2021-10-16 20:15 (토)
김휘강 교수 “AI 활용 사이버위협 모니터링 기술, 지속 발전할 것”
상태바
김휘강 교수 “AI 활용 사이버위협 모니터링 기술, 지속 발전할 것”
  • 길민권 기자
  • 승인 2021.09.26 21:28
이 기사를 공유합니다

“위협정보 기반 공격 표면 모니터링 관리에 다양한 AI 요소기술 발굴 및 적용 가능”
고려대학교 김휘강 교수
고려대학교 김휘강 교수

2021 인공지능 정보보호 컨퍼런스 'AIS 2021' 온라인이 지난 9월 16일 데일리시큐 주최로 900여 명이 참석한 가운데 성황리 개최됐다. 사전등록자는 1,400여 명이다.

이 자리에서 고려대학교 김휘강 교수는 ‘인공지능을 활용한 사이버위협 모니터링 기술’을 소개하며, 수집된 사이버위협정보 관련 데이터 중에서 유용한 정보를 추출하고 평판도를 예측하기 위해 머신러닝이 어떤 요소에서 활용될 수 있는지 살펴보는 시간을 가졌다.

고려대 교수이자 AI.Spera(에이아이스페라) 공동창업자인 김휘강 교수는 “보안을 위한 인공지능 기술은 향후 지속적으로 발전할 분야다. 인공지능의 다양한 요소기술을 활용해 사이버 위협 인텔리전스 프로세스를 자동화, 효율화 할 수 있다”며 “위협정보 기반 공격 표면 모니터링 관리에 다양한 AI 요소기술 발굴 및 적용을 통해 보안향상을 꾀할 수 있을 것”이라고 강조했다.

특히 위협정보 기반 공격 표면 모니터링 관리에 쓰일 수 있는 요소 기술에 대해 상세히 설명해 관심을 끌었다.

요소기술로는 △Attack Graph 기반 공격 경로 시뮬레이션+MITRE ATT&CK △DGA(Domain Generation Algorithm) △유사도메인 검색을 통한 잠재적 피싱 도메인(Phishing Domain) 발견 △Crawling+Banner info. Handling+OCR 등이 속한다.

여기서 ‘DGA’는 도메인 이름을 생성하는 알고리즘을 의미하며 주로 악성코드에 DGA가 내장돼 임의의 도메인을 생성한다. 생성된 도메인은 C&C 서버와 통신하는 지점이 되며 매우 많은 도메인 이름을 생성하기 때문에 효율적인 도메인 차단이 힘들고 악성코드는 C&C 서버를 통해 계속해서 업데이트되고 공격명령을 수신할 수 있다.

방어자는 악성코드 분석을 통해 해당 도메인 리스트를 확보할 수 있으며 이를 차단할 수 있다. 악성 도메인이 막힐 경우 공격자는 새로운 도메인이 삽입된 악성코드 변종을 유포하고 새로운 도메인에 대한 C&C 서버를 구축하게 된다.

김 교수는 DGA 탐지 및 해결 방안에 대해 설명하며 “블랙리스트로 차단하는 방법에는 한계점이 존재한다. 공공 블랙리스트의 경우, 차단 도메인의 범위가 적고, 밴더사 블랙리스트의 경우는, 기업마다 차단 도메인이 서로 달라 통일성이 없다”며 “최근 딥러닝 기계학습과 빅데이터를 통한 DGA 탐지 방법이 연구되고 있다”고 설명했다.

이어 유사도메인 검색을 통한 잠재적 피싱 도메인 검출 방안에 대해서도 소개했다.

전세계의 모든 도메인 네임 리스트를 대상으로 유사 도메인을 검색하고 검출된 도메인들의 현재 리스크 스코어(평판 스코어)를 검색하는 방법이다. 단, 현재는 리스크 스코어가 낮은 악성 도메인도 존재한다. 도메인 확보를 먼저 해두고 공격 착수에는 들어가지 않은 파킹 상태에 있는 도메인을 말한다.

김 교수는 AI.Spera ‘RMR’ 플랫폼을 활용해 유사도메인 검색을 통한 잠재적 피싱 도메인 검출 사례를 직접 보여줬다.

또 크롤링, 배너정보, OCR(이미지 내에서 문자열 인식하는 AI∙패턴인식 기술로 다국어 문자열 인식이 중요) 등을 활용한 AI.Spera ‘Criminal IP’ 서비스로 악성 IP를 분류해 내고 이를 조직의 위협 정보 및 공격 표면 관리에 활용한 사례를 들었다.

다음은 김휘강 교수의 AIS 2021 강연영상이다. 보다 상세한 내용은 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★