미국 카네기멜론대학교의 포올시큐어(For All Secure)에서 만든 메이햄은 미국 국방성에서 주최한 ‘사이버 그랜드 챌린지(CGC)’에서 1등을 거머쥔 인공지능 시스템이다. CGC는 컴퓨터끼리 겨루는 해킹대회로, 자동으로 보안 취약점을 찾아 공격하고 사람의 도움 없이 방어 패치도 해야 한다.

이 대회에서 우승한 메이햄은 데프콘 대회에 유일한 인공지능으로, 유명 폴란드 해커팀을 제친 것으로 알려졌다. 예상 순위는 13~14위로 예상보다 저조하지만, 유수의 해킹 고수들을 상대로 높은 수준의 경기를 펼치고 한 팀을 이겼다는 점에서 의미 있는 승리로 평가되고 있다.

지난 6일 차상길 카이스트 교수는 행정자치부가 주최한 ‘2016 소프트웨어 개발 보안 컨퍼런스’에서 “아직 최종 순위가 발표되지 않았지만, 메이햄은 14위 정도를 기록할 것으로 보인다”며 “일단은 인간이 이겼다고 말할 수 있겠지만, 폴란드 유명 해킹팀을 제쳤다는 점을 비춰본다면 인간의 판정승이라는 점에 의문이 든다”고 말했다.

이어 “메이햄은 CGC와 데프콘에서 출제된 모든 문제를 도움 없이 자동으로 풀어냈고 그 수준 또한 높았다”며 “인공지능이 자동으로 해킹에 성공했으며, 인간의 직관과 컴퓨터의 우수한 부분을 조화롭게 결합한다면 향후 더 좋은 결과를 맞이할 수 있을 것”이라고 강조했다.

이처럼, AI 해커가 부상하고 있는 가운데 인공지능을 활용한 보안 강화는 가시화되고 있다. 앞서, IBM은 사이버 범죄를 막기 위해 왓슨을 활용한 ‘왓슨 포 사이버 시큐리티’를 연내 출시하겠다고 밝힌 바 있다. 인공지능을 활요한 인지 보안 솔루션을 통해 보안 전문 인력난을 해결하고 위협 탐지 정확도 및 대응능력을 높이겠다는 복안이다.

인공지능을 통한 해킹자동화도 보안역량 강화에 큰 역할을 할 것으로 기대된다. 대규모 취약점 분석이 필요한 경우 해킹자동화를 이용해 빠르고 정확하게 문제점을 탐지할 수 있고, 해커 개개인에 의존적이었던 취약점 분석도 한 번에 해결할 수 있게 된다.

또, 수많은 버그 중에서 취약점을 가진 선별된 버그만을 선택해 빠르게 대처할 수 있고 사전점검 및 사후조치도 용이해진다.

차 교수는 “지금까지 알려진 버그 수만 12만개에 달하며, 고치는 속도보다 새로운 버그가 발생하는 속도가 더 빠른 것이 현실”이라며 “자동화된 해킹은 버그를 선별적으로 고칠 수 있다는 점에서 중요한 의미를 갖는다”고 설명했다.

또 “지금까지 보안 연구는 방어자 입장에 서 있었으나, 자동화된 해킹은 적을 더 잘 알기 위해 공격하고 더 나은 대응책을 만들 수 있을 것”이라며 “해킹자동화에 대한 관심은 증폭되고 있어 싱가폴에서는 70억달러 규모의 대형 프로젝트가 진행 중이며, MS에서도 바이너리 분석 툴을 상용화하려고 계획 중”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr