보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

IGLOO 새로운 서비스 AiR에 대해 알아보기

2023.10.04

2,077

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 go.jpg입니다

01. 새로운 위협들과 현재의 보안관제

기술의 발전과 비례해 보안 업계에서는 매일 새로운 크고 작은 보안 이슈가 발생한다. 일명 CVE(Common Vulnerabilities and Exposure, 공통 취약점 및 익스포저)로 불리는 취약점 분류 코드의 수는 현시점 기준으로 20만 개를 돌파했다. 이는 2021년 20,161건, 2022년에는 25,059건의 신규 취약점이 발견한 것을 보았을 때 앞으로도 신규 취약점은 더 늘어날 것으로 예상된다. 이와 같은 상황 속에 IT 기초와 신기술, 정보 보안 지식 같은 넓은 영역에 대해 소양을 쌓아야 할 뿐 아니라, 과거 그리고 신규 취약점 대응을 해야 하는 필자와 같은 보안 관제 수행인력(이하 ‘보안 관제요원‘)의 고충은 늘 수밖에 없다. 더구나 악성 메일 대응, 이상 행위 모니터링에 해당되는 내부 위협 대응 그리고 심층 분석까지 담당하며 동시다발적으로 날아오는 위협들을 대응한다는 것은 더욱 어렵다.

[표 1] 게시된 CVE 코드 (1999 ~ 2022), cve.org 참고

보안 관제요원으로 커리어를 처음 시작하고 실무에 들어갔을 때 경보에 대한 정/오탐 처리와 신규 취약점 또는 이슈에 대해 처리를 하는데 분석 능력을 많이 요구하게 된다. 이러한 경우에는 선배들이 체계를 잘 닦아서 특정 상황에 놓였을 때 어떻게 대응해야 하는지 알려주었으며 그러한 근거 또한 제시를 해왔다. 필자 또한 보안 관제 업무 수행을 하면서 선임들이 알려준 방법에 따라 보안 이슈에 대응했으며 앞으로도 무슨 일이 있다면 그렇게 대응을 하면 되는 줄 알았다.

처음 글귀에 기술의 발전과 이슈의 양은 비례한다고 말했다. 이전에는 10개를 대응했다면 지금 그리고 미래에는 17개를 넘게 대응하거나 그 이상을 대응할 가능성이 크다. 왜냐하면 과거의 취약점도 대응하고 새로 생긴 취약점도 대응을 해야 하기 때문이다. 이에 대한 근거는 KISA 침해신고 건수는 2021년 640건에서 2022년 1,142건으로 전년비 78% 늘어난 것을 보면 알 수 있다. 이처럼 기술의 발전 속도와 비례하여 위협의 숫자 또한 늘어가고 있어 기존에 구성된 인력들로 대응하는 것에 한계가 다가오고 있다. 그래서 보안 분석가의 업무의 양이 줄어들지 않다 보니 서비스 질의 향상도 어려워지고 있다.

[표 2] 한국인터넷진흥원(KISA) 침해신고 건수 (출처: 한국인터넷진흥원 2023년 상반기 사이버 위협 동향 보고서)

보안 관제요원뿐 아니라, 파견관제 서비스를 받고 있는 고객에게도 애로사항이 존재한다. 고객은 서비스를 받는 동안 크게 문제없는 현 상황을 유지하며 안정적으로 가길 원한다. 그러나 지금 상주해 있는 '검증된 인력'의 이직 등의 이유로 발생하는 인력 교체에 대해서 씁쓸하기만 하다. 서비스를 받고 있는 입장에서 인력 변동을 최소한으로 하고 싶지만 요즘 ESG 경영 등의 이유로 직접적으로 협력업체의 인력 변동 건에 대해 통제를 한다는 것은 해서는 안 되는 행동이니 답답하기만 하다. 그렇게 새로운 인력을 받게 되는데 그들이 이전의 ‘검증된 인력’처럼 우리 회사에 최적화된 서비스를 제공할지는 미지수인지라 인수인계만 잘 되기를 바랄 뿐이다. 소위 ‘사고만 나지 않으면 된다‘라는 단순한 말을 실천하기란 결코 쉬운 길이 아님을 잊을 만하면 깨닫게 되는 순간이다.

