[아이티비즈 김문구 기자] 포티넷코리아(대표 조원균)는 6일 자사의 위협 조사 기관인 포티가드랩이 조사한 ‘2020 보안 위협 전망’을 발표했다.
포티넷의 보안 인사이트&글로벌 위협 제휴를 총괄하는 데릭 맨키는 “사이버범죄자들이 공격에 성공할 수 있었던 것은 대부분 공격 면의 확대, 디지털 전환으로 인한 보안 격차를 활용할 수 있었기 때문이다. 최근에는 AI와 스웜 기술이 통합되어 공격 방법이 더욱 정교해졌다. 그러나 다행스러운 점은 사이버범죄자가 타깃 공격을 위해 사용하고 있는 전략을 기업들이 네트워크를 방어하기 위해 동일하게 사용하고 있어 그들의 궤도에도 변화가 생기고 있다는 점이다. 효과적인 보안을 위해서는 IoT부터 동적-클라우드에 이르기까지 다양한 엣지뿐만 아니라, 네트워크 세그먼트 전반에서 보호 기능 및 가시성을 확보할 수 있도록 광범위하고 자동화된 통합 접근방식을 적용해야 한다”고 말했다.
① 사이버 공격의 궤도(Trajectory) 변화
사이버공격 방법론은 최근 몇 년간 그 효과와 속도가 높아지고, 더욱 정교해지고 있다. 더 많은 기업들이 보안 전략에 대한 전략을 바꾸지 않는다면 이러한 추세는 지속될 것으로 보인다. 오늘날, 글로벌 사이버 보안 위협 환경의 규모, 속도, 정교함이 날로 고도화되고 있는 가운데, 기업들이 집요한 공격에 효과적으로 대처하기 위해서는 머신 속도의 실시간 대응이 가능해야 한다. 이것이 바로 AI 및 위협 인텔리전스가 사이버범죄와의 전쟁에서 중요한 이유이다.
시스템으로서 AI의 진화: 보안-중심의 AI 개발 목적 중 하나는 인체(human body)와 유사한 네트워크를 위한 어댑티브(적응형) 면역 시스템을 만드는 것이다. 1세대 AI는 머신러닝 모델을 사용하여 특정 행동 과정을 배우고, 연관시키고, 결정하도록 설계되었다. 2세대 AI는 점점 더 정교해지는 패턴을 감지하고, 러닝 노드를 환경에 분산시켜 ‘액세스 제어’와 같은 기능을 크게 향상시킬 수 있었다. 3세대 AI는 중앙의 모놀리식 단일구조 프로세싱 센터에 의존하기보다는 지역별 학습자 노드를 상호 연결하여 로컬에서 수집된 데이터를 보다 분산된 방식으로 공유, 상호연관, 분석할 수 있다. 기업들이 확장되고 있는 엣지 환경을 보호하고자 할 때 이는 매우 중요한 포인트가 될 것이다.
연합 머신 러닝(Federated Machine Learning): 보안 위협 정보 피드에서 가져오거나 내부 트래픽 및 데이터 분석에서 나온 전통적인 형태의 위협 인텔리전스를 활용하는 것 외에도, 머신러닝은 결국 새로운 엣지 장치에서 로컬 학습 노드로 들어오는 많은 관련 정보를 활용한다. AI 시스템은 이같은 실시간 정보를 추적하고 연관시킴으로써 위협 환경에 대한 보다 완벽한 뷰를 생성할 뿐만 아니라, 로컬 시스템이 로컬 이벤트에 대응하는 방법을 향상시킬 수 있도록 지원한다. AI 시스템은 네트워크를 통해 정보를 공유함으로써 위협을 파악하고, 연관시키며, 추적하여 대응할 수 있다. 결과적으로, 연합 러닝 시스템 은 러닝 모델이 변화하는 환경 및 이벤트 추세에 적응하고, 어떤 지점에서의 이벤트가 전체 시스템의 인텔리전스를 향상시킬 수 있도록 데이터 세트를 상호 연관시킨다.
