최첨단 기술로 진화하는 해킹에 보안업계는 AI 머신러닝 기법을 도입해 선제적으로 대응하거나 가상화 서버를 통해 사용자 PC까지 도달하지 않도록 원천 차단하는 방법까지 개발했다. 또 중앙 서버를 분산시켜 해커들의 공격목표를 분산시키는 블록체인 기술이 대안으로 떠오르고 있다. 하지만 편의성을 위해 일부 중앙집중식 시스템을 도입할 경우 취약점이 발생한다. 게다가 전체 사용자의 51% 이상을 해킹할 경우 이론적으로 해킹이 가능해 개선이 필요하다는 지적도 나온다.

기존 보안업계의 방어전략은 파일을 탐지해 선별·분석해 감염파일을 삭제하고, 가능하다면 미리 감염되지 않도록 막는 ‘유입차단’ 전략이었다. 이를 위해 방화벽을 만들었음에도 보안 시스템이 뚫리자 아예 망을 분리하는 방법을 사용했다.

다만 인터넷 연결을 끊었다고 해도 외부와 연결을 완전히 차단할 수는 없다. 업무를 진행하려면 어떻게든 데이터에 접근해야 하는데, 언젠가는 네트워크와 연결된 사용자들의 PC와 스마트폰 같은 장치와 연결돼야 하기 때문이다. 결국 업무를 볼 때만 접속할수 있도록 ‘중개기’를 사용하는데, 이 중개기에 직간접적으로 악성코드가 침투할 경우 보안이 뚫린다. 게다가 크래커들이 AI를 사용해 자동으로 악성코드를 유포하고 확산시켜 기존의 탐지 능력만으로는 완벽히 막아내기도 어려워졌다.

능동적인 탐지·제거 EDR 도입 시작

보안업체들도 AI를 적극적으로 도입하기 시작했다. 최근에는 AI기법을 도입해 반대로 악성코드를 찾아서 제거하고, 나아가 악성코드 생성 단계에서부터 막는 능동적인 탐지·제거 시스템을 도입하는 추세다. 이 시스템은 서버가 아니라 끝단(End Point)의 사용자부터 탐지를 진행해 EDR(Endpoint Detection Response)로 불린다.

국내 대표 보안업체 안랩은 엔드포인트 보안 솔루션 ‘안랩 EDR’을 선보였다. 안랩 EDR은 독자적인 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 수집하고 분석한다. 또 보안관리자는 EDR 서버에 저장된 엔드포인트 행위 로그를 모니터링하고 분석할 수 있으며, 안랩의 패치 관리 솔루션, V3백신 같은 여러 제품과 연계해 다양한 대응 정책을 설정할 수 있다.

보안업체 지니언스는 국내 최초 EDR 솔루션인 ‘지니언 인사이츠E(Genian Insights E)’를 출시했다. 인사이츠E는 단말의 정보수집, 위협대응, 침해지표(IOC, Indicators of Compromise)를 통한 위협 탐지, 탐지된 위협에 대한 경고 알람과 대응, 대시보드를 통한 보안상황 브리핑, 엔드포인트 행위에 대한 분석과 모니터링 같은 EDR 관련 기능을 갖추고 있다.

이동범 지니언스 대표는 “EDR은 엔드포인트 보안 중 가장 주목받고 있는 솔루션 분야”라며 “예방을 넘어 ‘탐지와 대응(Detection&Response)’에 투자하는 보안 트렌드가 정착할 것”이라고 말했다.

SK인포섹은 보안 관제 분야에서 AI 기술을 결합한 ‘시큐디움(Secudium)’을 선보였다. 이 솔루션은 머신러닝 기법을 적용해 보안 위협 탐지와 분석을 진행한다. 기존 모델에 비해 70% 가량 효율을 개선했다고 SK인포섹 측은 설명했다.

위험을 완벽하게 격리할 수 있는 솔루션 등장

정부기관에서도 AI 접목 보안관제 구축 사업을 진행한다는 방침이다. 과학기술정보통신부 산하 우정사업본부는 내년 상반기에 빅데이터 기반(SIEM) 보안관제 체계를 완성한 뒤 AI 기반 보안관제체계로 발전시킨다는 계획을 세웠다. 행정안전부(이하 행안부)국가정보관리원은 올해부터 3년간 해킹을 자동으로 탐지하고 대응하는 AI 보안체계를 구축한다는 방침이다. 행안부는 올해 해킹 공격을 자동으로 식별할 수 있는 학습모델을 개발하고, 오는 2020년까지 80% 이상으로 대응범위를 확대한다는 계획이다.

컴퓨팅 파워가 높아지면서 서버 가상화가 활성화되자, 아예 접속 자체를 원천적으로 차단하면서도 인터넷 사용을 원활하게 할수 있게 하는 기술도 구현됐다.

시만텍은 ‘웹 위협 격리 솔루션’을 출시했다. 이 솔루션은 웹사이트 접속을 가상화 서버 안에서만 지원해 위험사이트를 격리한 상태로 관리한다. 현재 사용자들이 PC로 인터넷에 접속할 때 서버에서 전달하는 쿠키파일을 컴퓨터 안에 저장한 뒤 실행한다. 하지만 이 솔루션을 사용하면 다운로드 없이 가상 컴퓨터에서만 파일을 구동하도록 만든다. 즉 실제 구동은 가상컴퓨터에서 진행하고 사용자는 비디오렌더링 기술을 통해 직접 하는 것처럼 화면을 볼 수 있다. 사용자는 클릭하거나 스크롤을 내리며 평상시와 똑같이 업무를 수행할 수 있다.