위와 같은 문제점들을 보았을 때 사이버 위협으로부터 보안체계가 잘 작동되고 안정성이 있는가에 대해 고민을 하게 된다. 기존에 해왔던 일에 대하여 소속된 구성원들이 직무 순환이나 인력 교체 등의 사유로 새로운 업무를 함에 있어 기존 인력이 했던 일을 신규 인력이 빠르게 적응을 하고 더 발전된 서비스를 제공하기 위해서는 다른 무언가를 필요하게 되었다. 이에 대해서 이글루코퍼레이션은 인공지능을 이용하여 기존의 업무를 보조하자는 방향을 선택했고 그것을 이루기 위해 새로운 서비스를 만들게 되었는데, 그것이 인공지능을 기반으로 한 서비스, 에어(AiR, AI Road)이다.

02. 에어(AiR, AI Road) 기능 소개

‘보안 관제 업무를 수행함에 있어 현재까지 데이터의 공통적인 특징을 파악할 수 있다면 사이버 위협에 대한 대응력이 올라가지 않을까’라는 고민에서 시작된 AiR는 처음 목적을 달성하기 위해서 인공지능을 활용하기로 결정했다.

시간이 지나 IPS, WAF, WEB에 대응하는 머신러닝(Machine Learning), 딥러닝(Deep Learning) 모델을 제공하게 되었으며, 옵션이지만 생성형 AI을 이용해 자연어 형태로 설명을 받을 수 있는 서비스 또한 제공하게 되었다.

1) 분류형 모델

[그림 1] AiR에 적용된 분류형 모델

AiR의 분류형 모델이란 어느 보안 장비에서 학습 데이터를 추출했고 학습을 했는지 분류를 한 것이다. 만약, WAF에서 발생된 구문이라면 WAF 모델을 선택하면 되고, IPS에서 발생된 구문이라면 IPS 모델을 선택하여 보안 장비에서 발생된 이벤트에 대해 최적화된 AI 판단을 받을 수 있다.

만약 사용자가 페이로드(Payload)를 질의하고 나서 인공지능이 어떤 사유로 그것을 공격(또는 정상)으로 판단했는가에 대한 근거를 알고 싶다면 그것은 설명형 모델에서 제시해 준다.

2) 설명형 모델

[그림 2] AiR에 적용된 설명형 모델

설명형 AI는 사용자의 질문에 대하여 스스로 판단 기준을 세워 공격의 여부를 판단한다. 사용자가 질문한 페이로드에 대해서 어떠한 부분이 AI가 공격으로 판단했는지 표시되며, 이는 AI가 학습한 데이터를 기반으로 생성한 피처(Feature)를 이용해 탐지 근거를 제시하여 이는 어떤 공격이고 무슨 특징으로 잡았는지 설명해 준다. 이를 통해 사용자는 보다 정확하고 신속하게 위협을 탐지할 수 있게 해준다. 그리고 빅데이터 리포트를 통해 기존 시그니처 기반의 탐지 방식으로 탐지명과 공격 설명, 대응 방안에 대한 정보를 얻을 수 있다.

3) 생성형 모델

AiR는 처음 질의 시 챗GPT(ChatGPT) 사용 여부에 대한 체크 옵션이 있다. 만약 ChatGPT에게 페이로드를 넘겨 학습 데이터로 사용될 수 있는 부담을 감수하는 것에 거부감이 든다면, ChatGPT 옵션을 사용하지 않아도 되지만, 다양한 시각의 인사이트를 원한다면 ChatGPT를 이용해 하나의 데이터로부터 다양한 정보를 얻는 방법을 이용할 수 있다.

사람은 대화를 할 때 주어가 없어도 분위기로 상대의 의도를 파악하여 대화를 이끌어 낼 수 있다. 하지만 기계는 인간의 오감(五感)이 없기 때문에 사람에게 하듯이 질문을 하면 화자의 의도와 다른 답변을 얻게 될 수 있다. 아무리 똑똑한 모델이라도 대화를 올바른 방향으로 이끌어가기 위해서는 선행 작업들이 필요하다. 그래서 이글루코퍼레이션은 ChatGPT를 사용할 때 불필요한 정보와 잘못된 정보를 받는 것을 최소화하기 위해 생성형 AI에게 최적화된 질문을 하는 데에 시행착오를 겪었다. 이에 대한 노하우를 AiR에게 이식했고 그렇게 나온 기능이 ‘ChatGPT 물어보기’이다.

