상단영역

UPDATED. 2024-03-29 13:40 (금)

본문영역

구글 모회사 알파벳의 수수께끼...크로니클에 주목하라

기계학습을 사용한 사이버보안에 주안점

  • 기자명 장순관 기자
  • 입력 2018.02.28 10:12
  • 수정 2018.02.28 10:25
글씨크기
알파벳의 수수께끼...크로니클에 주목하라

 

사이버보안 세계에 흥미로운 새 선수가 등장했다. 그 이름은 크로니클이다. 이 기업을 주목해야 하는 이유는 이 기업이 구글 모회사 알파벳의 혁신 기업 인큐베이터인 X의 작품이기 때문이다. 지난 1<미디엄>에 두 블로그 포스팅을 통해 크로니클의 존재가 발표되었다. 크로니클의 최고경영자에 따르면 이 회사의 사업 주안점은 다른 기업의 보안 데이터 정리를 지원하고, 유해한 사이버 공격을 막는 데 있다고 한다.

바야흐로 <워너크라이> 같은 세계적 컴퓨터 바이러스의 시대다. <멜트다운>, <스펙터> 등도 컴퓨터 프로세서의 약점을 공략한다. 이러한 시대에 구글과 같은 기업이 사업 방향과 자원을 사이버보안에 투자하는 것은 현명한 선택이다. 그러나 이들의 구체적인 향후 움직임에 대해서는 정보가 제한적이다.

앞서의 블로그 포스트에서 이 회사의 공동설립자이자 최고경영자인 스티븐 질레트는 새로운 사이버보안 정보와 분석 플랫폼을 통해 다른 기업들이 보안 필요 데이터를 더 잘 관리하고 이해하게 하는 것이 이 회사의 목표 중 하나라고 밝혔다. 그는 또한 일부 기업들은 이러한 플랫폼의 초기 버전 개발을 이미 시도하고 있다고 밝혔다. 그들의 시스템 역시 일종의 인공 지능인 기계 학습을 사용할 것이다.

이 회사는 이미 공개된 내용 이외의 세부 내용은 공개하지 않고 있으나, 기계 학습은 기업이 획득한 대량의 사이버 보안 데이터 처리에 유용한 도구다.

쉐이프 시큐리티의 현 최고 기술 담당관이자 전 구글 클릭 사기 담당 국장이었던 슈만 고스마줌더는 구글 데이터를 사용해 사이버 생태계의 보안을 개선한다는 발상은 오직 구글만이 해낼 수 있는 직접적인 정보 응용이라고 생각한다.”고 말했다.

질레트의 설명에 따르면 크로니클은 다른 기업들의 내부 방어망에서 발령하는 보안 경고의 합리화를 도울 것이다. 이런 보안 경고는 일일 수만 건에 달할 때도 있다. “거대 조직에서 사용하는 수십 가지 보안 제품에서 나오는 엄청난 양의 데이터는, 역설적이게도 위협의 감지와 조사를 더욱 어렵게 한다.”고 질레트는 썼다. 그리고 이 모든 데이터를 보관하는 데는 돈이 든다.

카네기 멜론 대학의 컴퓨터 공학 부교수인 브라이언 파노에 따르면 한 기업의 네트워크 활동 데이터는 이벤트 기록의 형태로 나온다. 이 이벤트는 아침에 누군가가 컴퓨터에 로그인했다거나, 컴퓨터 간의 통신이나, 사람들이 다운로드받은 파일 등 단순한 것일 수도 있다. 또한 보안 경고, 실패한 로그인 시도 등도 이벤트 기록에 포함된다. 안티바이러스 소프트웨어는 다른 보안 기기와 마찬가지로 알림도 만들어낸다. 파노는 크로니클은 이런 방대한 데이터를 압축시키고자 할 것이라고 내다보았다.

파노는 다음 단계는 비정상 감지가 될 것이라고 말한다. 이 데이터들을 살펴본 다음 정상 트래픽과 비정상 트래픽 간의 차이를 알아내는 과정이다.

