December 10,2019

보안에 활용되는 AI, 해킹에도 유용

시스템 검열 회피해 해킹 성공률 높여

FacebookTwitter

AI는 자동차, 금융, 에너지 등 여러 분야에서 활용되고 있다. 사이버 보안 분야도 그중 하나다.

미국 보안 회사 시스코(CISCO)는 최근 AI를 활용해 ‘AMP (Advanced Malware Protection)’라는 기술을 개발했다. 해당 기술은 보안 전문가를 대신해 악성코드 행위를 분석해주는 시스템으로 약 700여 개나 되는 행위요인을 다룬다.

AI 알고리즘 ‘휴리스틱 (Heuristic)’을 적용한 ‘사이버 게놈’ 기술도 주목을 받고 있다. 사이버 게놈은 악성코드의 공통 패턴을 학습해 신규 악성코드를 탐지하는 기술이다. 이는 신규 악성 공격에 대한 대응력을 높인다.

IBM가 선보인 ‘왓슨 포 사이버 시큐리티 (Watson for Cyber Security)’는 자체 개발한 AI ‘왓슨 (Watson)’을 탑재한 것이 특징이다. 보안 운영자가 시스템과 대화하면서 사이버 공격 현황을 쉽게 파악할 수 있다는 장점을 갖고 있다.

사이버 보안 분야에서 AI를 적극 활용하고 있다.  ⓒ Max Pixel

사이버 보안 분야에서 AI를 적극 활용하고 있다. ⓒ Max Pixel

사이버 보안의 양날의 검 ‘AI’

그런데 AI 활용은 보안에서만 이뤄지는 것이 아니다. 반대 측인 해커도 AI를 적극적으로 활용할 수 있다.

옥스퍼드 외 6개 대학·연구기관에서 발간한 ‘인공지능 악용: 전망, 예방 및 대응 (The Malicious Use of Artificial Intelligence: Forecasting, Prevention and Mitigation)’에 따르면 해커의 AI 악용은 사이버 보안에 큰 위협 요인이 될 것으로 보인다.

이러한 위협은 이미 여러 차례 제기된 것이다. 2017년 보안 전문 회사 ‘웹루트 (Webroot)’는 미국과 일본에 거주하는 400명 보안 전문가 대상으로 ‘AI가 사이버 위협 요인으로 작용할지’에 대한 설문조사를 진행했다. 이중 86%가 ‘위협으로 작용한다’는 의견을 내놓았다.

보안 최대 컨퍼러스인 ‘블랙햇 (Blackhat)’에서도 2017년 AI와 사이버 공격에 관한 설문조사가 진행됐었다. 그 결과 무려 62%의 응답자가 ‘1년 내로 AI가 사이버 공격에 활용될 것’이라고 답했다.

그럼 AI는 어떻게 사이버 공격에 활용될까? 참고로 사이버 공격에서 AI를 무조건 활용하지는 않을 것으로 보인다.

해커는 사이버 공격을 감행하기 전에 해킹으로 인한 이득을 생각한다. 이득을 고려해서 해킹에 투자한다는 뜻이다.

해킹에 AI를 사용하는 것은 다소 높은 비용을 요구하는 일이다. 때문에 AI를 아무 사이버 공격에나 적용하는 현상은 없을 것으로 보인다.

따라서 사이버 공격 분야에서 AI를 활용하는 집단은 전문 해커 그룹으로 한정될 가능성이 높다. 아마도 중요 서비스를 관장하는 기관을 해킹할 때 AI를 활용할 것으로 예상된다.

금전 이득에 따라 해킹 방식이 달라진다. 때문에 아무 사이버 공격에서나 AI를 활용하지는 않을 것으로 보인다.  ⓒ Pixabay

금전 이득에 따라 해킹 방식이 달라진다. 때문에 아무 사이버 공격에서나 AI를 활용하지는 않을 것으로 보인다. ⓒ Pixabay

AI로 진화하는 APT

해커는 주요 기관을 해킹할 때 무차별적으로 사이버 공격을 가하지 않는다. 보안 관리자가 공격 행위를 분석해 기관의 사이버 보안을 더욱 견고하게 만들 수 있기 때문이다.

그래서 대부분 해커는 장기간에 걸쳐 지능적으로 주요 기관을 공격한다. 이러한 공격 수법은 ‘첨단지속위협 (APT: Advanced Persistent Threat)’이라고 부른다.

정리하면, APT 수법에 AI를 활용한 해킹 공격이 눈에 띌 것으로 보인다. 그럼 AI가 APT 공격 방식에 어떤 영향을 미치는지 살펴보자.

APT 공격은 ‘침투’, ‘잠입’ 그리고 ‘공격’ 프로세스로 나눌 수 있다. 이중 AI가 활용되는 단계는 ‘침투’와 ‘잠입’이다.

1단계인 침투는 기관에 침투하는 단계를 말한다. 해커는 침투 성공을 위해 목표물과 연관된 정보를 조사하는 경우가 많다. 예를 들어, 해커는 악성 메일을 통한 악성코드 유포에 성공하기 위해서 수신자가 메일을 열어볼 만한 주제를 조사할 수 있다.

이러한 작업은 시간이 오래 걸릴 뿐만 아니라 귀찮다. 그런데 AI가 이를 대신해준다면 어떨까? 보안 전문 회사 ‘제로폭스 (Zerofox)’는 2016년 블랙햇에서의 시연을 통해 이러한 질문에 답변했다.

제로폭스는 트위터 사용자를 대상으로 ‘악성코드 첨부 링크’를 댓글로 남기는 ‘봇’을 소개했다. 그런데 이러한 봇은 사용자의 프로필을 자동으로 분석, 클릭을 유도할만한 내용도 함께 댓글로 남겼다.

결과는 어떻게 됐을까? 클릭 유도율은 인간 해커보다 봇이 낮았지만, AI의 빠른 성능 때문에 공격 성공 수는 월등히 많았다. 봇 275개, 인간 해커 49개로 5배 이상 차이가 났다.

2단계인 잠입은 기관에 침투한 뒤 목표 시스템에 접근하는 것이다. 잠입에 성공한 악성코드는 해커의 지시에 따라 추가 감염을 진행하면서 목표 시스템에 접근한다.

여기서 핵심은 내부 보안 탐지 시스템에 들키지 않는 것이다. 그런데 이는 쉬운 일이 아니다. 따라서 해커는 악성코드와의 통신을 통해 새로운 유형의 악성코드를 계속 유입하는 경우가 많다.

그런데 악성코드에 AI를 적용해 상황에 따라 보안 시스템 검열을 자동으로 피하는 기능이 있다면 어떨까? 해커는 훨씬 편하게 잠입 상황을 지켜볼 수 있다. 물론 성공률 또한 더 높아진다.

2018년 블랙햇에서 IBM은 AI 기반 악성코드 ‘딥락커 (DeepLocker)’를 시연했다. 딥락커는 악성코드에 AI를 적용해 상황에 따라 보안 시스템 검열을 우회하고 자동으로 공격하는 특징이 있다.

IBM은 아주 유명한 랜섬웨어 ‘워너크라이(Wannacry)’에 딥락커를 결합해 보안 시스템의 검열을 쉽게 회피하는 영상을 시연함으로써 잠입 성공률을 높일 수 있음을 보여주었다.

정리하면, AI는 침투에서 잠입까지 자동으로 진행해 해커를 편리하게 할 뿐만 아니라 공격 성공률도 높일 수 있다. AI의 이점이 해커에게도 적용되는 것이다.

의견달기(0)