AiR는 보안관제요원이 주로 하는 질문의 5가지를 선정하여 프롬프트를 작성했고, 이로써 생성형 AI로부터 최적화된 답변을 얻을 수 있다.

[그림 3] AiR에 적용된 생성형 모델

03. AiR 활용하기 - 인공지능을 활용한 사이버 위협 대응

AiR에 대한 구성 요소를 알아보았으며, 이번에는 CVE-2018-19753 취약점을 이용해 AiR의 실제 사용기와 그 설명을 하겠다.
Packet Storm에 게시되어 있는 CVE-2018-19753은 Tarantella Enterprise 3.11 이전 버전 취약점을 이용해 디렉터리 접근을 허용하는 취약점이다.

[그림 4] Directory Traversal in Tarantella Enterprise before 3.11, Packet Storm

1) AiR 질의하기

본 질의에 대하여 이 글을 쓰는 시점에 AiR는 CVE-2018-19753 취약점을 학습 데이터로 삼지 않았다는 것을 알린다. 해당 취약점의 공격포인트는 파라미터(Parameter)를 보고 판단하면 되지만 CVE-2018-19753을 만족시키기 위해서는 /tarantella/cgi-bin/secure/ttawlogin.cgi 경로를 가야 만족을 할 수 있음을 알 수 있다. 그렇다면 인공지능은 무슨 기준으로 이 페이로드를 판단하는 것인지 알아보도록 하겠다.

[그림 5] AiR → 입력 中

AiR의 입력은 3단계로 나뉘어져 있으며, 질문할 페이로드를 입력하고, 어떤 모델을 이용해 분석하기를 원하는지 인공지능이 판단하기 전 사용자가 확인하는 절차를 밟게 된다. 만약, 페이로드에 도메인 주소가 있다면 비식별화를 통해 마스킹 처리를 하게 된다. 그리고 ChatGPT를 이용해 더 풍부한 정보를 얻고 싶다면 체크박스를 활성화 후 ‘예측하기‘ 버튼을 누르면 된다.

[그림 6] AiR (WAF_ML)이 내린 결과 (1)

AiR에게 질문을 한 결과 100% 확률로 공격으로 판단했다. 그 이유에 대하여 ‘상세 분석‘란에 빨갛게 처리되어 있는 키워드가 있고, 빅데이터 기반 패턴으로 탐지된 문자열은 노랗게 처리되어 이는 기존에 있는 공격임을 알려준다. 그러나 CVE-2018-19753의 고유 특징에 대해서는 탐지를 하지 못했다. 이것이 기존 보안 관제의 분석 방법의 차이점이다. 취약점 분류 코드는 제시하지 못하지만 공격의 공통적인 특징을 파악해서 페이로드에 대해 공격/정상 여부를 파악한다. 이에 대해 생성형 AI인 ChatGPT를 이용하여 판단 근거를 보충할 수 있다.

[그림 7] AiR (WAF_ML)이 내린 결과 (2)

설명형 모델은 피처 중요도를 기반으로 위의 분석에 대한 근거를 설명한다. 질문한 페이로드에 대하여 ‘etc [~] passwd’라는 피처(Feature)를 갖고 있기 때문에 공격으로 판단했다고 한다. 분명 보안 분석가라면 /etc/passwd를 만족을 시켜야 한다고 생각하겠지만 이는 공격 데이터가 /etc/passwd 뿐 아니라 해당 키워드가 URL Encoding이 되었거나 보안 장비를 우회하는 공격들을 같이 학습을 하여 공통된 피처를 생성해 놓은 것이 ‘etc [~] passwd’ 인 것으로 보인다. 만약 자동화 도구에 대해 학습을 했다면 해당 도구의 공통적인 특징을 찾아 피처를 생성하고 그 피처를 기반으로 자동화 도구에 대해 빠르게 대응할 수 있다. 이로써 우리는 머신러닝이란 데이터를 학습하여 피처를 생성하고 이를 기반으로 우리가 인공지능에게 질문을 할 때 그 피처를 근거 삼아 답변해 준다는 것을 알 수 있다. 그리고 질문한 페이로드와 AiR의 피처 정의서를 기반으로 ChatGPT를 이용하여 더 풍부한 판단 근거를 얻을 수 있다.

