사이버 위협 탐지에서 AI의 역할

1. 서론#

전 세계 사이버 위협 환경은 두 가지 측면에서 진화하고 있습니다. 위협의 빈도가 잦아졌을 뿐만 아니라 과거보다 훨씬 더 복잡해졌습니다. 이를 뒷받침하는 데이터로, 2024년 2분기에는 전 세계 사이버 공격이 30% 급증했으며, 조직당 매주 평균 1,636건의 공격을 받았습니다. 게다가 2020 Webroot 위협 보고서에 따르면, 2019년 악성코드 공격의 93.6%가 다형성(polymorphic)이었습니다. 즉, 탐지를 피하기 위해 코드를 스스로 조정했습니다. 이러한 과제가 심화됨에 따라 위협 인텔리전스에서 인공 지능(AI)의 역할은 필수 불가결해지고 있습니다.

2. 사이버 보안에서 AI의 등장#

인공 지능은 기본적으로 기계가 인간의 지능(추론, 결정, 패턴 인식 능력)을 모방할 수 있게 해줍니다. 사이버 보안에서 이는 AI가 인간 분석가의 인지 기능을 복제할 뿐만 아니라 연산 및 속도 측면에서 인간의 한계를 뛰어넘을 수 있음을 의미합니다. 이를 더욱 효율적으로 만드는 AI의 한 분야가 머신러닝(ML)입니다. ML은 기계(이 경우 AI 기반 사이버 보안 시스템)가 인간의 지속적인 프로그래밍 없이도 스스로 학습하고 발전할 수 있도록 합니다. 시스템에 대량의 데이터를 제공하여 패턴을 발견하고, 행동을 예측하며, 편차를 이해하는 방법을 학습시킵니다. 머신러닝은 다음 세 가지 유형으로 분류할 수 있습니다.

1. 지도 학습(Supervised Learning): 라벨이 지정된 데이터를 사용하여 시스템을 학습시킵니다. 사람의 지원이 필요하며, 알고리즘이 입력과 출력 간의 관계를 이해하도록 하는 데 가장 적합합니다.
2. 비지도 학습(Unsupervised Learning): 라벨이 없는 데이터를 사용하여 시스템을 학습시킵니다. 사람의 감독 없이 진행되며, 아직 발견되지 않은 패턴을 식별하는 데 도움이 됩니다. 새로운 위험을 탐지하는 데 가장 적합합니다.
3. 강화 학습(Reinforcement Learning): 이 학습 유형에서는 시행착오 방식을 사용하여 알고리즘을 학습시킵니다. 올바른 행동에 대해서는 보상을 받고, 잘못된 행동에 대해서는 페널티를 받습니다.

3. 사이버 위협 탐지에 AI를 사용하는 것의 장점#

사이버 위협 탐지를 위해 인공 지능을 도입할 때 얻을 수 있는 네 가지 주요 이점은 다음과 같습니다.

1. 오탐지를 줄이고 위협 식별의 정확도 향상 AI는 여러 데이터 소스를 즉시 통합하여 경고의 배경 상황을 이해함으로써 보안 팀의 생산성을 극대화합니다. 이는 불필요한 경고를 줄이고 조직에 잠재적인 피해를 줄 수 있는 실제 위협에 집중하도록 돕습니다. 예를 들어, AI는 사용자의 과거 행동과 위치를 분석하여 정상적인 로그인 시도와 의심스러운 로그인 시도를 빠르게 구별할 수 있습니다.

2. 대량의 데이터를 처리하고 분석하는 속도와 효율성 인간 분석가가 데이터를 수집하고 해석하는 데 오랜 시간을 보냈던 전통적인 위협 탐지와 비교할 때, AI는 사이버 보안에 혁명을 일으키고 있습니다. AI는 다양한 소스에서 보안 데이터를 수집하고, 정제 및 표준화하며, 정량적 및 정성적 데이터를 상상할 수 없는 속도로 분석할 수 있습니다. 이러한 초인적인 효율성은 보안 팀에 현재 시스템 상태에 대한 의미 있는 인사이트를 번거로움 없이 제공합니다.

