'百科全書'에 해당되는 글 2905건

  1. 2020.01.05 [2020 AI 특집-1] 인공지능과 사이버 보안이 충돌할 지점들
posted by 알짜 정보 岳岩 2020. 1. 5. 07:53

인공지능과 사이버 보안의 결합, 수년 전부터 이야기 되어왔지만
인공지능의 무기화, 보안 도구로서 활용되는 것보다 더 빠르고 강력할지도


[보안뉴스 문가용 기자] 사이버 보안과 머신러닝(인공지능)이 만났을 때 벌어질 일들에 대해 우리는 수년 째 이야기해오고 있다. 부족한 보안 전문가들을 대신할 도구로서 보안을 도울 것이라는 전망은 현재 꽤나 긍정적인 방향으로 현실화되고 있다. 동시에 공격자들을 무장시키는 결과를 낳을 것이므로, 방어가 더욱 어려워질 것이라는 예고도 비슷하게 맞아떨어지고 있다. 올해부터 두 분야가 본격적으로 만났을 때 벌어질 일들을 예견해본다.

[이미지 = iclickart]


머신러닝과 인공지능 데이터 오염과 사보타쥬
앞으로 보안 산업은 머신러닝 알고리즘에 주입되는 데이터 자체를 공격하려는 시도를 차단해야 할 것이다. 훈련용 데이터를 오염시키거나 파괴하는 데 성공할 경우, 해당 머신러닝 알고리즘이 내리는 결정은 쓸모없는 것이 될 것이다. 공급망을 감시하거나 관리하는 머신러닝 알고리즘이 학습할 데이터가 잘못되었다고 생각해보라. 과잉 공급으로 인해 지출이 늘어나거나, 공급이 원활히 이뤄지지 않는 사태가 발생할 수 있다.

보안 업체 스플렁크(Splunk)의 수석 부회장인 하이얀 송(Haiyan Song)은 “특정 데이터 샘플을 가지고 머신러닝의 학습 과정 자체를 공략하려는 시도가 나타날 것”이라고 예고한다. “그런 시도들이 정교해지면 질수록 알고리즘이 내는 산출물이 굉장히 믿음직스러워 보이면서도 살짝만 오류를 포함하게 될 것”이라고 덧붙이기도 했다.

딥페이크 오디오와 BEC 공격, 발전 여지 충분하다
기업 이메일 침해(BEC) 공격은 지난 몇 년 동안 수십 억 달러의 피해를 전 세계 곳곳에서 일으켰다. 공격자들은 표적 기업을 충분히 학습한 뒤 그럴 듯하게 CEO를 흉내 내 직원들을 속였다. 그런데 여기에 인공지능까지 덧입혀지고 있다. 실제로 한 기업에서는 전화통화를 통한 BEC 공격 때문에 큰 돈을 범인들의 계좌로 보내는 일이 벌어졌다. 범인들이 딥페이크 기술을 사용해 CEO의 목소리를 정확히 재생했기 때문이었다. 유사한 공격이 2020년에도 더 빈번하게 출현할 것으로 예상된다.

보안 업체 일루미오(Illumio)의 CTO인 PJ 커너(PJ Kirner)는 “현재 많은 기업들이 BEC 공격에 대비해 직원들을 교육시키고 있지만, BEC 공격자들의 발전 속도를 좇지 못하고 있다”고 설명한다. “그리고 교육은 대부분 이메일을 통한 BEC 공격에 초점이 맞춰져 있어요. 전화통화를 통한 BEC 공격에 대해서는 무방비 상태나 다름이 없습니다. 실제 이런 공격을 기술적으로 대응할 수 있게 해주는 솔루션도 아직 없어요.”

인공지능 기반 멀웨어의 침공
인공지능을 공격자들이 활용하는 방법은 여러 가지다. 딥페이크는 그 수많은 사례 중 하나일 뿐이다. 보안 전문가들은 곧 인공지능을 기반으로 하거나 인공지능 기능을 탑재한 멀웨어가 등장할 것이라고 보고 있다. 그 중 많은 이들이 2020년이 인공지능 멀웨어의 처음으로 등장할 해로 꼽고 있다.

“공격자들이 멀웨어를 만들 때 가장 주의하는 건, 애써 만든 멀웨어가 샌드박스 환경에 갇히게 되는 겁니다. 그래서 샌드박스 환경임을 나타내는 특정 기능과 프로세스들을 규정해, 이를 멀웨어 안에 설정함으로써, 어떤 조건들이 부합하면 기능을 멈추게 하고 있습니다. 규칙을 기반으로 하고 있다는 것이죠. 하지만 조만간 보다 정밀하게 샌드박스 환경을 탐지해주는 인공지능 기술이 개발되고, 이것이 멀웨어라는 형태로 나타날 것으로 예상하고 있습니다. 또한 인공지능이 직접 멀웨어를 개발하는 날도 머지않았다고 봅니다.” 보안 업체 블루 헥사곤(Blue Hexagon)의 CTO인 소미트라 다스(Saumitra Das)의 설명이다.