[그림 8] 질의한 페이로드의 빅데이터 리포트, 시그니처 패턴 (3)

만약, 인공지능 리포트에 대해 모호하게 느껴지거나 기존 방식의 정보를 보고 싶다면, 빅데이터 리포트를 참고하면 된다. 빅데이터 리포트를 이용해 질의한 페이로드에 대한 추가 인사이트를 얻을 수 있다. 인공지능의 데이터뿐만 아니라 기존의 검증된 방식으로 교차 검증을 할 수 있게 되어 사이버 위협에 대해 신속하고 검증된 대응을 할 수 있게 도와준다.

[그림 9] ChatGPT 물어보기를 이용한 상세 질문 (4)

AiR의 리포트가 익숙하지 않거나, 다른 결과물을 얻고 싶다면 ChatGPT 물어보기를 이용하면 된다. ChatGPT 물어보기는 질문한 페이로드와 ChatGPT 같은 생성형 AI에 최적화된 프롬프트를 이용하여 질문해 답변을 얻게 된다.

04. AiR의 등장과 보안관제센터의 변화

[그림 10] AiR 로드맵

이 글을 통해 외부 위협에 대한 초기 대응을 인공지능이 대신해줄 수 있는 가능성을 보여줬다. 하지만 현재 AiR는 우리의 궁극적인 목표에 도달하지 못했다. 점차 AiR 서비스를 고도화하여 광범위한 보안 이슈에 대한 대응 능력을 요구하는 정보 보안 업무에 많은 것들을 도와줄 서비스로 나아갈 예정이다.

만약, 새로운 사이버 위협에 대응하기 위해 보안관제센터를 구축해야 하는 상황이 온다면 AiR는 적절한 선택이라고 말을 할 수 있다. 보안관제센터를 처음 구축하고 고도화 및 안정화 작업에 대하여 시간과 지출 비용이 많이 드나 AiR를 먼저 도입한다면 초기 대응 준비에 좀 더 자유로워 사이버 위협에 대해 빠르고 신속하게 대응을 할 수 있다. 또한 현재에는 체계를 잡아 안정적인 보안관제센터를 운영 중에 있지만 점점 늘어나는 사이버 위협에 대해 빠르고 안정적인 대응이 필요하다고 판단이 들면 AiR는 이에 대해 빠르게 대응을 할 수 있는 코파일럿(Copilot)의 역할을 할 수 있을 것으로 기대한다.

뉴스 등을 통해 인공지능의 발전으로 인해 인간은 기계에게 일자리를 뺏길 것이라는 소식이 들린다. ‘혹시, 나 또한 그 대상이지 않을까’라는 공포감은 시간이 지날수록 커지고 있다. 하지만 필자의 경우 이 상황을 긍정적으로 보고 있다. 왜냐하면 우리는 이 글을 통해 AiR와 같은 인공지능 서비스는 과거의 학습 데이터를 기반으로 구성이 되어 있기에 공격 페이로드에 대하여 고유의 특성 그리고 독창적인 공격에 대해 대응하기는 쉽지 않다는 것을 알았기 때문이다. 그리고 학습 데이터의 특징을 이용해 사용자에게 빠르게 판단을 해줘 업무 생산성을 크게 늘릴 수 있다는 것을 알게 되었다. 그래서 인공지능을 이용한다는 것은 지금 하고 있는 일은 줄어드는 대신에 앞으로 우리는 이전 보다 심화된 업무를 할당받게 되고 그에 대해 탐구할 수 있는 집중력을 요구받게 될 것이다. 이러한 경험들이 쌓이게 되면 자신이 잘하는 영역, 좋아하는 영역에 대해 전문성을 갖추게 될 수밖에 없으며 이는 곧 경쟁력 있는 인재들이 탄생하는 흐름으로 갈 것이다. 이처럼 기술의 발전으로 인해 하나의 업무에 대한 노력은 커질 것이나 그것을 달성할 때 성취감은 더 클 것이기 때문에 자신이 선택한 삶에 대해서 좀 더 충실해지게 하는 원동력이 될 것이다.