뚫리지 않는 보안 솔루션은 불가능…스스로 학습 통해 악성 코드 탐지
“나는 고객사 미팅을 준비하기 위해 카페에서 기다리고 있었다. 중요한 고객사와의 약속이기 때문에 너무 일찍 왔고 그냥 기다리자니 너무 지루했다. 그런데 마침 카페 계산대 위에 P2P 무료 쿠폰이 놓여 있었다. 지겨움을 달래기 위해 쿠폰을 가지고 왔다. 그리고 P2P에서 영화를 다운 받았다. 그런데 얼마 지나지 않아 우리 고객사가 보유하고 있는 정보가 대규모로 유출된 사고가 발생했다. 그리고 사이버 수사관들이 내 집을 찾아와 이 잡듯이 뒤졌고 수사관은 내게 말해 줬다. P2P에서 받은 영화에 숨어 있는 악성 코드로 고객사의 정보가 대량으로 유출됐다고 말이다.”위 내용은 실제로 국내에서 발생했던 2011년 농협대란을 모티브로 작성한 얘기다. 실제로 2010년 9월 커피숍에서 받은 웹하드 무료 다운로드 쿠폰을 이용해 업무용 노트북에 영화를 다운 받은 것이 사건의 원인이었다. 그리고 잠복 기간 동안 수많은 정보를 유출했고 2011년 4월 1일 공격 명령 파일을 설치한 뒤 공격 명령을 실행해 농협의 전산을 마비시킨 것이다.
스마트 시대가 도래하면서 눈에 보이지 않는 수많은 사이버 위협들이 셀 수 없이 일어나고 있다. 더욱이 사이버 공격의 수법은 더욱 더 치밀해졌고 지능적으로 진화했다. 그중 대표적인 게 지능형 지속 위협(APT : Advanced Persistent Threat)이다. 지능형 지속 위협의 공격 방식은 크게 6가지(사전 조사→Zero-Day 공격→사회공학→은닉→적응→지속) 단계를 거쳐 이뤄진다. 쉽게 말해 PC에 잠복해 있다가 아무도 모르게 정보를 유출하는 것이다.
악성 코드에서 유사한 패턴 찾아내
해외 보안 솔루션 전문가에 따르면 뚫리지 않는 보안은 없다고 한다. 악성 코드 수가 천문학적이기 때문에 해커가 마음만 먹으면 얼마든지 해킹이 가능하다. 특히 사이버 공격은 개인 수준이 아닌 기관에서 경쟁자, 상대 국가에 피해를 줄 목적으로 이뤄지는 공격도 많다. 이 때문에 기관의 주요 서버에서부터 개인의 업무용 노트북까지 전문적인 사이버 공격으로 방어하기는 어렵다.
기존 사이버 보안 방식은 악성 코드가 등장하면 그 멀웨어(malicious software : 악의적인 소프트웨어) 내역을 업데이트해 사이버 공격에 대응하는 방식이다. 다시 말해 현 사이버 보안 체계는 신규 멀웨어에는 정보가 없기 때문에 탐지·차단이 불가능하다.
따라서 파이어아이·안랩·트렌드마이크로와 같은 보안 회사에서 머신 러닝 기술을 도입해 기존 시스템을 강화한 제품을 출시했다. 머신 러닝은 데이터를 분석해 미래를 예측해 주는 기술이다. 지능형 보안 시스템(혹은 머신 러닝 기반 보안 시스템)은 스스로 멀웨어 공격의 유형과 패턴을 분석한다. 그리고 리스트에 등록돼 있지 않은 악성 코드라고 할지라도 멀웨어 공격과 유사한 패턴이 발견되면 이를 즉시 탐지하고 차단한다. 머신 러닝의 학습 방식은 기존 데이터 유무에 따라 ‘감독 학습’과 ‘비감독 학습’으로 나눌 수 있다. 두 학습 방법을 비교해 보면 감독 학습법이 기존 데이터에 기반으로 학습하기 때문에 비감독 학습법보다 정확도가 높다. 하지만 기존 데이터라는 틀이 이미 갖춰져 있기 때문에 시스템 패턴 구축에 상당히 제한적이다. 다시 말해 새로운 유형의 공격 감지에는 비감독 학습법이 더 효과적이다.
지능형 보안 솔루션은 현 수준에서만 머무르지 않는다. 끊임없이 공격해 오는 사이버 공격 유형, 멀웨어 등을 분석하고 스스로 학습해 나간다. 이에 따라 지능형 보안 솔루션은 더 정확하게 분석해 낼 수 있다. 이 때문에 해외의 보안 전문가들은 보안 시스템의 머신 러닝을 ‘브레인’이라고 표현한다. 앞으로 머신 러닝이 보안 시스템에서 중요한 핵심 브레인 역할을 할 것으로 예상된다.
유성민 IT 칼럼니스트
© 매거진한경, 무단전재 및 재배포 금지