오늘날 인공지능(AI)과 머신러닝 기술이 급속도로 발전하면서 산업 전반에 영향을 끼치고 있다. 사이버보안 영역도 예외일 수 없다. 공격자들은 AI 기술을 사용하여 자동화된 공격을 시도하고 있고, 방어자들도 신속하고 지능화된 대응을 위해 AI 기술에 대한 의존도가 증가하고 있다. 이러한 사이버 보안 환경변화에 따라 미래 사이버보안을 논의할 때 AI는 핵심적인 요소로 부상하고 있다. AI는 사이버보안에서 기존의 탐지와 대응 역량뿐만 아니라 선제적 방어 역량을 강화할 수 있는 장점이 있는 반면, 악의적인 행위자들의 공격 속도를 증가시켜 오히려 공격의 성공 확률을 높이는 취약점을 보인다. 아울러 오픈소스 AI 라이브러리 및 소프트웨어의 확산은 신규 보안취약점을 증가시키고 있다.

최근 글로벌 컨설팅 기업인 캡제미니(Capgemini)는 소비재, 소매, 은행, 보험, 자동차, 유틸리티, 통신 등 7개 산업 분야의 850명의 고위 임원을 대상으로 사이버보안에서의 AI 활용 관련 조사를 실시했다. 최고 정보책임자(CIO), 최고정보보호책임자(CISO)를 포함하여, 프랑스, 독일, 영국, 미국 등 10개 국가에 위치한 기업의 경영진 대상(850명) 설문조사와 기업·대학의 전문가 대상의 심층 인터뷰를 시행하고, 운영기술(OT) 및 정보기술(OT), 사물인터넷(IoT) 영역의 사이버보안에서 AI 활용사례를 분석하였다. 캡제미니는 조사연구와 분석 결과를 토대로 2019년 7월 “인공지능을 활용한 사이버보안의 재발명(Reinventing Cybersecurity with Artificial Intelligence)” 보고서를 발표하였다.

본고에서는 “인공지능과 사이버보안의 재발견” 보고서의 주요 내용을 기반으로 AI 기반 사이버보안 필요성, 사이버보안에서 AI 활용 편익, 사이버보안에서 AI 활용 중점분야, 사이버보안에서 AI 구현 로드맵 등에 대해 고찰해보고자 한다.

AI 기반 사이버보안 필요성

AI 발전에 따른 사이버위협 증가

오늘날의 기업들은 사이버보안 역량의 지속적인 강화라는 긴급하고도 중대한 도전과제에 직면해있다. 클라우드, IoT, 빅데이터, 5G, AI 등 다양한 ICT 기술의 발전과 함께 주변에 편재한 많은 기기, 네트워크, 소프트웨어 등이 복잡하게 연결되면서 사이버위협이 동시에 증가하고 있으며, 공격표면이 지속적으로 증가 하고 공격의 정교성도 높아지고, 사이버 공격으로 인한 피해 규모도 증가하고 있다.

손실액 5천만 달러를 초과하는 사이버보안 침해사고

[출처: CAPGEMINI]

캡제미니의 조사연구는 디지털 사업이 성장함에 따라 사이버 공격의 위험이 기하급수적으로 증가한다는 사실을 확인해주었다. 기업 중 21%는 자사 조직이 2018년에 불법접근으로 인한 사이버보안 침해를 경험하고, 사이버보안 위반에 대한 대가를 치르고 있는 것으로 나타났다. 기업들은 향후 1년 이내에 사이버 공격이 2배로 급증할 것으로 전망하였다. 사이버침해로 인한 피해도 대폭 증가하여, 기업 중 20%는 사이버침해로 인해 5천만 달러 이상의 손실을 입은 것으로 조사되었다. 특히 통신기업의 40%는 5천만 달러이상의 손해를 입어 피해 규모가 최대였다. 이러한 위협에 직면하여 대부분의 통신회사(80%)는 위협을 식별하고 공격을 막기 위해 AI에 의존하고 있는 것으로 조사되었다.

