[디지털데일리 이종현기자] 인공지능(AI) 기술이 정보기술(IT) 영역 전반의 메가 트렌드로 부상했다. 이는 사이버보안 영역에서도 마찬가지다. 공격자와 방어자 모두 AI를 유용한 도구로 활용하기 시작했다. 특히 생성형 AI의 등장 이후 이런 움직임은 더욱 가속하고 있다. AI가 ‘기회이자 위기’라고 평가되는 이유다.

공격자 입장에서 AI는 더 적은 노력과 지식으로 공격을 실행할 수 있도록 하는 도구다. 개발능력이 부족한 공격자도 생성형 AI를 활용해 악성코드를 제작하거나 개선할 수 있다.

대표적인 생성형 AI인 ‘챗GPT’는 악성코드 등 악의적인 목적의 콘텐츠는 생산하지 않도록 설정돼 있지만 직접 악성 행위를 하는 것이 아닌, 침해로 이어질 수 있는 질문을 반복해서 요청하는 방식으로 우회하는 사례가 보고되기도 했다.

또 공격자는 생성형 AI의 언어구사 능력을 악용해 피싱(Phishing) 공격에 사용되는 가짜 이메일‧문자메시지‧웹사이트 등을 한층 고도화할 가능성도 배제할 수 없다. 실제로 최근 한 보안업체는 ‘웜GPT’라는 AI 기반의 피싱 도구가 등장했다는 보고서를 발표하기도 했다. 웜GPT는 윤리적 안전장치를 제거해 가짜뉴스나 피싱 이메일을 만들 수 있는 생성형 AI 도구다.

보고서는 웜GPT가 대규모언어모델(LLM)을 기반으로 하고 있으며, 실제 일상적으로 주고받는 이메일과 유사한 피싱 메일을 작성할 수도 있다고 지적했다. 나아가 사기성 청구서, 개인화된 피싱 문구, 가짜뉴스 문구를 만들어내는 도구로도 사용될 위험이 있는 상황이다.

점점 더 악의적인 목적을 가진 메일이나 문자 메시지와 정상 콘텐츠를 구분하기가 어려워지고 있다. 그럴수록 사용자는 이메일과 문자 등의 발신자와 출처를 확인하고, 의심스러운 인터넷주소(URL)와 첨부파일을 실행하지 않는 등 기본적인 보안수칙을 습관화할 것이 요구되는 중이다.

물론 마냥 암울한 상황은 아니다. 방어자들도 AI를 이용해 보다 효과적인 보호체계를 만드는 데 힘 쏟고 있다. 머신러닝(ML)을 통해 악성코드나 행위, 피싱메일에 대한 탐지 성능을 높이고 사람의 판단이 필요로 했던 것을 자동화함으로써 업무 효율성을 높이는 것이 대표적이다. 최근에는 생성형 AI를 이용한 보안 비서도 등장하고 있다.

국내 대표 사이버보안 기업인 안랩도 자사 포트폴리오 전반에 AI 관련 기술을 적용하는 중이다. 자사의 다양한 보안 솔루션과 서비스의 목적에 맞게 ▲악성 URL 탐지 ▲악성 파일 탐지 모델 ▲피싱 이메일 탐지 ▲이상 탐지 모델 ▲관계 분석 등 여러 머신러닝 기반 기술을 조합한 모델을 활용하는 것이 대표적이다.

각 솔루션에서 수집한 샘플 파일 등을 대규모 데이터와 의심행위에 대한 분석을 바탕으로 탐지 모델을 생성하는 것이 하나의 사용례다. 해당 모델은 PC용 백신 제품인 ‘V3’나 지능형 위협 대응 솔루션 ‘안랩 MDS’, 엔드포인트 탐지 및 대응(EDR) 솔루션인 ‘안랩 EDR’ 등의 탐지 엔진에 적용된다. 안랩은 현재 일평균 13만건 이상의 신규 악성코드를 탐지하고 있는데, 지속해서 고도화가 이뤄지는 중이다.

샌드박스 기반의 지능형지속위협(APT) 대응 솔루션인 안랩 MDS에 머신러닝 기반 피싱 이메일 탐지 기능을 탑재하기도 했다. 이메일의 맥락 정보를 추출하는 등 메일 구성요소 전반에 대한 검사를 진행, 이를 바탕으로 정적 규칙(정책)으로 탐지하기 어려운 금전 유출 목적의 피싱메일도 탐지하고 있다.

기승을 부리고 있는 스미싱/피싱 문자 및 URL에 대한 대처에도 AI가 활용되고 있다. 안랩은 모바일 보안 솔루션이 수집한 대량의 문자메시지 데이터에 대한 머신러닝을 바탕으로 스미싱 URL과 보이스피싱 목적의 문자 텍스트를 탐지하는 기능을 제공한다. 월 2만건 이상의 스미싱/피싱 문자가 탐지‧차단되고 있다.

안랩이 국내 기업 중 최초로 출시한 확장된 탐지 및 대응(XDR) 플랫폼 ‘안랩 XDR’에도 AI 기술이 녹아져 있다. 안랩 XDR은 리스크 판별을 위해 머신러닝 기술을 활용하고 있는데, 사용자와 기기의 행동 패턴을 학습해 이상행위를 탐지하며 이를 하나의 이벤트로 생성 후 조직 내 리스크 판단에 활용하고 있다.

최근 1개월 내 사용자의 행동 패턴을 분석해 주요 이력에 대한 임계치를 산출한 후 이를 과도하게 벗어나는 행위가 발생하면 XDR이 이를 탐지 및 차단하는 방식이다.

보안관제 플랫폼에도 AI가 활용되고 있다. 시스템에 유입되는 패킷에 대한 특징을 포착해 공격 기술, 절차, 전술 등을 추론한다.

이처럼 AI가 적용된 안랩의 솔루션‧서비스는 위협 요소 별로 악성 가능성을 추론하고 근거를 제시하며, 이를 종합적으로 고려해 악성 여부에 대한 결론을 내린다. 안랩은 추후 ▲이상탐지 기반 위협 탐지, 공격 가능성 예측 등 탐지 성능 고도화 ▲탐지 근거의 설명과 전체 공격 시나리오 추론 ▲위협 검색 및 요약 등을 목적으로 머신러닝 기술을 발전시키고 이를 솔루션, 서비스에 적용시킬 계획이다.