3. 예측 분석을 통한 사전 위협 탐지 현재 및 과거 데이터를 사용하여 미래의 성과를 예측하는 기술 집합인 예측 분석은 사이버 위협 탐지의 판도를 바꾸고 있습니다. 조직은 이제 어떤 취약점이 표적이 될 가능성이 가장 높은지 평가하고, 기존 변종을 분석하여 새로운 악성코드를 식별할 뿐만 아니라, 의심스럽거나 악의적인 활동에 플래그를 지정하기 위해 이상 징후를 정확하게 탐지할 수 있습니다.

4. 진화하는 사이버 위협에 적응하는 확장성 머신러닝 모델을 사용하는 사이버 위협 탐지 시스템은 더 많은 위협에 대응하고 학습할 데이터를 더 많이 얻으면서 스스로 효과적으로 진화할 수 있습니다. 이러한 동적 접근 방식을 통해 시스템은 탐지 기능을 자동으로 개선하고 변화하고 정교해지는 사이버 위협 환경에 적응할 수 있습니다.

4. 사이버 위협 탐지에서 AI의 적용#

사이버 위협을 탐지하는 데 있어 AI의 역할을 좀 더 실무적인 수준에서 알아보겠습니다.

4.1 네트워크 보안#

AI는 주로 네트워크 트래픽에서 이상 징후를 식별하고 공격 표면을 줄이기 위해 마이크로 세그먼트를 생성하며, 네트워크 및 인프라 모니터링을 자동화함으로써 네트워크 보안을 개선합니다. 이를 자세히 살펴보겠습니다.

• 이상 탐지: AI는 네트워크 트래픽, 시스템 로그, 사용자 상호 작용에 대한 데이터를 가져와 일반적인 네트워크 활동의 기준선을 설정합니다. 이 기준을 벗어나는 모든 편차는 잠재적인 위협 및 보안 문제를 의미합니다.

• 네트워크 마이크로세그멘테이션: 자동화된 신원 기반 권장 사항, 사용자 그룹화, 제로 트러스트 보안은 대규모 네트워크를 관리 가능한 세그먼트로 나누고 전체 공격 표면을 줄이는 방법입니다.
• 자동화된 네트워크 보안 모니터링 및 관리: 조직은 실시간으로 네트워크 보안을 자동으로 모니터링하고, 오작동을 탐지하며, 비규정 준수를 추적하고, 특정 위협에 대응하는 AI 기반 위협 탐지기를 배포할 수 있습니다.

4.2 엔드포인트 보안#

원격/하이브리드 근무 모델과 BYOD(Bring Your Own Device) 정책의 증가로 인해 엔드포인트 보안을 강화해야 할 필요성이 커졌습니다. 네트워크의 엔드포인트를 보호하기 위한 진정으로 진보된 솔루션으로 **차세대 안티바이러스(NGAV, Next-Generation Antivirus)**가 등장한 것이 바로 이 지점입니다. AI, ML 및 행동 분석을 MacKeeper와 같은 다른 엔드포인트 보안 도구와 결합하면 사용자 기기에서 기존 위협과 새로운 위협을 모두 차단하는 데 도움이 됩니다. 가장 중요한 점은, NGAV는 클라우드 기반 아키텍처를 갖추고 있어 조직이 거의 즉각적이고 원격으로 배포할 수 있을 뿐만 아니라 실시간 위협 인텔리전스를 제공한다는 것입니다. 선도적인 NGAV 솔루션 중 하나에 대해 자세히 알아보려면 Cybernews의 Bitdefender 리뷰를 확인하여 강력한 엔드포인트 보호 기능을 어떻게 제공하는지 알아보세요. NGAV 외에도 **엔드포인트 탐지 및 대응(EDR)**을 AI와 통합하여 중앙 관리 허브를 사용해 네트워크 엔드포인트에서 위협을 표시하고 완화할 수 있습니다.