사이버보안에서 AI 의존도 증가

최근 급속히 발전한 AI는 해커 조직의 공격에 활용되는 등 사이버 위험을 한층 고조시키고 있다. 보안 기업인 ZeroFox의 데이터과학자는 실험을 통해 AI 시스템이 스피어피싱(spear phishing) 트윗(수신자가 민감한 정보를 공유하도록 속이는 개인화된 트윗)을 성공적으로 전송하는 것을 입증하였다. 이 실험에서 AI는 스피어피싱 트윗을 사람보다 약 6배 빠르게 전송하고, 약 2배 이상의 공격 성공률을 보이는 것으로 나타났다.

산업별 사이버위협 대응에서 AI 의존 비율 

[출처: CAPGEMINI]

또한 네트워크 트래픽이 빠르게 증가하고, 보안로그 등 사이버보안 데이터도 급증하는 빅데이터 시대를 맞이하여 사이버보안 분석가들이 기존 보안 도구로는 현대의 사이버 공격을 신속히 탐지하고 대응하기 어려워지는 상황에 직면하고 있다. 기업 경영진 중 61%는 AI를 이용하지 않는다면 심각한 위협을 식별할 수 없다고 인정했다. 아울러 신속한 대처가 필요하거나 사이버보안 분석가가 신속하게 치료할 수 없는 사이버 공격 유형도 증가하고 있다. 경영진 중 43%는 기계적인 속도의 사이버 공격이 증가하고 있다고 지적했으며, 기업들의 69%는 AI를 이용하지 않고는 신속한 공격에 대응할 수 없다고 인식하는 것으로 조사되었다. 아울러 사이버 공격 패턴의 변화로 기업 중 약 절반(48%)은 2020년도에 사이버보안에서 AI 예산을 평균적으로 29% 증액하고, 기업 중 약 1/4은 40% 이상 증액할 계획인 것으로 조사되었다.

사이버보안 기술의 부족으로 사이버 공격의 수와 복잡성이 증가하고 있는 반면, 기계학습 등의 분야에서는 AI를 활용하여 사이버보안 인력 부족을 일정 부분 해소할 수 있을 것으로 기대된다. 기업의 69%는 사이버 공격에 대응하기 위해 AI가 필요하다고 응답하였다. 특히 통신업계는 5천만 달러가 넘는 손실이 발생하면서 심각한 사이버침해에 대응하기 위한 AI 활용에 매우 적극적으로 나서고 있다.

국가별 사이버보안에 AI 의존 비율을 측정해보면, 미국 기업들은 사이버위협 대응에서 AI 기반 사이버 보안 애플리케이션 및 플랫폼을 최우선 순위로 두면서 AI 의존 비율이 전 세계 평균보다 14% 이상 높게 나타났다. 미국뿐만 아니라 호주, 영국, 스페인, 프랑스 주요 선진국들도 사이버보안에서 AI를 의존하는 비율이 70% 이상인 것으로 나타났다.

국가별 사이버위협 대응에서 AI 의존 비율

[출처: CAPGEMINI]

사이버보안에서 AI 활용 분야

기업들이 네트워크 보안을 위해 AI 활용사례를 시험하는 경우가 많아졌는데, AI 활용 사이버보안 분야 중에는 네트워크 보안 분야(73%)가 가장 높았다. 데이터 기반 경제, 개인정보보호 등 데이터의 중요성이 증가하여 데이터 보안이 두 번째 순위를 차지했으며, 2021년까지 엔드포인트 기기가 250억 개 이상으로 증가할 것으로 전망되고 (가트너), 사물인터넷(IoT) 및 산업사물인터넷(IIoT) 센서가 기하급수적으로 확대하여 위협 표면이 급증할 것으로 예상되면서 엔드포인트 보안 분야가 세 번째를 차지하였다.

기업의 사이버보안에서 AI 활용 분야

[출처: CAPGEMINI]

기업들은 사이버위협 탐지, 예측, 대응에 광범위하게 AI를 적용하고 있으며, 특히 탐지 영역에서의 AI 활용에 더욱더 많은 예산과 시간을 투자하는 것으로 나타났다. 기업 경영진들의 사이버위협 탐지 영역에서 AI를 집중적으로 활용하는 비율이 51%인 것에 비하여 예측은 34%, 복구는 14% 수준으로 상대적으로 낮았다. 기업이 사이버보안 노력의 일환으로 AI를 사용하고 채택함에 따라 기계학습의 기술이 발전하면서 예측 및 복구 분야도 점진적으로 증가할 것으로 예상된다.

