출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=104793&kind=

규칙이라는 것에 의존해 네트워크를 보호하는 것에 점점 한계가 나타나고 있다. 그래서 네트워크 보안 전문가들은 꽤나 오래 전부터 생명체처럼 스스로를 보호하는 네트워크를 꿈꾸며 발전시켜 왔다. 최근의 IT 기술이 발전하면서 이 꿈이 조금씩 실현되기 시작했다.

[보안뉴스 문정후 기자] 사이버 보안 분야가 최근 몇 년 동안 눈부시게 발전하는 중이다. 그렇지만 그 어느 때보다 고통에 시달리고 있기도 하다. 해킹과 크래킹 등 각종 공격 기술들 역시 빠르게 발전하고 있고, 기업과 기관들에서 발생하는 피해 규모는 보안 분야의 발전이 무색할 정도로 커지는 중이기 때문이다. 

전 세계적인 사이버 범죄의 규모가 1조 달러를 넘어섰다. 그 절대적 규모도 그렇지만 2년 전에 비해 50%나 증가했다는 사실도 무섭다. 그러니 매일 랜섬웨어 소식이 끊이지 않고 헤드라인을 장식하고, 각종 사이버전 소식이 무시 못 할 수준으로 나오는 것이다. “시그니처에 의존하는 기존의 탐지 방식은 빠르게 효율이 떨어지고 있습니다. 한 발 더 나아간 보안 기술이 필수적인 요소입니다.” 로렌스버클리국립연구소의 스티븐 호프메이어(Steven Hofmeyr)의 설명이다.

발전을 하고는 있는데 아직 충분치 않아서 피해가 점점 더 커지는 상황이 지금 보안 업계가 처해 있는 지점이다. 그런 상황에서 생물학적인 모델들을 데이터 과학과 시스템 보호에 적용하려는 시도가 나오고 있어 시선을 끌고 있다. 개념 자체는 이미 2000년대 초반부터 등장했었다. 인간의 면역 반응 시스템이나 백신 모델 등을 데이터 보호 및 시스템 보호에 응용하자는 게 이런 개념의 핵심 내용이다.

그리고 오늘 날에 이르러 이 개념은 몇 가지 제품을 통해 실현되기 시작했다. 컨설팅 서비스 업체인 ESG의 연구 수석 엔지니어인 토니 파머(Tony Palmer)는 “생물학적 개념에 근간을 둔 ‘결정성 보호(deterministic protection)’라는 것이 만능통치약은 아닙니다만 노출된 공격 표면을 줄이는 데에 있어 효과가 있는 것이 분명하며, 시그니처나 학습과 같은 것에 대한 의존도도 낮다”고 설명한다.

보호라는 것의 재정의
생물학 기반 보안 도구들은 기존의 화이트리스트나 블랙리스트 등과 같은 탐지 방법들을 실시간 비정상 탐지 프레임워크로 대체한다. 항생제, T세포 등과 같은 것을 활용함으로써 외부 에이전트에 대해 인간의 몸이 자연스럽게 반응하도록 유도하듯이, 컴퓨터 네트워크도 수상한 요소가 외부로부터 들어와 피해를 일으키기 전에 반응하여 차단시킬 수 있다고 보는 것이다.

이미 20년 전 사나시큐리티(Sana Security)라는 보안 업체에서 이러한 개념을 구현하는 작업에 참여했던 호프메이어는 “최근 들어 눈에 띄는 발전이 나타나기 시작했다”고 말한다. “일단 기존 보안 시스템에 지친 많은 사람들이 이러한 개념에 관심을 보이고 있고, 인공지능 기술의 발전 역시 생물 개념을 구현하는 데에 큰 도움이 되고 있습니다. 20년 전만해도 생물학과 보안을 접목시킨다고 했을 때 아무도 들어주지 않았습니다.”

확실히 ‘생물학적 개념(특히 신체의 면역 체계)들을 인공지능과 머신러닝으로 구현한다’는 말 자체부터가 대단히 매력적이다. 그리고 이 말을 현실로 구현시킬 기술들도 하나 둘 등장하고 있는 것이 사실이다. 가트너의 수석 연구원인 에릭 알름(Erick Ahlm)은 “사이버 보안에서 신호 대비 잡음 비율은 상당히 높은 편이며, 그렇기 때문에 신기술들을 활용해 잡음을 걸러내고 현상 자체를 빠르게 탐지한다는 것부터 높은 가치를 가질 수밖에 없다”고 설명한다.

그렇다고 생물학 기반 보안 도구들이 기존 보안 기술들을 완전히 대체할 것이라고 볼 수는 없다. 오히려 기존 보안 기술들을 보완하고 더 강력하게 하는 도구에 더 가깝다. 파머는 “나쁜 것들과 위험할 수 있는 것들을 빠짐없이 찾아내 블랙리스트로 처리해두는 것보다, 심층 지식을 활용해 좋은 것들을 강화시키고, 시간에 따라 앞으로 진화할 가능성이 있는 고차원적인 시스템 행동 특성들에 집중하는 편이 훨씬 ‘보호’에 알맞은 개념일 수 있다”고 말한다. 즉 위험 요소를 정의하고 이것을 완전히 차단하는 보호를 하는 것에만 치중하는 게 아니라, 그 반대급부로서 강점을 더 강화하여 네트워크를 튼튼하게 만드는 것에도 집중해야 하지 않겠느냐는 것이다.

