사이버 보안에서 AI의 4가지 활용 사례

인공지능(AI)은 최근 삶의 거의 모든 측면에 도입되고 있습니다. AI는 코드를 개발하고, 고객과 소통하고, 다양한 미디어에서 글을 작성하는 데 사용되고 있습니다. 사이버 보안, 특히 제품 보안은 AI가 중요한 영향을 미칠 수 있는 또 다른 영역입니다. AI는 보안 툴에 구축되고 있으며, 반대로 악용 영역에도 구축되고 있습니다. AI는 이제 주류로 자리 잡았으며, 당분간 사라지지 않을 것입니다. 따라서 보안 전문가는 시스템과 제품의 보안을 강화하기 위해 AI를 최대한 활용하는 방법을 배워야 합니다.

AI와 보안에 미치는 영향

"인공지능"이라는 용어는 컴퓨터 시스템을 사용하여 인간의 지능을 시뮬레이션하는 것을 의미합니다. AI 시스템은 패턴 인식, 학습, 문제 해결과 같이 점점 더 다양한 태스크를 수행할 수 있습니다. AI에는 시스템이 시간이 지남에 따라 학습하고 개선할 수 있도록 지원하는 머신 러닝(ML)과 같은 다양한 분야가 있습니다. 사람의 말을 모방하는 자연어 처리(NLP), 다양한 작업을 수행하기 위한 입력으로 카메라를 활용하는 컴퓨터 비전 등이 있습니다.

이러한 AI 애플리케이션은 현재 프로세스를 자동화, 분석, 개선하기 위해 광범위한 시스템에 통합되고 있습니다. 사이버 보안 분야에서 AI는 수많은 역할과 프로세스를 채우거나 지원하고 있습니다. 로그를 분석하고, 위협을 예측하고, 소스 코드를 읽고, 취약점을 식별하고, 취약점을 생성하거나 악용하는 데에도 사용되고 있습니다.

AI를 사용한 사이버 보안 공격 감지

AI의 패턴 인식 숙련도를 고려할 때 사이버 보안 이상 징후를 감지하는 것은 AI의 명백한 활용 사례입니다. 동작 이상 감지는 이에 대한 좋은 예입니다. 모델은 머신 러닝을 사용하여 시스템 내의 정상적인 동작을 식별하고 표준에서 벗어나는 모든 인스턴스를 찾아낼 수 있습니다. 이렇게 하면 잠재적인 공격을 식별하는 데 도움이 될 뿐만 아니라 동작에서 이상값을 포착하여 의도한 대로 작동하지 않는 시스템을 식별하는 데 도움이 될 수 있습니다.

우발적인 데이터 유출 또는 유출과 같이 문제가 될 수 있는 사용자 행동도 AI 패턴 인식 또는 기타 메커니즘을 통해 잠재적으로 발견할 수 있습니다. 조직에서 만들거나 사용하는 데이터세트를 사용하면 전 세계에서 발생하는 사이버 보안 인시던트의 표적이 될 가능성을 파악하기 위해 더 광범위한 패턴과 이상값 동작을 감시하는 데 사용할 수도 있습니다.

활용 사례 1: 이상 감지

이상 감지(로그, 트래픽 또는 기타 데이터에서 비정상적이거나 드물거나 비정상적인 패턴을 식별하는 기능)는 ML의 패턴 인식 기능에 매우 적합합니다. 네트워크 트래픽, 사용자 활동 또는 기타 데이터에 관계없이 올바른 알고리즘과 교육을 제공한다면 AI/ML은 잠재적으로 유해한 이상값을 찾아내는 데 이상적입니다. 이 작업은 실시간 모니터링 및 경고를 시작으로 다양한 방식으로 수행할 수 있습니다. 이 방법은 네트워크 트래픽, API 호출 또는 로그와 같은 시스템에 대해 사전 설정된 표준으로 시작하며, 통계 분석을 사용하여 시스템 동작 및 작업을 지속적으로 모니터링할 수 있습니다. 모델은 비정상적이거나 드문 작업이 발견될 때마다 경고를 트리거할 수 있습니다.

AI/ML은 패턴을 찾아내는 데 탁월할 뿐만 아니라 패턴을 분류하고 그룹화할 수도 있습니다. 이는 다양한 이벤트에 우선순위 수준을 할당하는 데 필수적이며, 사용자 또는 팀이 많은 경고(대부분 노이즈에 불과할 수 있음)로 인해 발생할 수 있는 "경고 피로"를 방지하는 데 도움이 될 수 있습니다. 경고의 중요성이 사라지고 모든 경고가 불필요한 것으로 간주되어 제대로 조사되지 않는 경우가 많습니다. AI/ML은 이러한 기능을 사용하여 지능형 인사이트를 제공하여 사용자가 정보에 기반한 선택을 할 수 있도록 지원합니다.