사이버보안 영역(탐지, 예측, 복구)별 AI 활용 비율

[출처: CAPGEMINI]

사이버보안에서 AI 활용 편익

사이버보안에서 AI 활용은 조직이 사이버위협 패턴을 파악하여 이용함으로써 신규 위협을 탐지하고 예측하는 기능을 개선하며, 사고 식별과 조사, 복구하는 데 필요한 시간과 비용을 절감할 수 있다. 기업 중 약 2/3인 64%는 AI가 보안 침해를 탐지하고 대응하 는 비용과 시간을 단축할 수 있으며 AI는 사이버보안에 대한 투자회수율(ROI)이 높다고 인식했다. 사이버보안에 AI를 활용한 대다수 기업의 비용 절감 효과는 평균 12%로 1~15%대를 보였지만, 일부 기업은 15% 이상의 높은 비용 절감 효과를 보이는 것으로 나타났다.

AI 사이버보안의 침해 탐지 및 복구 관련 비용감소 효과

[출처: CAPGEMINI]

기업에서 사이버 공격으로부터 조직을 보호하기 위해 신속한 복구가 필수적이다. 사이버보안에서 AI를 활용하면 사이버위협 및 침입을 탐지하는 데 걸리는 전체 시간을 최대 12%까지 단축할 수 있고, 침해 치료, 보안 패치 등 복구에 필요한 시간도 12%까지 줄일 수 있는 것으로 나타났다.

AI 사이버보안의 침해 탐지 및 복구 관련 시간 개선 효과

[출처: CAPGEMINI]

사이버보안 시간 단축은 알려진 또는 알려지지 않은 이상 행위나 공격 패턴 등을 지속해서 모니터링하여 달성할 수 있다. 예를 들어 미국의 전문소매업체인 PetSmart는 Kount와의 파트너십을 통해 사기 탐지 AI를 사용하여 수백만 건의 거래와 결과를 분석하는 AI/ML(머신러닝) 기술을 구현해 최대 1,200만 달러를 절감할 수 있었다. 이 기술은 각 거래정보를 타 모든 거래와 비교하여 각 거래의 적법성을 판단하는 방법으로, 사기 주문이라고 확인되면 주문을 취소하여 회사의 비용을 절약하고 브랜드 손상을 피할 수 있었다.

AI를 활용한 사기 방지는 기계학습을 활용하여 이상 행위, 상관관계, 주요 변수 등을 분석함으로써 구현될 수 있다. 기계학습은 사이버 사기를 방지하는데 다음과 같은 역할을 할 수 있다.

• 사기 예방을 과거 경험에만 의존하지 않고 새로 등장한 활동, 행위, 예외적 거래 경향 검사
• 지급 거부가 시작될 때까지 오래 기다리지 않고, 실시간으로 사기 감지
• 친구 사칭, 판촉 남용 또는 등 정교하고 정교한 오남용 공격 방지
• 사기 분석가에게 실시간 위험정보를 제공하고 사기 손실 최소화를 위한 적정 임계값 정보 제공
• 디지털 기업이 지급거부 비율, 운영비용 등을 보다 효과적으로 통제할 수 있도록 지원
• 연중무휴 게임 등의 가상현실(VR) 상품 판매로 일관된 고품질 사용자 경험 제공
• 판매자의 쉬운 온라인 구매 승인과 AI의 탐지 오류 감축으로 고객 경험 향상
• 내부 비즈니스 정책, 규제 기관의 정책, 유통업체와의 계약 준수 등으로 AI 기반 사기 예방
• 이익에 직접적인 영향을 미치는 지불 거절 수준을 통제하여 비즈니스의 수익성 개선

사이버보안 분석가는 보안로그, 사고기록 등을 검토하는 데 상당한 시간이 소요된다. AI가 간단하고 시간이 많이 소요되는 작업을 진행하면, 사이버보안 분석가는 AI 기반 사이버보안 시스템이 파악한 사고를 분석하는 데 보다 많은 시간과 노력을 투입할 수 있다. 기업이 사이버보안 분야의 인재를 확보하기 어려운 상황에서 AI 활용은 좋은 대안이 될 수 있다. 실제로 기업 중의 약 2/3가 AI 활용이 사이버보안 분석가의 정확성과 효율성을 개선하고 있다고 인식하고 있다.