AI를 해방하라

여기서 기계 학습이 필요해진다. 기계 학습을 통해 엄청나게 많은 데이터 속에서 실마리를 찾아내는 것이다. 파노는 보안 분석관들은 엄청난 시간을 들이면서 이렇게 말한다. ‘모든 경고를 다 찾아냈으니 이제야 분류가 가능하겠다.’” 목표는 정상 트래픽과 진짜 위협을 구분하는 것이다.

기계 학습은 데이터를 통한 학습에 뛰어나다. 학습 알고리즘에 고양이의 모습을 가르칠 때, 고양이의 모습에 대한 규칙을 직접 입력시키지 않고, 대신 무수히 많은 고양이 사진을 보여주고, 고양이의 모습에 대한 규칙을 판독하게 하는 것은 그 고전적 사례다. 이렇게 하면 학습 알고리즘은 완전히 새로운 사진 속에서도 고양이라고 생각되는 물체를 찾아낼 수 있다.

다만 질레트가 블로그에서 말했듯이 이 경우에는 고양이가 아니라 보안 경고나 이벤트 기록이다. 파노에 다르면 엔지니어들은 시스템에 좋은 것을 가르치려는 경향이 있다고 한다. 대부분의 트래픽은 무해하므로, 정상적인 트래픽의 모양부터 학습시키려는 것이다.

파노에 따르면 그런 엔지니어들은 프로그램에 좋은 것을 주로 보여주고, ‘이제 이 프로그램이 좋다고 인식할 수 없는 것은 나쁜 것일지도 몰라.’”라고 생각한다고 한다. 그러나 크로니클은 좋은 트래픽, 나쁜 트래픽, 또는 둘 다에서 나오는 신호를 인식할 수 있도록 알고리즘을 훈련시킬 수 있다. 크로니클의 일부는 지난 2012년 구글이 인수한 바이러스 토탈 사로, 바이러스 토탈은 멀웨어 탐지에 특화되어 있다. 간단히 말해, 크로니클은 회사의 사이버 보안 상황을 신속하게 분석할 수 있도록 설계된 플랫폼인 것이다. 이와 마찬가지로, 또다른 회사에서도 CIA같은 조직의 정보 분석관들이 보고서와 기타 데이터 처리를 용이하게 할 수 있는 인공 지능 시스템을 개발했다고 한다.

파노는 이 시스템은 컴퓨터의 멀웨어 감염 등 유사시 데이터 조각을 맞추는 힘든 과정의 속도를 높일 수 있다고 말한다.

그러나 컴퓨터 보안과 암호 기법을 주로 연구하는 파노는 한 가지 주의를 잊지 않았다. “역사를 돌이켜 보건대, 기계 학습을 보안 문제에 매우 효과적으로 적용하는 데는 문제가 따랐다.” 기계 학습은 평균적인 사례를 식별하는 데는 좋다. 시리나 알렉사가 인간의 말을 99% 알아듣는다면 이건 납득할만한 수준이다. 그러나 보안의 영역에서는 99%로도 모자란다. 파노는 이렇게 말한다. “공격자가 정상 활동으로 보일 만큼 매우 잘 위장된 공격을 가하는 것이야 말로 비정상 탐지의 약점이다.”

By Rob Verger

저작권자 © 파퓰러사이언스 무단전재 및 재배포 금지
이 기사를 공유합니다

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음

당신만 안 본 뉴스

하단영역

매체정보

  • 서울특별시 서대문구 경기대로 15 (엘림넷 빌딩) 1층
  • 대표전화 : 02-6261-6148
  • 팩스 : 02-6261-6150
  • 발행·편집인 : 김형섭
  • 법인명 : (주)에이치엠지퍼블리싱
  • 제호 : 파퓰러사이언스
  • 등록번호 : 서울중 라 00673
  • 등록일 : 2000-01-06
  • 발행일 : 2017-11-13
  • 청소년보호책임자 : 박노경
  • 대표 : 이훈, 김형섭
  • 사업자등록번호 : 201-86-19372
  • 통신판매업신고번호 : 2021-서울종로-1734
ND소프트