'머신러닝'으로 보안도 진화 중

[성지은기자] 보안 업계에 머신러닝 바람이 불고 있다. 최근 글로벌 보안 업체들은 새로운 악성코드, 알려지지 않은 위협을 감지하기 위해 보안 제품에 머신러닝을 적극 도입하고 있다.

머신러닝이란 방대한 데이터를 기반으로 학습하고 예측을 수행해, 스스로 성능을 향상시키는 기술을 말한다.

미확인 사이버 위협이 증가하며 보안 위협이 확대되고 있다. 시만텍에 따르면, 지난해 하루에 새로운 위협이 110만개 씩 나타났다. 1초에 13개의 새로운 위협이 발생한 셈. 이에 보안 업계는 머신러닝으로 미확인 위협을 감지하고 대처하는 데 힘을 쏟고 있다.

29일 업계에 따르면, 시만텍, 팔로알토네트웍스, 마이크로소프트(MS) 등 글로벌 기업들이 머신러닝을 적용한 보안 솔루션을 선보이고 있다.

◆글로벌 보안 기업, 머신러닝 적용한 보안 솔루션 앞다퉈 선봬

시만텍은 최근 머신러닝을 적용한 엔드포인트 솔루션 '시만텍 엔드포인트 프로텍션(SEP) 14'를 공개했다. SEP14는 머신러닝을 통해 미확인 위협 요소를 탐지하는 알고리즘을 개선했으며, 악성코드 속성, 상호 연관 정보 등을 학습하고 알려지지 않은 사이버 위협을 차단한다.

시만텍은 이전에도 머신러닝 기법을 활용했으나, 글로벌 인텔리전스 네트워크(GIN)를 통해 수집한 정보를 활용하고 이로써 탐지 능력을 고도화했다는 설명이다.

현재 시만텍은 개인 및 기업의 최종사용자단(엔드포인트) 1억7천500만개를 보호하고 매일 80억건의 보안 요청을 처리한다. 방대한 데이터에 기반을 둬 머신러닝 성능을 고도화하고 있다는 설명이다.

팔로알토네트웍스가 지난달 공개한 엔드포인트 솔루션 '트랩스'의 업데이트 버전도 머신러닝 기술을 활용한다. 트랩스는 머신러닝을 통한 정적 분석으로 파일에 담긴 수백개의 문자를 검사하고 악성코드 여부를 탐지한다.

클라우드 기반 지능형지속위협(APT) 방어 및 대응 서비스인 '와일드파이어'와 지능형 보안 위협 정보를 공유하고, 5분 내에 알려지지 않은 변형 악성코드를 탐지한다는 게 회사 측 설명이다.

인공지능(AI)의 민주화를 표방하는 MS도 머신러닝을 적극 활용한다. MS는 머신러닝을 통해 악성코드 패턴을 분석하고 침해를 탐지한 뒤 이를 자동으로 막는 '윈도 디펜더 ATP'기능을 윈도 10에 추가, 보안성을 강화했다고 소개했다.

이달 초 러시아 해커가 어도비 플래시 소프트웨어의 보안상 취약점과 윈도 운영체제(OS) 보안 결함을 악용해 해킹을 단행한 바 있다. MS는 모든 보안 제품과 플랫폼에 AI, 머신러닝 기술을 적용해 인텔리전스 보안을 강화하고 위협을 차단했다고 설명했다.

◆국내 기업도 머신러닝 기술 속속 도입

이 밖에 국내 기업들도 머신러닝 도입에 속도를 내고 시장 공략에 나섰다.

유넷시스템은 머신러닝에 기반을 둔 내부정보유출탐지 솔루션 '애니몬 UBA(사용자행위분석)'를 내놨으며, 금융권, 국가 기관, 일반 기업 시장으로 솔루션 공급을 확대하고 있다.

현재 우리은행, HMC투자증권, 한국투자증권 등 금융권에 애니몬 UBA를 공급했으며, 군 주요 부대, 일반 기업 시장에서도 솔루션을 구축했다. 유넷시스템은 향후 해당 솔루션을 감사 업무, 관리 업무를 지원하는 데까지 활용할 계획이다.

펜타시큐리티시스템은 지난해부터 머신러닝 탐지엔진 연구를 시작했으며, 머신러닝 탐지엔진 '카탈리스'를 올해 4월 개발 완료했다.

이 회사는 머신러닝 엔진을 웹 해킹 차단 서비스에 적용, '클라우드브릭 2.0' 베타버전을 선보였다. 머신러닝 엔진을 탑재한 이 서비스는 웹사이트 별로 서비스의 특성을 학습하고, 비정상 트래픽과 공격 의심 접속을 찾아낸다.

이를 통해 웹사이트 맞춤형 탐지가 가능해져 보안이 강화된다는 게 회사 측 설명이다. 펜타시큐리티시스템을 현재 솔루션을 고도화하고 있으며 내년 중 정식 버전을 선보일 예정이다.

◆사이버 위협 탐지 보조하는 머신러닝, 만능은 아냐

오늘날 머신러닝은 사이버 보안 업계의 화두로 부상하고 있다.

물론 머신러닝 기법이 보안 업계에 적용된 것은 최근의 일이 아니다. 시만텍은 지난 2011년 업계 최초로 기계학습 기술인 벡터 머신러닝(VML) 기술을 적용해 내부정보유출방지(DLP) 솔루션을 선보인 바 있다.

그러나 오늘날의 머신러닝은 다양한 보안 솔루션과 결합, 보다 가시화된 형태로 시장에 속속 등장하고 있다 .

시장조사업체 451 리서치의 에릭 오그렌 수석 보안 분석가는 "머신러닝은 2016년의 주요 보안 트렌드"라면서 "많은 보안 담당자는 머신러닝에 기반을 둔 행동 분석 제품이 새로운 보안 위협을 감지하는 데 탁월하다는 것을 알고 있다"고 말했다.

다만 머신러닝을 적용한 보안이 만능은 아니다. 머신러닝은 데이터에 따라 효과가 결정되기 때문에 질 좋은 다량의 데이터를 확보하는 것이 관건이며, 근본적인 기술이라기보다 부수적인 보조 기술이다.

보안 업계 관계자는 "머신러닝은 새로운 데이터를 추가할 때 기존에 정상으로 처리하던 코드나 행위를 비정상으로 처리할 수 있다"면서 "오진을 해결하기 위해 더 복잡한 작업을 수반할 수 있다"고 말했다.

이어 "머신러닝에 전적으로 의존하기 보다 기존의 보안 솔루션을 보조하고 보안을 강화하는 역할에 집중해 머신러닝 기술을 활용해야 한다"고 덧붙였다.