AI의 사이버침해 분석의 정확성과 효율성

[출처: CAPGEMINI]

사이버보안에서 AI 활용 중점분야

AI 기반 사이버보안 시스템 가치를 최적화하고, 추가적인 투자의 정당성을 확보하고자 하는 기업에서 잠재력이 높은 활용사례를 찾는 것은 사이버보안에서 AI의 성공을 성취하는데 핵심적 요소이다. 기업의 경영진 중 57%는 구현은 쉬우면서 높은 편익을 제공하는 우수한 잠재력의 활용사례에 대한 이해가 부족하며, 이는 AI 기반 사이버보안 구현에서 도전과제라고 지적했다. 캡제미니는 정보기술(IT), 운영기술(OT) 및 사물인터넷(IoT)에 걸쳐 20개의 사용사례를 분석하고 구현상의 복잡성 및 시간 단축 측면과 같은 구현에 따른 편익에 따라 순위를 매겼다. 이를 통해 구현 복잡성은 낮으면서 편익성은 우수한 5가지 잠재적 활용 사례로 사기 탐지(IT), 말웨어 탐지(OT), 침입 탐지(OT), 네트워크 위험 점수화(OT), 이용자/기계 행위분석(IoT)을 제시하고, 기업에서 활용할 것으로 권장하였다. 조사대상 기업 중 54%가 이러한 5개의 활용사례를 이미 구현한 것으로 조사되었다. 고 잠재력 분야를 도출하기 위해 다양한 활용사례를 편익과 복잡성 수준에 따른 분류는 다음과 같다.

사이버보안에서 AI 활용사례(복잡성-편익성 매트릭스)

[출처: CAPGEMINI]

상기 도표에서 파악한 복잡성은 낮은 반면 편익은 높은 5가지 우수한 활용사례에 대한 상세한 설명과 산업계의 구현사례들은 다음과 같다.

사이버보안에서 AI 활용하는 경우 권장되는 사용사례

[출처: CAPGEMINI]

사이버보안에서 AI 구현 로드맵

사이버보안에서 AI가 제공하는 편익은 상당하지만, 많은 기업은 AI 솔루션을 구현하는 데에 어려움을 겪고 있다. 기업들은 사이버보안에서 AI 구현 관련 다양한 도전과제에 직면하고 있으며, 특히 AI의 활용 사례에 대한 개념적인 이해부터 실제적인 구현 완료 단계까지 어떻게 수행할 것인지에 대한 이해가 부족한 것으로 조사되었다. 이에 따라 캡제미니는 시스템 구현과 마찬가지로 계획단계의 중요성을 강조하면서, 사이버보안에서 AI를 구현하기 위한 체계적인 로드맵 6개 활동을 제시했다.

사이버보안에서 AI 구현 로드맵

[출처: CAPGEMINI]

① AI 운영을 위한 데이터 자료 및 데이터 플랫폼 개발

사이버보안에서 AI는 데이터 자료가 플랫폼에 연결되고 AI 알고리즘에 대한 입력으로 제공될 때 성공할 수 있다. 많은 기업은 AI 인프라 지원이 기존의 인프라, 데이터 시스템 및 애플리케이션 환경과의 통합문제로 인해 어렵다고 지적한다. 상당수의 경영진은 사이버보안 분야에서 AI를 통해 달성하려는 목표를 알고 있다고 말하지만, 기업 중 겨우 절반(54%)만이 AI 알고리즘을 운영하는데 필요한 데이터 세트를 파악하고 있는 것으로 나타났다.

