기술의 진보와 함께, 범죄자 집단은 틀림없이 그들의 악의적인 목표를 지원하는데 있어서 기술을 활용할 수 있는 방법을 빠르게 궁리할 것입니다. 랜섬웨어 공격을 계획하는 사이버 범죄자들이든, 데이터 및 재무 정보를 훔치려는 사람들이든, 적국의 중요한 인프라를 교란하려는 국가들이든, 새로운 기술은 그들의 잠재적인 무기가 될 수 있습니다.

다른 합법적인 사업과 마찬가지로, 충분한 재원을 갖춘 이러한 조직들은 인공지능(AI), 머신러닝(ML) 및 딥러닝(DL)과 같은 신기술의 사용을 혁신할 수 있습니다. 그들은 국가 또는 국제 법규, 도덕 또는 윤리 규범에 구애받지 않습니다. 단지 이러한 기술이 범죄 목표를 달성할 수 있는 기회를 제공하는지를 살펴 볼 것입니다.

하지만 새로운 기술이 범죄자와 악당들의 손에 들어갈 수 있지만, 이 기술은 또한 그러한 조직이 표적으로 삼은 조직들의 방어 무기로 사용될 수도 있습니다.

뻔히 보이는 곳에 숨어 있는

악당들이 공격의 정교함을 향상시키기 위해 인공지능(AI), 머신러닝(ML), 딥러닝(DL)을 사용하고 있다는 증거가 압도적으로 많습니다. 유명 웹 사이트 및 온라인 서비스를 먹통으로 만드는 대규모 DDoS(분산 서비스 거부) 공격이 종종 헤드라인을 장식하지만, 대부분의 사이버 범죄자의 주요 목표는 가능한 한 오랫동안 탐지되지 않는 것입니다. 가정집 도둑과 정확히 같은 방법으로, 가능한 한 오랜 시간 동안 들키지 않는 것을 목표로 할 것입니다. 귀중품을 찾기 위해 이 방에서 저 방으로 이동하고, 가능하다면, 들어갈 때처럼 은밀하게 떠나는 것이지요. 사이버 범죄자는 탐지되지 않고 네트워크에 침투하고 돌아다닌 후 빠져나가기를 원할 것입니다.

이를 위해, 그들은 인간이든 기기이든 네트워크의 합법적인 사용자처럼 보이는 것을 목표로 합니다. 바로 이 부분에서 AI 머신러닝은 매우 귀중한 새로운 무기가 되어, 사이버 범죄자들이 사람과 기기의 네트워크 행동을 학습하고 새로운 악성코드와 피싱 전략을 신속하게 개발하고 이를 대규모로 구현할 수 있게 해 줍니다. 네트워크에 액세스하는 가장 간단한 방법은 합법적인 사용자가 링크를 클릭하고 도어를 열도록 강제하는 것입니다. 그리고 실제로 사용되는 언어의 어조와 스타일을 포함하여 실질적으로 실제와 구별할 수 없는 상사의 가짜 이메일이 가장 효과적인 열쇠가 될 수 있습니다.

다크트레이스(Darktrace)는 사이버 보안 분야에서 AI에 초점을 맞춘 세계적인 선두 기업 중 한 곳에서 인정받고 있으며, 예상하신 바와 같이, 범죄자 집단의 AI 사용 증가를 이해하는 데도 전문가입니다. 이 훌륭한 블로그 게시물은 가짜 소셜 미디어 프로필을 통해 직원들을 참여시키는 챗봇에서부터 유출할 가장 중요한 데이터를 식별하는 데 신경 네트워크를 이용하는 것에 이르기까지, 공격 라이프사이클에 걸쳐 사이버 범죄자가 얻을 수 있는 이점에 대해 자세히 설명합니다.

IT와 OT 간의 증가하는, 위험한 연결

Darktrace 블로그 게시물에는 액세스 권한이 확보된 후 네트워크 내 래터널 무브먼트(lateral movement. 내부망 이동)의 목표도 강조되어 있습니다. 이는 사이버 범죄자의 목적을 달성하는 데 필수적입니다. (원격 위치에서 보안이 보장되지 않은 장치일 수 있는) 네트워크 진입 지점이 원하는 최종 위치가 되는 경우는 드물기 때문입니다. 궁극적으로 나쁜 행위자는 네트워크의 훨씬 더 민감한 영역으로 이동하여, 사용자 자격 증명 – 특히 네트워크 액세스에 대한 기본 키를 제공하는 네트워크 관리자 같은 권한이 있는 사용자의 자격 증명을 수집하는 방법을 모색할 것입니다.

연결된 장치 및 소위 사물인터넷(IoT)의 세계에서, IT 네트워크가 운영 기술(OT) 환경과 더욱 긴밀하게 통합됨에 따라 리스크가 폭발적으로 증가하고 있습니다. 간단히 말해서, IT 네트워크는 디지털 정보의 흐름을 관리하고, OT는 비즈니스 또는 특정 지역의 물리적 프로세스, 기계 및 물리적 자산의 운영을 관리합니다. 절도가 아닌 업무 중단과 파괴가 목적인 악당에게는, OT에 대한 접근이 필수적입니다. 발전소, 정유소 또는 병원 내의 기계에 접근함으로써 발생할 수 있는 잠재적 손상은, 상상력이 없어도 충분히 이해할 수 있을 것입니다.

