변종 악성코드 귀신같이 잡아내는 AI…KISA도 적용 확대

1일 평균 10만건 이상 샘플 분류…"유사변종 더 빠르게 파악"
인터넷진흥원, KISC에도 AI 기반 침해사고 분석체계 구축 예정

[아시아경제 한진주 기자] 인터넷진흥원이 나날이 급증하는 악성코드와 침해사고에 대응하기 위해 인공지능(AI) 적용 범위를 넓히고 있다.

AI를 보안업무에 활용할 때 장점은 새로운 공격에 보다 효율적으로 대응할 수 있고 단순반복이나 수작업을 대체할 수 있다는 점이다. 사람이 수동으로 분석할 경우 수주~수개월이 소요되는 작업 시간을 줄여준다. 예를 들어 AI에게 악성코드 샘플을 학습시키면 새로운 악성코드가 어떤 유형인지 분류하고, 네트워크에 침입한 데이터가 정상·비정상인지를 가려낼 수 있다.

29일 강필용 인터넷진흥원 정보보호R&D기술공유센터장은 "사이버 위협정보 분석·공유 시스템(C-TAS)에서도 행위기반 유사·변종 악성코드를 분류하고 있는데 정확도가 상당히 높다"며 "사이버침해대응센터(KISC)에서도 침해사고 분석 체계를 구축할 예정"이라고 설명했다.

AI를 활용해 비정상·악성행위를 탐지해 사람의 분석 능력을 보완할 수 있고 보안에서의 반복작업을 자동화하는 업무에도 AI를 적용할 수 있다. 행위 기반 유사·변종 악성코드를 분류하는 업무에 AI를 투입시키면 1일 평균 10만건 이상의 샘플을 분류해낸다. 과거에 분석된 악성코드 분석정보를 기반으로 새롭게 탐지되는 변종 악성코드를 분석하는 시간을 줄일 수 있다.

강 센터장은 "AI가 정형화된 데이터를 분석해 사용자가 빠른 판단을 할 수 있게 된다"며 "기존 탐지방식은 유사변종이 나올 경우 탐지하기 어려웠지만 AI를 활용하면 유사변종을 더 빠르게 파악할 수 있다"고 설명했다.

인터넷진흥원은 2~3년 전부터 AI를 보안 업무에 활용할 수 있도록 관련 기술을 개발해왔다. ▲모바일 결제 사기 대응기술 ▲행위기반 유사·변종 악성코드 분류기술 ▲IoT 보안 취약점 검색·공유 시험기술 ▲사이버 위협 인텔리전스 분석·정보 공유 기술 등을 개발해왔다. 내년에는 지능형 침해사고와 악성코드 분석, 상황관제 업무 자동화 등에도 AI를 적용할 예정이다.

올 연말 인터넷진흥원이 구축하는 '사이버 위협 빅데이터센터'를 통해 보안업체들이 AI 기술을 활용해 더 많은 위협정보를 분석·공유할 수 있게 된다. 최근 보안업계는 AI를 악성코드 분석, SW취약점 분석, 이상금융거래탐지(FDS) 네트워크 침입탐지 등에 활용하고 있으며 더 많은 데이터를 확보할 수록 다양한 서비스 개발도 가능해질 것으로 보인다.

강 센터장은 "악성코드 샘플을 주면 그 안에서 특성을 추출하고 어떤 종류에 속하는지를 판별해내는데 군집화 정확도가 95% 수준"이라며 "사이버보안 분야에 AI를 적용하려는 시도가 활발하게 이뤄지고 있으며 양질의 학습데이터를 확보하고 보안에 특화된 알고리즘 개발의 중요성이 부각되고 있다"고 말했다.

한진주 기자 truepearl@asiae.co.kr