AI와 플레이북(Playbook)을 결합하여 공격 예측: 기업들이 AI에 투자하면 업무를 자동화할 수 있으며, 공격이 발생하기 전후에 공격 감지 및 대응이 가능한 자동화 시스템을 구축할 수 있다. 또한, 머신러닝과 통계 분석을 결합하면 AI 기반의 맞춤형 실행계획을 수립해 위협 탐지 및 대응 능력을 높일 수 있다. 이러한 위협 플레이북(playbooks)은 AI 시스템이 공격자의 다음 행동을 예측하고, 다음 공격이 발생할 수 있는 위치를 예측하며, 실제적인 위협 행위자를 파악할 수 있는 기본 패턴을 발견하도록 해준다. 이러한 정보가 AI 러닝 시스템에 추가되면, 원격 학습 노드는 위협을 탐지할 뿐만 아니라, 움직임을 예측하고, 사전주도적으로 개입하며, 다른 노드와 협력하여 모든 공격을 동시에 차단하는 지능적이고 사전주도적인 보호 기능을 구현할 수 있다.
카운터인텔리전스(Counterintelligence, 방첩)와 디셉션(Deception)의 기회: 스파이 세계에서 가장 중요한 자원 중 하나가 바로 카운터인텔리전스(Counterintelligence, 방첩)이듯이, 움직임이 주의 깊게 모니터링되는 환경을 공격하거나 방어할 때도 마찬가지이다. 방어자들은 사이버 범죄자들이 일반적으로 구축하지 않는 위협 인텔리전스에 액세스할 수 있다는 확실한 이점이 있으며, 이는 머신러닝과 AI로 강화될 수 있다. 디셉션(deception) 기술의 사용 증가는 사이버공격자들의 카운터인텔리전스(Counterintelligence, 방첩) 구축으로 연결될 수 있다. 이 경우 공격자들은 단순히 트래픽 패턴 감시에 의해 발각되지 않으면서, 정상 트래픽과 디셉션 트래픽을 식별해야 한다. 기업들은 디셉션 전략에 보다 폭넓은 AI와 플레이북(playbooks)을 추가함으로써 이 전략을 효과적으로 실행할 수 있다. 이 전략은 정상 트래픽을 식별하려는 범죄자를 탐지하고 디셉션 트래픽을 개선하여 정상적인 거래와의 구별도 불가능하게 만든다. 결과적으로, 조직은 공격이 발생하기 전에 모든 카운터인텔리전스에 대응할 수 있으며, 탁월한 제어력을 유지할 수 있다.
법 집행 기관과의 긴밀한 통합: 사이버 보안에는 개인정보보호 및 액세스와 관련된 고유한 요구사항이 있지만, 사이버 범죄에는 경계가 없다. 그 결과, 법 집행 기관들은 글로벌 커멘드 센터를 설립하고, 민간 부문과 협력하기 시작하여 사이버 범죄자를 실시간으로 감시하고 대응하고 있다. 법 집행 조직과 공공 및 민간 부문의 협력은 물론, 법 집행 기관과의 상호 연계는 사이버 범죄자를 식별하고 이에 대응하는데 도움이 될 수 있다. 다른 국제적인 법 집행 기관 및 지방 자치 법 집행 기관, 정부, 기업, 보안 전문가간 격차를 해소하기 위한 보다 통합된 접근 방식을 강화하고자 하는 계획들은 적시에 보안 조치를 취하고, 안전하게 정보를 교환하여 사이버범죄로부터 중요 인프라를 보호하도록 해준다.