4.3 사기 탐지#

머신러닝은 사기를 탐지하고 예방하는 강력한 도구가 되었습니다. 로그인 패턴, 구매 행동 및 결제 수단과 같은 다양한 고객 접점에서 대량의 거래 및 행동 데이터를 분석하여 작동합니다. 시간이 지남에 따라 ML 모델은 특정 사용자나 시스템에 대한 "정상적인" 거래가 어떤 모습인지 학습합니다.
이러한 패턴이 확립되면 모델은 갑작스러운 위치 변경, 예상치 못한 지출 급증 또는 불규칙한 로그인 시도와 같은 비정상적인 활동을 잠재적인 사기로 신속하게 식별할 수 있습니다. 이 분야에서 새롭게 떠오르는 위협 중 하나는 공격자가 합성 음성을 사용하여 실제 인물을 사칭하는 AI 기반 음성 스푸핑(voice spoofing)입니다. 이를 해결하기 위해 다양한 음성 샘플을 사용하여 가짜 오디오를 탐지하도록 ML 모델을 학습시킬 수 있습니다. 무료 AI 음성 생성기와 같은 도구는 모델이 실제 음성과 합성 음성 간의 미묘한 차이를 학습하는 데 도움이 되는 사실적인 예제를 제공할 수 있습니다. 이렇게 추가된 음성 확인 계층은 음성 기반 거래 및 신원 확인을 보호하는 데 점점 더 중요해지고 있습니다.

4.4 행동 분석 (BA)#

AI는 사용자, 개체, 시스템 등 무엇이든 행동 분석(Behavioral Analytics)에서 결정적인 역할을 합니다. 분석 대상에 따라 BA는 다음 세 가지 범주로 나눌 수 있습니다.

• 사용자 및 개체 행동 분석(UEBA): UEBA를 활용하는 조직은 사용자와 개체(기기, 애플리케이션)의 행동을 모니터링하고 분석하여 악의적인 활동을 찾을 수 있습니다. 예를 들어, UEBA는 비정상적인 로그인과 의심스러운 로그인 시도를 구분하는 데 도움을 줄 수 있습니다. 이는 특히 보안의 중요한 부분인 앱 개발 과정에서 발생합니다.

이러한 상황에서 웹 개발자가 하는 일이 궁금하다면, 행동 분석 도구를 통합하고 세션 하이재킹이나 무단 액세스와 같은 위협에 대해 애플리케이션의 복원력을 보장하는 것이 포함됩니다.

• 네트워크 행동 분석: 네트워크 트래픽을 분석하여 AI는 표준에서 벗어나는 네트워크 패턴을 발견할 수 있습니다. 예를 들어, 누군가 네트워크에 알려지지 않은 수신자에게 부당하게 많은 양의 데이터(예: 이미지)를 내보내려고 시도할 때 보안 팀에 경고할 수 있습니다.

• 내부자 위협 행동 분석: ITBA라고도 하며 조직이 권한을 남용할 수 있는 사용자를 식별하도록 지원하여 잠재적인 내부자 위협을 나타냅니다. 결과적으로 누군가 민감한 정보에 불법적으로 접근하거나, 데이터를 유출하거나, 알 수 없는 소프트웨어를 설치하거나, 중요한 시스템 파일을 삭제하는지 등을 파악할 수 있습니다.

5. 과제 및 한계#

그러나 AI 기반 사이버 위협 인텔리전스에는 한계가 있습니다. 다음은 사이버 위협을 탐지하기 위해 AI를 사용할 때의 네 가지 주요 과제입니다.

5.1 데이터 품질 및 편향#

원리는 간단합니다. 편견이 있는 데이터로 사이버 위협을 탐지하도록 ML 모델을 훈련시키면, 시스템은 그 작동 과정에서 편향성을 강화할 뿐입니다. 예를 들어, 사용자의 99%가 Windows에서 운영되었던 과거 네트워크 트래픽 패턴으로 시스템을 훈련시킨다면, Linux 기반 기기에서의 로그인 시도를 잠재적인 위협으로 잘못 식별하게 됩니다.

5.2 적대적 공격#

사이버 위협 탐지에 AI를 도입할 때 직면하는 또 다른 중요한 과제는 증가하는 적대적 공격(Adversarial Attacks)입니다. 위협 행위자는 이러한 공격을 사용하여 ML 알고리즘이 학습하는 입력 데이터를 교란함으로써 AI가 내린 결정이나 예측과 같은 출력도 부정확해지도록 만듭니다.