활용 사례 2: AI 지원 사이버 위협 인텔리전스

시스템을 모니터링하고 실시간 경고를 제공하는 기능은 필수적일 수 있지만, AI/ML은 보안 이벤트가 발생하기 전에 시스템의 보안을 강화하는 데도 사용할 수 있습니다. 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)는 사이버 보안 공격 및 이벤트에 대한 정보를 수집하여 작동합니다. CTI의 목표는 공격이 발생하기 전에 팀이 조직에 대한 공격 가능성에 대해 사전 예방적으로 준비할 수 있도록 신규 또는 진행 중인 위협에 대한 정보를 제공하는 것입니다. 또한 CTI는 인시던트 대응 팀이 처리 대상을 더 잘 이해할 수 있도록 지원하여 기존 공격을 처리하는 데 도움이 됩니다.

전통적으로 이러한 데이터의 수집, 구성, 분석은 보안 전문가가 수행했지만, AI/ML은 많은 일상적 또는 일상적인 태스크를 처리하고 구성 및 분석을 지원할 수 있으므로 팀은 다음과 같은 경우 필요한 의사 결정에 집중할 수 있습니다. 실행 가능한 형식으로 필요한 정보를 제공합니다.

AI를 사용한 취약점 예방

AI/ML을 활용하여 사이버 보안 공격을 감지하고 방지하는 것도 중요하지만 소프트웨어의 취약점을 방지하는 것도 매우 중요합니다. 코드 편집기, 빌드 파이프라인, 실행 중인 시스템을 테스트하거나 검증하는 데 사용되는 툴의 AI 어시스턴트는 IT의 여러 측면에서 빠르게 표준이 되고 있습니다.

CTI와 마찬가지로 AI 시스템은 일상적인 태스크를 완화하는 데 도움이 되므로 인간은 더 가치 있는 프로젝트와 혁신에 더 많은 시간을 할애할 수 있습니다. 코드 검토는 중요하지만 정적 애플리케이션 보안 테스트(SAST)를 활용하여 개선할 수 있습니다. SAST 플랫폼은 오랫동안 존재해 왔지만, 가장 큰 문제는 종종 대량의 오탐이 생성된다는 것입니다. 인프라 및 구성 코드와 함께 소스 코드를 보다 지능적으로 살펴볼 수 있는 AI/ML 기능을 사용해 보세요. 또한 AI는 DAST(Dynamic Application Security Testing)를 실행하여 실행 중인 애플리케이션을 테스트하여 일반적인 공격이 성공할 수 있는지 확인하는 데 사용되기 시작했습니다.

활용 사례 3: AI 지원 코드 스캔

정적 애플리케이션 보안 테스트(SAST)는 코드에서 취약점을 찾는 방법(소스와 싱크 접근 방식) 중 하나로, 데이터를 추적하고 흐름을 분석하여 취약점을 식별합니다. 정적 코드 스캔을 위해 생성된 다양한 툴에서 이 모델을 사용하는 경우가 많습니다. 그러나 이 방법은 많은 허위 경고(false positive)를 발생시킬 수 있습니다.

AI/ML은 코드 기반에서 가능한 발견 사항의 맥락이나 의도를 학습하고 이해함으로써, 허위 경고(false positive)와 허위 부정(false negative)을 줄이는 데 가치를 제공할 수 있습니다. 뿐만 아니라 SAST 툴과 AI 어시스턴트가 코드 편집기에 추가되어 개발자가 오류가 제출되기 전에 이를 파악할 수 있도록 지원합니다. 그러나 매우 큰 코드 베이스에 대한 언어 지원 및 확장성과 같은 몇 가지 제한 사항이 있지만, 이러한 제한 사항은 빠르게 해결되고 있습니다.

활용 사례 4: 취약점 검색 자동화

코드 검토는 시간이 많이 소요되는 프로세스일 수 있지만, 코드가 제출되면 테스트가 종료되지 않습니다. DAST는 실행 중인 애플리케이션에 대한 일반적인 공격을 테스트하는 데 사용됩니다. 이를 잘 지원하는 몇 가지 툴이 시장에 나와 있지만, 코딩 자체와 마찬가지로 약간의 준비 시간이 필요합니다. 사용자는 이러한 공격 유형과 DAST 툴을 통해 공격을 복제한 다음 자동화하는 방법을 이해해야 합니다.