AI – 공격 뿐만 아니라 방어를 위한 도구

우리는 악당이나 사이버 범죄자들이 인공지능(AI)과 머신러닝을 응용할 수 있는 가능성을 살펴보는데 많은 시간을 할애했습니다. 꽤 소름끼치는 그림이 아닐 수 없습니다. 그러나 네트워크를 침입으로부터 보호하려는 사람들 또한 이와 동일한 기술을 사용할 수 있으며, 여러 면에서 공격자보다 방어자에게 이점이 있습니다.

저는 제프 코넬리우스(Jeff Cornelius) Darktrace 부사장을 만나 회사가 범죄자들보다 한 수 앞서기 위해 인공지능과 머신러닝을 혁신하는 방법에 대해 많이 들었습니다. 제프의 이야기를 들어 보시죠…

“먼저, 인공지능과 머신러닝을 개발하는 것은, 미디어를 통해 접할 수 있는 느낌과는 다르게 쉬운 일이 아닙니다! 그리고 사이버 공격을 자행하려는 강력한 범죄자 집단과 국가들이 있지만, 우리에게 유리한 측면은 여러 가지가 있습니다.”

“이 중 가장 중요한 것은, 고객이 우리에게 제공하는 액세스 권한을 고려할 때, 우리는 모든 기기와 사용자의 행동을 이해하는 데 필요한 전체 네트워크 활동을 볼 수 있다는 것입니다. 반대로, 악당들은 활동의 제한된 부분만 볼 수 있습니다. 그들이 처음 발을 디딜 때 취하는 모든 행동은 얼마간은 이러한 짐작에 의존한 것입니다. 그들과 달리 우리는 환경을 전부 이해하고 있구요. 궁극적으로 이들의 목표는 회사/조직이 정상적으로 돌아가지 않는 활동들입니다. 우리의 주요 목표는 네트워크 동작의 이상 징후를 식별하고 해결하는 것입니다. 이는 적이 언제 어디서 나타날지, 어떤 새로운 방법을 사용할지, 목표가 무엇인지 알 수 없기 때문에, 그 범위는 매우 광범위합니다.”

“비유를 들자면, 제가 집 밖에서 하는 매일의 움직임을 연구했던 사람은 제 습관에 대한 상당히 상세한 것들을 파악할 수 있을 것입니다. 제가 보통 매일 집을 나가는 시간, 출근하는 경로, 점심 식사하는 장소 같은 것들 말입니다. 아마도 그들은 제 삶의 그런 부분들을 제대로 흉내낼 수 있을 것입니다. 하지만 제 집 안을 보지 못한 상황에서, 만약 그들이 아침 식사 때 제 취향을 흉내내려고 한다면, 그들은 거의 분명 실수를 할 거고, 가까운 가족은 그 변칙적인 부분을 쉽게 알아차릴 겁니다. 보통 인터넷에는 영리한 피싱 이메일을 통해 한 사람을 타겟으로 삼을 수 있는 괜찮은 정보들이 있지만, 일단 안에 들어오면, 그들은 우리 테이블에 앉게 됩니다.”

감독된 머신러닝 vs. 감독되지 않은 머신러닝

“감독된 머신러닝과 감독되지 않은 머신러닝 사이에는 중요한 차이가 있습니다. 전자에서는 컴퓨터가 일련의 알려진 데이터에 대해 훈련되고, 이 데이터를 계속 참조하여 기록된 결과가 기대된 결과인지 여부를 확인합니다. 사이버 보안 관점에서, 학습 모델은 알려진 멀웨어를 기반으로 합니다. 범죄자와 사이버 보안 간의 진정한 경쟁은 바로 여기에 있습니다. 나쁜 행위자들은 새로운 버전의 멀웨어를 만들기 위해 머신러닝을 사용하고 있고(기하급수적으로 증가 중), 사이버 보안 회사들은 감독된 머신러닝 방어를 위한 새로운 모델을 작성하여 이를 따라 잡으려 노력하고 있습니다. 이는 매일 새로운 단어와 심지어 언어가 만들어지는 세상과 보조를 맞추려고 노력하는 맞춤법 검사기와 비슷합니다. 그리고 보조를 맞추는 것은 불가능하지는 않더라도 점점 더 어려워지고 있습니다.

이와는 대조적으로, 과거의 위협에 대한 정보에 의존하는 대신, 감독되지 않은 머신러닝 알고리즘은 독립적으로 데이터를 분류하고 설득력있는 패턴을 탐지합니다. 이러한 맥락에서, 알고리즘은 네트워크 데이터를 규모에 맞게 분석하고, 보이는 증거만을 바탕으로 수십억 개의 확률 기반 계산을 합니다. 이를 통해 특정 네트워크에 걸쳐 장치, 사용자 또는 각 엔터티의 그룹과 관련된 ‘정상적인’ 동작에 대한 이해를 형성합니다. 그런 다음, 그들은 발전하는 위협을 가리키는, 진화하는 ‘생명의 패턴’으로부터의 편차를 감지할 수 있습니다. 이 조기경보 시스템은 우리가 사이버 범죄자나 악당보다 한 발 앞서 나갈 수 있게 해 줄 것입니다.”

사이버 보안에서 인공지능과 머신러닝의 주제는 정말 흥미롭고, 이 긴 블로그 포스트조차도 제대로 다룰 수 없습니다! 또한 단순히 보안 및 감시와 관련된 것보다 관련성이 훨씬 더 넓어 보일 수도 있습니다. 하지만 네트워크 비디오와 오디오는 다른 네트워크 연결 장치만큼이나 타겟이 될 가능성이 높기 때문에, 매우 관심을 가져야 할 대상입니다.

 

Axis와 사이버 보안에 대한 보다 자세한 내용을 살펴 보세요.

사이버 보안