5.3 해석 가능성#

"블랙박스" 문제로 널리 알려진 복잡한 머신러닝 알고리즘은 투명성이 부족합니다. 즉, 모델이 특정한 결정을 내린 방식을 이해하는 것이 불가능하며, 이로 인해 예상된 기능에서 벗어났을 때 시스템을 수정하기가 어렵습니다. 결과적으로 분석가는 탐지 근거가 불명확한 경우 플래그가 지정된 위협을 이해하고 대응하는 데 어려움을 겪을 수 있습니다.

5.4 윤리적 및 개인정보 보호 문제#

AI 기반 사이버 위협 모니터링 및 탐지에는 데이터 수집이 수반되며, 이는 수많은 윤리적 및 개인정보 보호 문제를 무의식적으로 야기할 수 있습니다. 여기에는 개인 및 개인 정보에 대한 과도한 감시, 분석에 필요한 것 이상의 과도한 데이터 수집, 사용자 동의 없는 데이터 수집 등이 포함됩니다.

6. 결론#

예측 분석, 행동 분석, 실시간 이상 탐지 등과 같은 사이버 보안 솔루션을 통해 인공 지능은 사이버 위협 인텔리전스를 지속적으로 재정의하고 있습니다. 그러나 진동하는 위협 환경에 진정으로 맞서기 위해서는 AI 기반 사이버 보안 시스템의 사전 예방적 적응과 혁신이 필수적입니다. 동시에 조직은 더 안전한 디지털 세계를 구축하기 위해 기술 발전과 윤리적 책임 사이의 균형을 맞추는 방법을 배워야 합니다.

저자 소개:
Prateek Arora는 thestartupinc.com의 콘텐츠 마케팅 전문가로, 웹사이트 방문자를 유료 고객으로 전환하는 B2B 및 SaaS 주제를 깊이 연구합니다. 혁신적인 마케팅 전략을 탐구하는 열정으로 Prateek은 타겟 고객과 소통할 수 있는 콘텐츠를 연구하고 제작하는 것을 즐깁니다. 여가 시간에는 활기찬 도시 풍경에서 영감을 얻으며 친구들과 어울리거나 도시 주변을 드라이브하는 것을 좋아합니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문#

AI는 사이버 위협 탐지에서 오탐지를 어떻게 줄이나요?#

AI는 여러 데이터 소스를 통합하여 각 경고 이면의 맥락을 파악함으로써 오탐지를 줄입니다. 예를 들어 사용자의 과거 행동과 위치를 분석하여 정상적인 로그인과 의심스러운 로그인을 구별함으로써 보안팀이 노이즈가 아닌 실제 위협에 주의를 집중하도록 합니다.

AI 기반 행동 분석에서 UEBA와 ITBA의 차이점은 무엇인가요?#

사용자 및 개체 행동 분석(UEBA)은 사용자와 애플리케이션과 같은 장치를 모두 모니터링하여 의심스러운 로그인 시도를 포함한 악의적인 활동을 감지합니다. 내부자 위협 행동 분석(ITBA)은 권한을 남용하는 사용자를 특정하여 무단 데이터 액세스, 데이터 유출 또는 알 수 없는 소프트웨어 설치에 플래그를 지정합니다.

적대적 공격은 AI 기반 사이버 위협 탐지를 어떻게 약화시키나요?#

적대적 공격은 ML 알고리즘이 학습하는 입력 데이터를 의도적으로 조작하여 모델의 예측 및 결정을 부정확하게 만듭니다. 위협 행위자는 이를 악용하여 탐지 시스템을 방해함으로써 악의적인 활동을 정상적인 것처럼 보이게 하고 AI 기반 보안 통제를 우회합니다.

차세대 안티바이러스가 엔드포인트 보안을 위한 기존 안티바이러스보다 더 나은 이유는 무엇인가요?#

차세대 안티바이러스(NGAV)는 AI, 머신러닝, 행동 분석을 클라우드 기반 아키텍처와 결합하여 거의 즉각적인 원격 배포와 실시간 위협 인텔리전스를 가능하게 합니다. 기존 안티바이러스와 달리 NGAV는 사용자 기기에서 알려진 위협과 새로운 위협을 모두 차단하므로 원격 및 BYOD 작업 환경에서 특히 효과적입니다.