올해도 인공지능(AI)을 악용한 사이버 공격이 많아질 것으로 예상되는 가운데, AI 기술을 활용한 보안 솔루션이 잇따라 개발되고 있다. 공격자들은 AI를 활용해 공격을 더욱 고도화하고 있고, 공격에 소요되는 시간도 점차 줄이고 있다. 이를 방어하기 위한 기술에도 AI가 활용돼 공격을 보다 빠르고 정확하게 탐지하는 연구가 국내외에서 활발하게 진행 중이다.
4일 보안 업계에 따르면 가장 발빠르게 AI를 접목한 회사는 마이크로소프트(MS)다. MS는 작년 3월 보안 전문 대화형 AI 도구인 ‘마이크로소프트 시큐리티 코파일럿(Microsoft Security Copilot)’을 공개했다. MS는 “오픈AI의 GPT-4를 기반으로 기존에 보유한 MS의 위협 인텔리전스(TI)와 전문가들의 경험, 지식을 결합해 보안 팀의 역량을 보완해줄 수 있는 기능”이라고 설명했다.
보안분석가가 시스템이나 데이터 보안 관련 요구사항을 채팅창에 자연어로 입력하면 AI가 원하는 답변을 만들어주는 식이다. 챗GPT를 사용할 때와 마찬가지로 프롬프트 바에 “우리 회사의 모든 사건, 사고에 대해 알려줘”라고 입력하면 정제된 정보를 얻을 수 있다. 취약점에 대해 요약을 시키거나, 다른 보안 도구에서 발생한 경보 정보를 요청할 수 있고 파일이나 URL을 첨부하면 관련 정보를 분석할 수 있다.
보안팀이 공격자의 전술, 테크닉, 절차 등에 대한 최신 정보를 유지할 수 있도록 최신 GPT 모델을 기반으로 지속적으로 학습, 개선시킨다. 바수 자칼 MS 보안 부문 기업 부사장(CVP)은 “공격자들의 무자비하고 정교한 공격들로 인해 사이버 보안 전문가들에게 불리한 상황이 계속되고 있다”며 “마이크로소프트 시큐리티 코파일럿은 방어자(defenders)가 AI의 속도로 움직일 수 있도록 지원하는 최초이자 유일한 생성 AI 보안 제품으로 힘의 균형을 방어자에게 유리하게 바꿔준다”고 했다.
AI를 활용해 여러 공격에 대한 탐지와 분석을 자동화하는 기술도 개발 중이다. 시스코는 AI 기반 보안 플랫폼인 ‘시스코 시큐리티 클라우드(Cisco Security Cloud)’ 하에 ‘시스코 XDR(Cisco XDR)’을 출시했다. 보안팀이 시스코 XDR을 활용해 랜섬웨어 공격 징후 발생 시점에 중요한 비즈니스 데이터 감지, 스냅샷 저장, 복원을 자동으로 수행할 수 있다. 또 랜섬웨어가 네트워크를 통해 내부망으로 이동하기 전 작동함으로써 피해를 막을 수 있다.
톰 길리스 시스코 수석부회장은 작년 4월 열린 세계 최대 사이버보안 행사인 ‘RSA 컨퍼런스’에서 “시스코 XDR은 위협 패턴을 매우 명확하게 식별할 수 있는 기능을 제공한다”며 “이를 통해 위협을 차단하는 것뿐만 아니라 복구를 자동화해 비즈니스에 집중할 수 있다”고 말했다.
국내 기업 중에서는 안랩이 최초로 ‘확장된 탐지 및 대응(XDR)’ 솔루션을 내놨다. 네트워크, 서버 등 다양한 영역에서 발생하는 위협을 하나로 통합해 AI로 탐지·분석하고, 사용자와 기기의 행동 패턴을 학습해 이상행위를 발견한다. 예컨대 서울에서 오전 9시부터 오후 6시까지 근무하는 직원이 타 국가에서 새벽 2시에 접속해 메일을 발송한다면 이를 이상행위로 판단하는 식이다.
이글루코퍼레이션은 AI 탐지모델 서비스 ‘에어(AiR)’를 선보였다. 분류형·설명형·생성형 AI 기술을 바탕으로 AI 모델의 예측 결과와 근거를 자연어 형태로 설명해 주는 서비스다. 보안 담당자가 보안 로그 및 이벤트의 오탐(실제로 오류가 존재하지 않지만 오류라고 판단하는 경우) 여부를 명확히 판별·이해하기 위한 기능을 제공하는 데 중점을 두고 있다.
이글루코퍼레이션은 보안에 특화된 자체 소형언어모델(sLLM) ‘그린AI’도 개발 중이다. 국가정보원의 ‘챗GPT 등 생성형 AI 기술 활용 보안 가이드라인’을 비롯해 국내외 가이드라인을 토대로 개발하고 있는 것으로 전해졌다. ‘에어’에 ‘그린AI’를 적용해 보안 데이터가 외부로 노출되는 위험성을 낮추면서 합리적인 예산 내에서 조직의 보안 현장에 최적화된 결과를 도출하겠다는 목표다.
업계 관계자는 “보이스피싱 등 자연스럽고 정교한 공격들이 생성형 AI 기술을 활용해 이뤄지고 있다”며 “끊임없이 진화하는 환경에서 위협에 한발 앞서 대응하고 보안 사고에 신속하게 대응하는 것이 더욱 중요해지고 있다”고 말했다.