② 날로 정교해지는 사이버범죄
사이버범죄자들의 대응이 없다면 전략 변경은 이루어지지 않을 것이다. 정교한 방법으로 공격을 탐지하고 대응하는 네트워크와 조직에 사이버범죄자들은 더 강력한 공격을 시도할 수 있다. 보다 고도화되는 공격 방법, 확장되고 있는 잠재적인 공격 면, 보다 지능적인 AI 지원 시스템 등의 결합으로 사이버 범죄는 점차 더 정교해지고 있다.
지능적인 우회 기법: 최근 포티넷의 위협전망 보고서는 기존에 설치된 소프트웨어를 악용하고, 악성 트래픽을 정상 트래픽으로 위장하여 탐지를 우회하고, 보안 기능 및 장치를 비활성화하며, ‘자급자족식 공격(Living off the Land)’ 전략을 통해 눈에 띄지 않게 활동하도록 설계된 지능적인 우회 기법의 사용이 증가하고 있다는 점을 보여주었다. 여러 최신 멀웨어 툴에는 안티-바이러스 또는 기타 위협 탐지 수단을 우회하는 기능이 이미 포함되어 있으나, 탐지를 피하기 위한 난독화 및 안티-분석 프랙티스는 점차 더 정교해지고 있다. 이러한 전략은 보안 리소스 및 인력 부족의 약점을 극대화한다.
스웜(Swarm) 기술: 지난 몇 년간 네트워크 및 장치를 공격하는데 머신러닝 및 AI 등을 활용할 수 있는 스웜 기술의 등장은 또다른 새로운 잠재력을 보여주었다. 스웜 기술의 발전은 의학, 운송, 엔지니어링은 물론, 자동화된 문제 해결 분야에 강력한 영향을 미쳤다. 그러나 조직이 보안 전략을 업데이트하지 않은 상태에서 악의적으로 사용되는 경우, 이 기술은 사이버범죄의 게임체인저(game changer)가 될 수도 있다. 사이버 범죄자들이 이 기술을 사용하면 봇 스웜(bot swarms)을 통해 네트워크에 침투하고 내부 방어 기능을 무력화하며 효과적으로 데이터를 찾고 추출할 수 있다. 결국, 특정 기능으로 무장된 특수 봇은 실시간으로 수집되는 인텔리전스를 공유, 연관시켜 하나의 타깃 또는 여러 타깃을 동시에 손상시키려고 공격을 선택하거나 변경할 수 있는 스웜의 역량을 크게 높여준다.
5G 및 엣지 컴퓨팅 무기화: 5G는 기능적인 스웜 기반 공격의 개발을 촉진하는 기폭제가 될 수 있다. 5G 시대에는 정보와 애플리케이션을 빠르게 공유, 처리할 수 있는 로컬 애드혹(ad hoc) 네트워크가 형성되기 때문이다. 5G 및 엣지 컴퓨팅을 무기화하면 악용되는 각각의 장치가 악성코드의 통로가 될 수도 있고, 장치들의 그룹이 5G의 빠른 속도로 타깃을 공격하기 위해 협업할 수도 있다. 이러한 공격의 빠른 속도, 인텔리전스, 현지화된 특성을 고려할 때 기존의 레거시 보안 기술은 사이버범죄자들의 집요한 공격 전략을 효과적으로 차단하는데 한계가 있을 수 있다.
사이버범죄자들이 제로-데이 공격을 사용하는 방식의 변화: 전통적으로, 제로-데이 취약점에 대한 익스플로잇을 고도화시키는 데는 많은 비용이 들기 때문에 사이버범죄자들은 주로 그들의 기존 공격 포트폴리오가 무력화될 때까지 공격을 지속한다. 공격 면이 확장된 결과, 잠재적으로 악용될 수 있는 제로-데이 취약점의 양도 증가했다. AI 퍼징(fuzzing) 및 제로-데이 마이닝(mining)은 제로-데이 공격의 양을 기하급수적으로 증가시킬 수 있다. 이러한 추세에 대응하기 위한 보안 조치가 마련되어야 한다.