기업들이 데이터 식별뿐만 아니라 고품질 결과를 원한다면 데이터를 현행화하고, 안전하게 유지해야 한다. 경영진의 절반 정도만이 데이터 세트를 AI 알고리즘의 입력으로 사용하기 위해 데이터의 현행화 및 안전성을 보장하기 위한 품질 검사를 수행하는 것으로 나타났다.

② 편익을 가속화하고 극대화하기 위해 적합한 활용사례 선택

투자를 정당화하는 데에 필요한 편익을 확보하려면 올바른 활용사례를 선택하여 구현하는 것이 매우 중요하다. 활용사례 선택은 사이버보안에서 AI를 활용하는 데 있어서 지속적인 과정이며, 최적의 결과에 도달하기 위해 반복 수행에 따른 시간이 소요된다. 기업들은 다음과 같은 작업 수행이 요구된다.

• 상당한 편익을 제공하지만, 구현 복잡성인 낮은 활용사례부터 시작
• 사용 가능한 데이터가 완전하고 최신인 활용사례에 초점을 맞추어 진행
• 알고리즘을 적절히 조정할 수 있도록 테스트 활용사례로부터 결과를 검증할 수 있는 전문가 확보

③ 위협 인텔리전스를 향상하기 위해 대외적으로 협업

크라우드 소스 플랫폼을 통한 위험 분야 연구원, 보안전문가와의 협업이 중요하다. 이를 통해 기업은 경험하고 있는 위협에 다양한 보안전문가가 신속하게 대처할 수 있고, AI 알고리즘의 논리를 개선하여 위협을 효율적으로 탐지하는 데 중요한 역할을 수행할 수 있다.

기업은 데이터 플랫폼을 구축하여 다른 조직과 최신 위협 데이터를 공유할 수 있다. 예를 들어 페이스북의 Threat Exchange 및 IBM의 X-Force Exchange는 기업이 편리한 형식으로 위협 인텔리전스를 공유하고 이용할 수 있도록 지원한다. 캡제미니 조사에서는 단지 2명의 경영진만이 크라우드 소싱 플랫폼을 통해서 외부의 기업과 위협 인텔리전스를 공유하고 있는 것으로 나타났다.

④ 보안 관리를 향상하기 위해 보안 자율조정, 자동화, 복구(SOAR) 적용

보안 자율조정, 자동화, 대응(SOAR)은 조직이 다양한 소스에서 보안 데이터 및 경고를 수집할 수 있도록 지원하는 기술이다. SOAR 기술을 통해 인적 및 기계 능력의 조합을 활용하여 사고분석을 수행할 수 있으며, 이를 통해 데이터 자료 및 플랫폼에 대한 연결을 통해 표준적인 업무 흐름에 따라 사고 대응 활동을 정의하고 우선순위를 지정하고 추진할 수 있다. 경고 품질 향상, 사이버보안 분석가의 시간 단축, 보안 및 운영센터의 관리를 향상하는 SOAR은 사이버보안에서 AI의 최적 결과를 보장하기 위한 필수적 요소이지만 조직의 36%만이 적용하고 있는 것으로 나타났다.

⑤ AI 준비를 위해 사이버 분석가에 대한 교육 훈련

기업 중 절반은 효율적으로 위협을 탐지하기 위한 AI 알고리즘을 구성하고 그 논리를 개선할 수 있는 우수한 사이버보안 전문가가 부족한 것으로 조사되었다. AI 알고리즘의 잠재적 취약점을 제거하기 위해 조직의 주요 프로세스에 대한 지식이 필요하고, 공격을 분석할 때 보안전문가뿐만 아니라 문제를 이해하는 업무 전문가 참여가 요구된다. 이러한 문제를 해결하는 한 가지 방법은 기술 발전에 따른 영향을 받은 직원들에 대한 교육을 강화하는 것일 수 있다. 사이버 분석가의 효율성을 향상하는 또 다른 방법은 직원들이 AI 도구 및 사고 경보를 활용할 수 있는 인터페이스를 구축하는 것이다.

⑥ 투명하고, 윤리적으로 장기적인 개선을 성취하기 위해 사이버보안의 AI 거버너스 구축

기업은 AI 지원 사이버보안을 위한 거버넌스 메커니즘이 필요하며, 보안 및 운영센터는 다음 사항들을 지속해서 관리해야 한다.