최근 DAST 및 관련 애플리케이션 테스트 툴은 AI/ML을 직접 플랫폼에 통합하거나 플러그인으로 구현하여 자동화된 스캔을 크게 개선했습니다. 이를 통해 다양한 공격을 실행하는 데 필요한 시간과 시간을 확보할 수 있을 뿐만 아니라 완전한 침투 테스트를 수행하는 데 필요한 시간과 비용을 확보할 수 있습니다. 침투 테스트에는 여전히 공격자처럼 생각하고 잠재적인 약점을 인식할 수 있는 사람이 필요하며, 종종 취약점이 실제로 악용될 수 있는지 확인하는 새로운 방법을 개발하는 경우가 많습니다.

AI 자체 보호

AI는 많은 인적 오류를 제거하는 데 도움이 될 수 있지만 그 자체는 여전히 취약합니다. 첫째, 부실하거나 부적절한 구성으로 인해 많은 IT 문제가 발생한다는 것입니다. 모델과 해당 프로세스를 더욱 안전하게 훈련하고 검증해야 할 필요성과 밀접한 관련이 있습니다. 그렇게 하지 않으면 사용자가 시스템을 제대로 이해하지 못하게 되어 블랙박스와 같은 모델 라이프사이클 관리 프로세스가 생성될 수 있습니다.

AI와 관련하여 가장 일반적으로 논의되는 보안 문제 중 하나는 데이터 포이즈닝(data poisoning)입니다. 인간은 종종 AI/ML 알고리즘을 훈련하는 데 사용되는 데이터를 수집하며, 인간으로서 데이터에 편향을 도입할 수 있습니다. 이는 주의해야 할 간단한 개념이지만, 의도적으로 편향이 추가되는 경우도 있습니다. 공격자는 다양한 메커니즘을 통해 AI/ML 시스템을 훈련하고 검증하는 데 사용되는 데이터세트를 의도적으로 손상시킬 수 있습니다. 그러면 시스템에서 새로 편향된 출력이 악의적인 목적으로 사용될 수 있습니다.

AI가 빠르게 주류가 되면서 AI/ML에 대한 이해와 교육, 특히 AI/ML에 대한 보안 교육이 뒤처지고 있습니다. AI/ML 시스템의 내부 작동은 대부분 기술 커뮤니티 외부의 많은 사람들이 잘 이해하지 못하며, 시스템을 방치하고 투명성이 부족하면 상황이 악화될 수 있습니다.

이로 인해 기술 분야에서 흔히 발생하는 또 다른 문제인 적절한 도큐멘테이션이 발생합니다. 시스템에는 이해하기 쉽고 해당 시스템의 대부분을 다룰 수 있을 만큼 포괄적인 도큐멘테이션이 필요합니다.

마지막으로, 많은 국가의 정부들에서 이미 AI/ML 시스템과 관련된 규제를 논의하고 계획(또는 이미 제정)하고 있습니다. 안전한 AI/ML 인증이 개발되는 것은 불가능합니다. 따라서 현재 개발 중인 시스템을 최대한 안전하고 유효하게 유지하기 위해 최선을 다하면 향후 작업을 줄일 수 있습니다.

결론

AI 시스템에 점점 더 의존하게 되면서 우리가 사용하는 시스템의 보안을 유지하는 데 있어 머신 러닝의 속도와 정확성은 "선택"이 아니라 "필수" 요소가 될 것입니다. 악의적인 사용자가 AI/ML 시스템을 사용하여 공격을 수행할 것이라는 가능성이 있기 때문에 방어자는 조직과 시스템을 보호하고 방어할 수 있도록 이러한 시스템을 구현해야 합니다.

취업을 준비하는 수강생이 AI/ML 시스템에 대해 배우는 것이 이상적이지만, 숙련된 베테랑도 이를 수용해야 합니다. 개인이 할 수 있는 최선의 방법은 최소한 AI에 대한 기본 지식을 갖추도록 하는 것이며, 조직이 할 수 있는 최선의 방법은 제품, 시스템, 보안에서 AI/ML을 최대한 활용할 수 있는 방법을 찾는 것입니다.

Red Hat의 지원 방식

Red Hat OpenShift AI는 모델을 구축하고 AI를 애플리케이션에 통합하는 데 도움이 됩니다. 보안 분야에 종사하는 조직의 경우 OpenShift AI를 통해 제품에 AI의 힘을 구현할 수 있습니다. AI 지원 애플리케이션은 점점 더 널리 보급될 것이며, OpenShift AI는 이러한 애플리케이션을 프로덕션 단계로 가져오는 데 도움이 될 수 있는 강력하고 확장 가능한 AI 개발 플랫폼입니다.

Try Red Hat OpenShift AI