탐지에도 사용되고 있고 네트워크 이상 징후 탐지에도 적극 쓰이고 있다.

인공지능 기술이 보안에 필요한 이유

그렇다면 이 인공지능 기술을 왜 사용하는 것일까? 분명히 좋은 점이 있기 때문이다. 악성코드 분석을 주업무로 하고 있는 필자는 인공지능을 사용하는 이유를 3가지 장점으로 설명하고자 한다. 악성코드 분야와 연관된 장점이지만 결국 의미하는 바는 다양하게 해석될 수 있으므로 큰 시각으로 보면 쉽게 이해할 수 있을 것이다.

첫 번째, 기술의 핵심 가치를 더 돋보이게 한다. 안티바이러스 제품의 핵심 가치는 악성코드 탐지다. 악성코드 제작자들은 안티바이러스 제품이 탐지하지 못하게 하는 기술들을 동원해 자신을 숨긴다. 숨는 것이 가능한 이유는 바로 패턴 기반 기술을 무력화하기 때문이다. ‘파일의 몇 번째 바이트부터 몇 번째 바이트까지 이런 저런 데이터로 구성돼 있다면 이 파일은 어떤 악성코드에 감염된 것이다’라고 식별하는 것이 대부분의 안티바이러스 제품이 쓰는 기술이다. 그 몇 번째 바이트의 일부만 바꿔도 탐지를 못하게 되는 경우가 발생하는데 이렇게 일부를 바꾼 악성코드를 우리는 ‘변종’이라고 부른다. 변종 악성코드는 기존 안티바이러스 제품으로는 탐지하기 상당히 힘들다. 그래서 지는 싸움을 할 수 밖에 없다.

이 분야에 인공지능 기술을 동원하면 어떨까? 악성코드 탐지를 위해 사용하는 머신러닝 기술은 샘플링 한 데이터를 학습한 컴퓨터가 학습 데이터와 입력 데이터 간의 유사도로 예측하는, 인공지능 기술 중에서도 난이도가 낮은 수준의 기술이다. 데이터로 추출된 악성코드의 특징 정보를 바탕으로 정상 파일과 악성코드 파일을 학습한 컴퓨터는 새로운 파일이 발생하면 이 파일이 가진 특징을 가지고 악성코드 여부를 확인한다. 바이트 구성을 바꿔도 특징 자체를 바꾸는 것은 힘들다. 머신러닝 기술은 특징을 기반으로 학습하기 때문에 변종 악성코드 탐지에 능하게 된다. 곧 악성코드 탐지 범위를 확대해 본래의 기능을 더욱 돋보이게 하는 것이다.

두 번째, 인간이 좀 더 인간다운 일에 집중할 수 있게 한다. 새롭게 발견되는 악성코드의 수량은 매일 증가한다. 그 중의 대부분이 변종이며, 완벽하게 새로운 형태로 만들어진 신종 악성코드의 비율은 극소수다. 파일을 분석해보기 전까지는 변종과 신종을 구분할 수 있는 방법은 상당히 제한적이다. 결국 사람이 개입돼 분석을 실시해야 한다. 잘 알다시피 인적 자원은 제한적이며 고도의 분석을 수행할 수 있는 사람은 많지 않다. 현실적으로 전문 분석가의 식사와 잠까지 제한해가며 분석에만 몰두하라고 할 수도 없다.

바로 이 지점에서 인공지능 기술이 빛을 발한다. 이미 알려진 악성코드나 유사한 것들, 그리고 단순 변종 악성코드를 인공지능이 식별해 걸러내는 것이다. 인간은 더욱 고도화되고 복잡한, 그리고 완벽하게 새로운 형태의 악성코드를 분석해 다시 인공지능에 학습할 데이터를 만들어주는 더 중요한 업무를 할 수 있게 된다.

식별되지 않은 악성코드 판별에 사람의 능력을 소비하고 있을 수는 없다. 우리는 단순한 일은 컴퓨터에 맡기고 어렵고 창의적이며 생산적인 일을 수행해 인류 문화 발전에 기여해야 할 것이다.

인공지능 보안 기술의 경제적 가치

세 번째, 경제적 가치로의 재해석이 가능해진다. 악성코드의 위협이 계속되고 매년 수량이 늘어난다면 어떻게 될까? 악성코드로 점령된 사이버 세상은 사용할 수 없을 정도로 엉망이 될 것이다.

우리가 수조 원의 비용을 들여 구축한 인프라는 무용지물이 될 수도 있다.

대부분의 악성코드는 금전적인 이득을 노리고 만들어진다. 지난 2017년에 랜섬웨어가 창궐했다. 사기, 도박, 마약 같은 불법을
제외하고 100배가 넘는 수익을 낼 수 있는 유일무이한 음지 비즈니스가 바로 악성코드다. 수익 대비 효과가 좋다. 악성코드를 만들어 배포하는데 들어가는 비용 즉, ‘공격비용(Attack Price)’이 악성코드를 막는데 소요되는 비용 ‘방어비용(Defense Price)’ 보다 싸기 때문이다. 공격자들은 랜섬웨어로 수익을 취하고, 이후에도 변종을 만들고, 또 공격하는 이 과정을 반복하는 것이다.

안티바이러스 제품과 각종 보안 제품을 설치했음에도 불구하고 감염되는 이유는 무엇일까? 기존 기술로는 변종을 탐지하기가 까다롭기 때문이다. 또한 공격자들은 여러가지 안티바이러스 제품으로 테스트를 실시해 탐지되지 않는 것을 확인한 후에 악성코드를 배포한다. 감염될 수 밖에 없으며 대응이 늦어질 수 밖에 없다.

인공지능 기술을 사용하면 공격 자체가 어려워진다. 물론 인공지능은 만능이 아니므로 100% 차단을 장담할 수 없다. 하지만 공격을 어렵게 만들 수는 있다. 공격에 들어가는 비용을 높이게 된다는 것이다. 그럼 수익률은 감소하게 되며 지금처럼 악성코드가 창궐하는 것은 막을 수 있게 될 것이다.

거시적인 시각에서 인공지능 기술은 보안 분야에 필요한 기술이며 검토 가능한 기술이다. 과거의 기술이 좋지 않으니 모두 버리고 새로운 인공지능 기술로 갈아타자는 이야기가 아니다. 이전 기술의 장점을 활용하는 한편, 새롭게 등장한 패러다임과 기술을 함께 사용해 시너지를 높일 수 있다는 것이다.

일반적으로 신기술의 등장은 어느 다른 기술의 종말을 알리는 것이라는 인식이 있다. 필자는 보안 분야에서는 종래의 기술과 새로운 기술을 상호보 완적으로 활용해 공격자, 그리고 악성코드와의 싸움에서 궁극적인 승리를 추구해야 할 것이다.

인공지능 기술은 우리로 하여금 본연의 창의적이고 발전적인 업무에 집중할 수 있도록 해줄 것이다. 인공지능의 기술적, 사회, 경제적인 장점을 다양하게 활용하며 인류의 문화 발전에 기여할 수 있도록 노력하는 것이 후대를 위한 우리의 의무일 것이다.

<이 글은 테크M 제61호 (2018년 5월) 기사입니다>