생체 인증 시장에서 벌어질 술래잡기
금융 시장에서는 지금보다 더욱 심화된 술래잡기가 벌어질 전망이다. 특히 인공지능과 생체 인증 기술을 위주로 이런 현상이 나타날 것이다. 범인들은 고객인 척 위장하고, 이를 막기 위해 금융 시장은 인증을 강화하며, 범죄자들은 또 다시 이를 뚫어내는 순환이 지속될 텐데, 최근 금융 시장은 생체 정보를 인공지능으로 분석하는 인증 시스템을 검토 및 도입 중에 있다. 범죄자들 역시 이를 인공지능으로 공략하기 위한 움직임을 보이고 있으며, 그 중 하나가 올해 처음으로 나타난 딥페이크다.

보안 업체 주미오(Jumio)의 회장인 로버트 프리게(Robert Prigge)는 “딥페이크 기술이 공격자들 손에서 다채로운 무기로 변하고 응용되는 것을 올해 지속적으로 목격할 수 있을 것”이라고 우려를 표현했다. “생체 인증이 광범위하게 도입되는 것을 사이버 공격자들도 알고 있으며, 그에 대한 대항마로 딥페이크가 떠오르고 있습니다. 이 분위기를 CISO들이 파악하고 새 해의 방어전략을 구축해야 합니다.”

분석 데이터 보호를 위한 ‘차별화된 프라이버시’
빅 데이터와 인공지능에 더해 ‘프라이버시에 대한 강력한 규제’ 역시 많은 기업들을 골치 아프게 만들고 있다. GDPR을 시작으로 프라이버시 침해에 대한 규정이 전 세계적으로 강력해지고 있는 상황인데, 현재까지 증명된 건 “기존의 방식으로는 보안과 프라이버시 모두 보장할 수 없다”는 것이다. 계속해서 쌓이는 데이터를 인공지능으로 분석해 실질적으로 활용하기 위해서는 먼저 프라이버시와 보안을 해결할 획기적인 방법이 등장해야 한다. 다행히 어느 정도 방향이 설정되기 시작했다.

“2020년에는 인공지능 알고리즘이 보다 실질적으로 활용되는 사례들이 나타나기 시작할 겁니다. 여기에는 ‘차별화된 프라이버시(differential privacy)’라는 시스템도 포함됩니다. ‘차별화된 프라이버시’란 데이터셋에서 나타난 패턴은 공유되지만, 개개인에 대한 세부 정보 혹은 식별 정보는 감춰지는 것을 말합니다.” 보안 업체 어베스트(Avast)의 수석 인공지능 연구원인 라자르시 굽타(Rajarshi Gupta)의 설명이다. “차별화된 프라이버시가 실현되면 인공지능으로 얻을 이득은 취하고, 위험 요소는 제거할 수 있게 됩니다.”

인공지능 윤리와 형평성
인공지능의 앞날이 반드시 창창한 것만은 아니다. 아직 인공지능 윤리, 형평성, 결과라는 부분에 있어서 해결되지 않은 것들이 존재한다. 인공지능을 통해 의미 있는 결과를 도출해야 하는 보안 담당자라면 관심을 갖지 않을 수 없는 문제다.

“앞으로 사이버 보안 분야에서의 인공지능 활용에 관한 소식들이 나올 것입니다. 그 중에는 긍정적인 것도 있고, 부정적인 것도 있을 겁니다. 부정적인 소식들은 인공지능 윤리와 같이 아직 해결책이 마땅히 고안되지 않은 부분에서 주로 나올 거라고 봅니다. 최근 애플 카드(Apple Card)의 인공지능이 남성과 여성을 차별해 신용 등급을 매긴 사건이 있었죠. 아직 그 누구도 이 일이 어떻게 벌어진 건지 정확히 설명할 수 없습니다.” 부즈 앨런 해밀턴에서 보안을 담당하고 있는 토드 인스킵(Todd Inskeep)의 설명이다.

“앞으로 인공지능이 일으키는 설명 불가능한 오류들로 인해 누군가는 비싼 대가를 치러야 할 수도 있습니다. 그런 사건 하나하나가 앞으로 인공지능을 더 발전시킬 사람들에게는 교훈이 되어야 합니다. 즉 올해 우리는 비싼 인공지능 수업을 들어야 할지 모른다는 겁니다.” /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요