새로운 모델의 출현
실제로 이러한 생물학적 ‘보안 모델’들을 적용시키는 기업들이 하나 둘 늘어나고 있는 추세다. 보안 업체 버섹(Virsec)의 경우 전체 런타임 스택(웹, 호스트, 메모리)에 걸쳐 존재하는 소프트웨어 워크로드들을 보호하는 것을 목표로 삼고 있다. 이 때 애플리케이션 유형이나 환경의 종류 등은 전혀 제한 요소가 될 수 없어야 한다고 버섹은 보고 있다. 기존의 물리 서버 환경이나, 가상기계나, 클라우드 컨테이너나 모두 말이다. 그래서 버섹은 신뢰할 만한 것들만 실행되도록 허용하고, 알려진 위협과 알려지지 않은 위협들 모두가 발동되기 전에 막는 것(밀리세컨드 내에)을 추구한다.

버섹의 CEO 데이브 퍼노(Dave Furneaux)는 “자산 보호의 방식과 개념을 새롭게 가져가야 한다면 접근 방식도 완전히 달라져야 한다”며 “그래서 랜섬웨어, 원격 코드 실행, 공급망 포이즈닝, 메모리 기반 공격 등 다양한 사이버 공격 방식에 대해 사용자들에게 예방 주사를 놓는 프레임워크를 설계했다”고 설명한다. “기존의 방식에 아무리 돈을 부어봐야 해킹 공격으로부터 안전할 수 없다는 건 익히 증명되어 왔죠. 새로운 접근법을 시도할 때입니다.”

그렇다면 사용자들에게 예방 주사를 놓는다는 건 어떤 의미일까? 퍼노는 “모더나나 화이자와 같은 제약업체들의 mRNA 기술과 유사하다”고 설명한다. “특정 위협에 대해 세포를 먼저 적용시키고 반응을 관찰해가며 적용시키는 것이죠. 그렇게 해서 세포의 적응 방식을 파악하면 몸 전체를 보호할 수 있게 됩니다.” 생물에서는 세포 단위부터 강화시킴으로써 유기체 전체를 보호한다는 건데, 이를 사이버 보안 쪽으로 해석하면 소프트웨어의 가장 하위 단위에서부터 보호를 시작하여 시스템 전체를 강화한다는 뜻이 된다. 그래서 사용자들에게 특정 공격을 미리 경험하게 함으로써 좀 더 바람직한 반응이 나오도록 유도한다는 게 퍼노의 설명이다.

보안 업체 다크트레이스(Darktrace)와 벡트라AI(Vectra AI), 블랙베리 사이버시큐리티(BlackBerry Cybersecurity) 역시 생물학적 개념을 보안에 적용시키고 있다. 다크트레이스의 경우 항시 모니터링 및 세포 단위의 네트워크 분석을 실시한다. 그리고 정상 행위들에 대한 모델링을 한다. 이를 바탕으로 점점 더 ‘잡음(노이즈)’과 위협을 정확하게 구분하게 된다. 이럴 때 수상한 활동이 발견됨에 따라 민감한 정보의 흐름을 빠르게 차단할 수 있게 된다.

생물학, 모양을 갖춰야
이 글을 통해 마치 새로운 보안의 개념이 해커들의 강력한 적으로서 등장한 것처럼 표현했지만, 사실 생물학을 보안에 적용한다는 개념과 시도는 아직 유아기에 머무르고 있다. 위의 기업들의 시도들도 아직 이렇다 할 성과를 거두지는 못하고 있는 상황이다. 버섹의 신개념 보안은 서버 사이드에 집중되어 있고, 아직 마이크로세그멘테이션을 지원하지 않는다. 사물인터넷의 보호에도 아직 도달하지 못했다. 특정 유형의 공격에 대해서는 기능이 약화되는 것도 사실이다.

게다가 사이버 범죄자들은 적응의 대가들이다. 이렇게 우리가 새로운 보안 개념을 개발한다고 해도 해커들은 금방 적응할 수 있다. 그럼에도 이 분야에서의 발전은 분명히 이뤄지고 있다. 잠재력을 충분히 이끌어낼 수 있을 때 얻어낼 장점들이 꽤나 희망적이기 때문이다. 스택 내 장비들에서 코드들이 실시간으로 점검되고 점점 강화된다니, 오탐이 점점 줄어들고 대응력은 높아질 것이다. 또한 보안 아키텍처가 단순화되고 지금의 다양한 도구들도 어느 정도 정리될 수 있다.

결국 현재까지 우리가 내릴 수 있는 결론은 하나다. 생물이나 사이버 보안이나 매우 복잡한 조직체와 관련된 일이라는 것이다. “인간의 면역 체계는 딱딱하고 융통성 없는 체제가 아닙니다. 유연하게 변화와 환경에 적응하도록 만들어졌습니다.” 호프메이어의 설명이다. “이런 특성을 컴퓨터 네트워크에도 적용하고 구현할 수 있다면, 안전의 혜택을 받는 우리의 입장에서는 보다 튼튼한 환경을 편리하게 누릴 수 있게 될 겁니다. 그리고 어차피 지금의 보안 방식으로는 보호라는 걸 할 수 없게 됩니다. 변화가 필요한 때이고, 그 변화의 후보 중 하나가 생물학적 모델입니다.”

글 : 사무엘 그린가드(Samuel Greengard), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]