[AI혁명](68)AI로 커진 보안 위협, AI로 막는다

생성형 인공지능(AI)이 등장하며 업무 효율성이 크게 높아졌다. 여러 산업에서 새로운 기회 창출의 도구로 보고 있지만, 보안에 있어서는 큰 위협이다. 해킹에 전혀 지식이 없는 일반인들도 이제는 생성형 AI를 통해 손쉽게 해킹 도구를 손에 넣을 수 있는 시대가 열렸기 때문이다. 국내 1세대 보안회사 안랩은 AI로 높아진 보안 위협을 막기 위해 AI를 꺼내 들었다.

안랩은 1995년 백신 소프트웨어 전문 개발회사로 보안업계에 첫발을 내디뎠다. 국내 최장수 소프트웨어 브랜드이자 안티바이러스 솔루션인 ‘V3' 제품군으로 한국을 대표하는 정보보안 업체로 성장했다. 24시간 365일 악성코드와 해킹을 실시간으로 예방 및 차단하는 안랩은 AI라는 새로운 사이버 보안 위협을 막기 위해 AI를 통한 솔루션 고도화를 택했다.

안랩은 현재 연구소 산하에 인공지능 및 머신러닝을 연구하고, 관련 기술을 개발하는 ‘인공지능팀’을 운영중이다. 2018년 첫 인공지능 전담 부서를 신설한 후 지금까지 다양한 탐지 모델을 개발하고 기반 기술을 연구하는 업무를 지속해오고 있다.

특히 인간의 학습 능력과 같은 기능을 컴퓨터에서 실현하기 위한 AI 연구인 ‘머신러닝(기계학습)’ 기술을 솔루션에 적용한 것이 특징이다. 머신러닝이 접목된 보안 솔루션은 위협 요소별로 악성 가능성을 스스로 추론한다. 또 근거를 제시하고 이를 종합해 악성 여부에 대한 결론을 내린다. 매일 발생하는 수십만건의 사이버 보안 위협을 인간이 감당하기엔 역부족이다. 이를 AI가 대체하는 것이다.

안랩이 국내 최초로 출시한 ‘확장된 탐지 및 대응(XDR)’ 플랫폼 ‘안랩 XDR'도 머신러닝 기술을 활용하고 있다. 사용자와 기기의 행동 패턴을 학습해 이상행위를 탐지한다. 예를 들어 판교에서 오전 9시부터 오후 6시 근무하는 직원이 갑자기 타 국가에서 새벽 2시에 접속해 메일을 발송한다면 이를 이상행위로 탐지하는 식이다.

이 외에도 악성코드 탐지, 피싱 이메일 탐지, 스미싱·피싱 문자 및 인터넷 주소(URL) 탐지에도 다양한 AI 기술이 녹아들어 있다. 피싱은 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 위장해 개인정보를 빼가는 것을 뜻한다. 스미싱은 문자메시지(SMS)와 피싱의 합성어로 ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지 내 인터넷 주소를 클릭하면 악성코드가 설치되는 것이다.

안랩이 탐지한 애플 지원팀 사칭 피싱 메일 모습.

특히 피싱 이메일의 경우 생성형 AI 등장 이후 더욱 교묘해졌다. 과거에는 노골적으로 금전 요구를 하거나, 어색한 문장을 사용해 상대적으로 탐지가 쉬웠다. 하지만 최근 생성형 AI를 활용해 메시지가 더욱 정교해져 피싱인지 아닌지를 알기 위해서는 메시지의 맥락 파악이 중요해졌다. 안랩은 AI 기술로 피싱 메일의 주소, 내용 등 종합적인 맥락 정보를 추출해 파악한다.

예를 들어 안랩은 최근 온라인동영상서비스 ‘넷플릭스’로 위장한 피싱 메일을 탐지했다. 해당 피싱 메일은 제목은 ‘구독이 곧 만료됩니다’. 메일 내부엔 netflix(넷플릭스)와 유사한 ‘netfix’라는 단어를 포함한 악성 URL이 들어 있다. AI기반 피싱 이메일 탐지 모델은 해당 메일을 탐지해 이용자에게 도달하지 못하도록 차단했다.

안랩은 추후 ▲이상탐지 기반 위협 탐지, 공격 가능성 예측 등 탐지 성능 고도화 ▲탐지 근거의 설명과 전체 공격 시나리오 추론 ▲위협 검색 및 요약 등을 목적으로 머신러닝 기술을 발전시키고 이를 솔루션, 서비스에 적용할 계획이다.

이승진 기자 promotion2@asiae.co.kr