예를 들어 문지기(보안 솔루션)가 있는 집에 해커가 잠입하려고 한다고 가정할 때 기존에는 문지기가 어떤 사람이 해커인지를 알아내려고 노력하며 엄격하게 문단속을 했다. 하지만 시만텍 웹 위협 격리 솔루션은 애초에 목적지가 아닌 옆에 있는 빈집으로 사람을 이동시키고, 그곳에서 하는 행동을 CCTV로 찍어 보내고 지시를 받아 수행하는 방식이다. 사용이 끝난 가상화 공간(빈집)은 즉각 삭제된다.

최재우 시만텍 SE본부 이사는 “지금까지는 방화벽으로 막거나 백신으로 못 잡으니 샌드박스에 넣는 방식으로 보안시스템을 구축했다. 하지만 웹 위협 격리 솔루션에서는 완벽하게 격리하는 것이 가능하다”면서 “탐지를 잘해야 한다는 기존의 패러다임을 완전히 전환시켰다”고 설명했다.

웹 위협 격리 솔루션은 해커의 접근 자체를 원천적으로 차단할 수 있다는 장점이 있다. 하지만 덩달아 다운로드도 받을 수 없다는단점도 가진다. 또 사용자 컴퓨터(엔드 포인트)가 이미 감염된 상태일 때는 소용이 없다.

블록체인 활용해 보안 패러다임 전환 시도

블록체인이 등장해 보안시장도 새로운 패러다임을 맞았다. 분산원장 기술을 적용한 블록체인은 거래 참가자 전체와 원장을 공유한다. 중앙 서버가 없기 때문에 참가자 중 일부가 컴퓨팅 파워를 제공해야 하는데, 이를 위해 암호를 해독하는 ‘채굴’을 진행한다.

이후 블록체인의 과반수인 51% 이상의 해시 파워를 가진 채굴 노드가 다수결에 의해 블록을 생성하고, 코인을 지급받는다. 크래커가 블록체인이 구축된 서버를 해킹하려고 하면 최소 51% 이상의 해시 파워를 가진 채굴 노드를 모두 해킹해야 한다. 비트코인 기준으로 블록 생성에 약 10분이 소요된다. 크래커가 비트코인을 해킹하려면 10분 안에 세계에 있는 비트코인 채굴자 중 과반수를 해킹해야 한다. 현실적으로 실현하기가 쉽지 않아 그만큼 해킹에 안전하다는 평가를 받는다.

다만 블록체인 프로젝트 거래 참가자가 적을 때는 별다른 차별성이 없어질 수 있다. 예를 들어 100명이 채굴하는 블록체인 프로젝트와 10명이 참가하는 프로젝트가 있다면, 상대적으로 채굴자가 10명인 프로젝트를 해킹하는 게 훨씬 수월하다. 비트코인이나 이더리움 같이 참가자가 많은 오래된 프로젝트와 달리 참가자가 적은 신생 프로젝트는 상대적으로 취약할 수 있다. 게다가 AI를 활용해 악성코드가 스스로 증식하고 복제해 다중 공격을 실행하면 과반수 공격을 성공할 수 있다는 우려도 있다.

블록체인 속도 문제도 보안에 발목을 잡는다. 블록체인은 모든 원장을 거래 참가자 전체에 분산해 저장하다보니 물리적으로 시간이 오래 걸릴 수밖에 없는 구조다. 그래서 속도를 높이려고 하다보면 중앙집중식 시스템과 결합하게 돼, 결국 기존 시스템과 다를 바 없는 상황에 도달하는 경우가 발생한다.

이러한 문제를 해결하려고 블록체인은 암호화 수준을 향상시키려고 ‘영지식증명’을 도입하며 다양한 변화를 시도하고 있다. 영지식증명은 암호학에서 누군가가 상대방에게 정보를 보여주지 않고도 참이라는 것을 증명하는 기술이다.

예를 들어 A와 B라는 동굴이 있고, 동굴 끝에 문이 있다고 가정하자. 여기서 A쪽 동굴로 들어가면 열쇠구멍이 있어 문을 열고 연결된 B동굴로 나올 수 있고, B동굴로 들어가면 그냥 문을 열 수 있다.

만일 열쇠를 가진 사람이 들어간다면 A, B 어느 쪽으로 들어가든 상관없이 통과할 수 있된다. 반면 열쇠가 없는 사람이라면 B동굴로 들어갔을 때만 통과할 수 있다. 열쇠가 있으면 100% 확률로 반대편을 통과할 수 있고, 없다면 50% 확률이 된다. 반복할수록 열쇠가 없는 사람이 통과할 확률이 낮아진다.

영지식 증명을 적용한 블록체인 프로젝트에는 제트캐시(Zcash) 지코인(Zcoin), 피벡스(Pivx), 커렌트(Kurrent) 등이 있다.

[테크M = 김태환 기자(kimthin@techm.kr)]