정보 보안 분야의 인공지능

인공지능 보안 사례

• 방어 관점 : 네트워크 침입 탐지, 악성코드 탐지, 침해사고 분석
• 공격 관점 : 탐지 모델 공격, 시스템 해킹 및 취약점 발견

위의 기저 동작은 거의 동일하다

기존에 알고 있는 법칙과 지금까지 확보된 데이터에서 찾아내 공통적인 특성을 통해 유사한 것과 다른 것을 찾아내는 것이 핵심 기술이다.

 

기존 시스템들이 악성코드를 순차적인 로직에 통과시키면서 악성 유무를 판단하는 것에 반해 인공지능 시스템은 악성코드가 악성일 확률이 몇 퍼센트인지 도출하는 과정을 통해 악성 유무를 판단한다.

 

 

침해사고 분석 : 조직의 시스템 또는 자원에 대한 아성 공격을 빠르게 탐지 및 대응하고, 사고의 원인 분석과 함께 피해 최소화를 위한 후속 조치를 수행하는 전반적인 과정을 포함한다.

 

예) 조직의 네트워크 입구에 위치한 보안 솔루션이 공격 탐지를 놓쳐도 내부 침투 후 최종 목적이 되는 악성 행위를 하는 순간을 잡아낼 수 있다면 피해가 더 커지기 전에 공격을 차단할 수 있다.

 

방법 : 네트워크 관문에서 단말 호스트로 이어지는 일련의 흐름을 모니터링하고, 여기에 이상 징후를 탐지하는 기능을 적용한다

 

이상 징후 탐지 : 부서별 혹은 내부 네트워크 구성에 따라 일반적으로 관찰되는 흐름을 벗어난 일련의 데이터 흐름을 찾아내는 방식으로 동작.

 

인공지능은 방대한 양의 로그에서 의미 있는 정보만 선별하는 분석 작업에도 유용하다.

실제로 공격과 관련성이 높을 것으로 판단되는 로그만 분석가에게 띄워줄 수 있다.

 

정보 보안 분야의 특수성

정말 위험한 공격은 공격자가 공격 대상을 ‘작정하고 노리는’경우다.

공격 코드를 ‘변형’하거나 완전히 새로운 기법을 개발해 공격하면 안티바이러스가 이 공격을 탐지할 확률은 매우 낮아진다.

 

기술 도입 시 고려해야 할 내용들

네트워크 침입 탐지 솔루션의 경우

현장 배치 이전에 보통 1~2달 정도의 학습 기간을 갖는다. 이 기간 동안 업체의 기술과 조직의 보안 정책이 잘 융합될 수 있도록 탐지 수준을 조절하고 조직의 네트워크 환격에 맞는 최적의 정책을 결정하게 된다.

 

 

 

 

출처: 서준석, 『인공지능, 보안을 배우다』, 비제이퍼블릭(BJ퍼블릭)(2019년 04월 17일), p.22~32.