마지막으로 행정명령 8항(AI 기술에서 미국의 우위를 유지하기 위한 실행계획)에서는 대통령 국가안보보좌관은 과학기술정책실(OSTP) 등과 협력하여 AI에서 미국의 우위를 유지하고, 경쟁국과 적대국들로부터 미국의 경제 및 안보 이익에 중대한 AI 기술 을 보호하기 위한 실행계획 개발을 조정하도록 하였다.

이 실행계획은 AI 행정명령 발효 120일 이내에 대통령에게 보고되어야 하며 필요시 전부 또는 일부를 기밀로 유지할 수 있다.

• 사이버보안 분석가의 역할 및 책임 정의
• 작업을 실행하기 전에 사이버 분석가를 통해 AI 알고리즘 결과 모니터링 실시
• AI 알고리즘이 정상적으로 작용하는지 모니터링하기 위한 통제 절차 마련
• AI 알고리즘으로 생성된 결과에 대한 위험 허용 범위 식별
• AI 알고리즘의 결과의 논리 및 현행화를 모니터링하는 메커니즘 구현
• AI 알고리즘이 실패하거나 변조된 경우 대체 방법 마련
• 성공 여부를 측정할 수 있는 핵심 성능 지표 구현

사이버보안에서 AI 구현 로드맵

현대와 미래의 사이버보안에서 AI 활용은 선택이 아니라 필수로 자리매김하고 하고 있다. 주요국 및 기업들은 현대의 정교한 사이버위협에 신속하게 대응하기 위해 AI에 의존하고 있다. 많은 경영진은 사이버보안에서 AI 활용이 비용과 시간 감축 등 다양한 편익을 제공한다고 인식하고 있으며, 이에 따라 사이버 보안에서 AI 도입에 적극적이고, 투자를 확대할 계획이다.

한편 많은 기업은 사이버보안에서 AI를 활용하는 데 있어서 전문인력이 부족하고, 우선적으로 집중할 AI 활용 분야, AI 활용을 위한 체계적인 방법 등에 대한 지식과 이해가 부족하여 사이버보안에 AI를 구현하는 데 어려움을 겪고 있다. 이러한 기업들은 AI 구현의 복잡성과 편익을 분석하여 조직이 집중할 분야를 선정하여 먼저 구현을 추진할 필요가 있다. 아울러 사이버보안의 구현 로드맵에서 제시한 데이터 플랫폼 개발, 고 영향 활용사례 선택, 대외적으로 협업, 자율조정·자동화·복구(SOAR) 적용, 사이버보안 분석가 훈련, 거버넌스 구축 등 6개 활동을 종합적으로 수행하면서 사이버보안에서 AI를 구현하는 것이 바람직하다.

정부 기관 및 민간기업들은 해킹 기술의 진화뿐만 아니라 신경망 기술, 컴퓨터 비전, 로봇 등 AI 관련 다양한 기술의 급속한 발전에 따라 사이버보안에서 AI 활용을 적극적으로 추진하기 위해 전문인력을 확보하고, 사이버보안 프로세스를 지속적으로 개선할 필요가 있다. 국내 보안업체들은 AI 기술 개발뿐만 아니라 기업들이 사이버보안에서 AI를 보다 편리하게 도입할 수 있도록 고객의 요구사항 분석 및 계획단계부터 시스템 구축 단계까지 종합적으로 지원할 수 있는 서비스 역량을 개발할 필요가 있다.

[참고문헌]
[1] Capgemini Research Institute, Reinventing Cybersecurity with Artificial Intelligence The new frontier in digital security, 2019.7.

[2] CIO, “Top 10 strategic IoT technologies and trends: Gartner,” 2018.11

[3] Forbes, Top 9 Ways Artificial Intelligence Prevents Fraud, 2019.7.9

[4] Forbes, m Why AI Is The Future Of Cybersecurity, 2019.7.14

[5] Raconteur, “AI in cybersecurity: a new tool for hackers?,” 2019.2

[6] ZDNet, “How technology is saving PetSmart millions by eliminating sales fraud,” 2018.7