해커보다 한 수 위 ‘AI 사이버보안’ 기술 진화

[애플경제 전윤미 기자] AI를 이용한 사이버보안의 필요성이 날로 강조되고 있다. 해커들이 AI를 이용한 사이버공격 수법을 구사할수록, 역으로 더욱 발달한 AI를 접목해 위협 인텔리전스나 그 가시화 등을 시도할 수 있다는 설명이다. 이에 최근엔 심층적인 사이버 위협을 가시화하는 ‘딥 비저빌리티’ 기술, 지능화된 위협을 파악하는 인텔리전스, 그리고 이에 걸맞은 SOC 자동화 등 AI 보안 자동화 기술 등이 제시되고 있다.

이는 AI를 활용해 날로 첨단화하는 해킹 수법에 대응하기 위한 것이다. 최근 들어 사이버 공격 벡터(경로)와 LLM을 결합한 HaaS(Hacking as a Service) 생태계가 극성을 떨고 있다. 이런 HaaS에 의한 수법은 정상적인 LLM 보호 장치를 우회하는 ‘탈옥 프롬프트’(Jailbreak prompts)나, 검증되지 않은 LLM을 악용하기도 한다.

인간과 AI가 협력, 사이버공격에 대응

국제 사이버보안 컨퍼런스인 ‘RSA Conference’와 시장조사기관 메리톡(MeriTalk)에 의하면 인공지능을 활용, 새로운 위협을 탐지하고, 업무 효율성을 높이며, 신속한 사고대응이 가능하다. 이는 인간의 AI가 협력해 사이버공격에 대응하는 의미도 있다. 물론 지금까지도 인공지능이 악성코드나 취약점 공격을 위한 도구를 만드는데 오히려 악용될 수 있다는 우려도 크다. 그러나 그 보다 수준높은 AI 기반 가시화와 식별 기술을 통해 그런 우려를 불식시킬 수 있다는 또 다른 전문가들의 주장이 설득력을 얻고 있다.

김미희 이글루코퍼레이션 팀장과 지재원 화우 연구위원 등 전문가들은 “(인공지능을 이용한) 사이버 보안 분야에서는 잠재적인 보안 위협을 식별하고 보안 체계를 강화할 수 있다”며 “이런 목적으로 인공지능을 통한 데이터 분석과 패턴 인식으로 자동화된 대응체계를 구성할 수 있다”고 그 효용성을 강조했다.

이들은 최근 정보통신기획평가원을 통해 공개한 관련 논문을 통해 특히 “인공지능이 접목된 사이버 보안 영역은 심층적인 사이버 위협 가시성(deep visibility) 확보, 지능화된 위협 인텔리전스(intelligence), 위협에 대한 자동화(automation)된 분석과 대응으로 분류된다.”고 제시해 눈길을 끈다.

해커들, 기존 언어모델 유사한 이름으로 위장

이에 따르면 해커들은 일단 악성 LLM 서비스를 통해 악의적인 코드를 생성하거나, 피싱 메일을 작성하고, 스캠 사이트를 개설하기도 한다. 챗GPT를 모방, 위장한 악성 LLM 서비스는 여러 종류가 있다. 이름도 챗GPT와 유사하게 붙여, 사용자들이 혼동하도록 했다. 대표적으로 CodeGPT, MakerGPT, FraudGPT, WormGPT, XXXGPT, WolfGPT, BadGPT, EscapeGPT 등과 같은 것들이 횡행하고 있어 각별한 주의가 요망된다는 당부다. 이들은 모두 불법적인 해킹을 일삼는다는 의미에서 기존 LLM의 이름에 ‘Dark’라는 단어를 붙였다. 예를 들어 DarkBERT, DartBARD, DarkGPT 등이 그런 것들이다.

이처럼 복잡해진 사이버공격 생태계는 네트워크, 시스템, 애플리케이션, AI 모델 등을 동원하고 있다. 이를 모두 세밀하게 탐지하고 대응하기 위해선 특히 “식별된 보안 위협(known-threat)과 식별되지 않은 보안 위협(unknown-threat)을 가시화할 필요가 있다”는 게 앞서 김 팀장 등의 제안이다. 무엇보다 공격행태와 상황을 가시화하는게 중요하다는 얘기다.

식별 여부를 떠나 잠재적인 보안 위협을 이처럼 조기 탐지함으로써 대응 능력을 높일 수 있다. 이를 위해선 실시간으로 모든 데이터 흐름과 이벤트, 이상 징후를 감지해야 한다. 또 내부 위협요인이나, 외부 공격에 대한 정보를 평소에도 면밀히 수집하고 분석하는 과정이 필요하다.

이처럼 사이버위협을 심층적으로 가시화하기 위해선 특히 중요한 것이 악의적인 행위를 판단할 수 있는 지능화된 ‘위협 인텔리전스’다. 이는 해킹의 전술, 기법, 절차를 의미하는 TTP(Tactic, Technique, Procedure)에 관한 정보이기도 하다.

TTP를 망라한 해킹 데이터 분석에 인공지능을 접목하면, 특히 식별과 대응이 힘들었던 ‘구조화되지 않은 위협 데이터’도 가시화하며 대응할 수 있다. 일단 이를 ‘TTP description’(TTP 기술)과 ‘TTP element’(TTP 요소)로 자동 분류할 수 있다. 이는 비구조 내지 비정형화된 임의의 데이터에 대해서도 거의 ‘문장 수준’의 TTP가 가능해지면서 위협 정보를 정확히 추출해낼 수 있다.

비정형 해킹 정보도 ‘문장 수준’으로 해독

AI 기반의 TTP분석을 통해 사이버 보안 전문가가 미처 파악할 수 없었던 사이버공격 패턴을 파악할 수 있게 된다. 취약점 공격 코드나 피싱 메일, 악성코드 분석 등 사이버공격 지표를 매기며, 철저한 대응이 가능하다.

문제는 모든 사이버공격의 온상 노릇을 하는 다크웹이다. 그러나 이같은 AI 기반 보안 체계를 적용하면, 이를 타파할 수 있다. 본래 이들 다크웹은 탈중앙화된 구조에 기반을 두고, 익명화 내지 은닉된 환경으로 암약하고 있다.

그 대표적인 대응책으로 DarkBERT가 꼽히고 있다. DarkBERT는 특히 다크웹에 존재하는 비정형 데이터를 처리하고 분석하는데 탁월한 성능을 자랑한다. 보통의 언어 모델들은 다크웹 특유의 비정형 어휘나 구조적 난해함으로 이를 분석, 처리할 수 없다. 그러나 DarkBERT는 특히 다크웹의 불법 콘텐츠를 이해하기 위해 학습되었다. 심지어는 다크웹에서 수집된 텍스트에 숨어있는 언어 모델링(MLM)을 통해 또 다른 분석 도구인 ‘RoBERTa’ 모델을 추가로 훈련하기도 한다.

위협 인텔리전스로 보안 위협이 식별되는 것만으로 부족하다. 이를 뒷받침하는 자동화된 보안 체계가 필수적이다. 즉 보안 위협을 탐지, 대응할 수 있는 XDR(확장검증대응, eXtended Detection and Response)이나 SOC 자동화가 가능한 SOAR(보안조정자동화 대응) 등이 필요하다. 최근엔 LLM모델을 통해 이같은 완전 자율 보안 기능을 구사하기도 한다. 예컨대, MS의 ‘보안을 위한 코파일럿(Copilot for Security)’이나 구글의 ‘Google Threat Intelligence’가 대표적이다. 이는 구글 제미니AI와 Mandiant VirusTotal, Mandiant 등을 결합한 것이다.