구글의 알파고와 이세돌 9단의 바둑 대결은 인공지능이 더 이상 먼 미래에 일이 아님을 보여주었다. 또한 IT 업계의 거물들은 미래 성장 성장 동력으로 ‘인공지능(Artificial Intelligence)’을 정조준하고 있으며, 여러 분야에서 이를 구현한 사례들을 속속 선보이고 있다.

월간’안’에서는 인공지능을 구현하기 접근 방식 중의 하나인 머신 러닝(Machine Learning)이 무엇이며, 보안 분야에서 머신 러닝이 왜 필요한지에 대해 2회에 걸쳐 소개하고자 한다.

[연재 목차]
1부_머신 러닝이란 (2017년 2월호)
2부_왜 보안 분야에 머신 러닝이 필요한가 (이번 호)

지난 호에서는 머신 러닝이 무엇이며, 머신 러닝을 의미 있게 수행하기 위한 고려 사항에 대해 알아보았다. 이번 호에서는 보안 위협을 대비하기 위해 머신 러닝이 왜 필요한지, 그리고 안랩이 머신 러닝을 어떻게 적용하고 있는지를 소개한다.

보안 시스템에 머신 러닝이 도입되어야 하는 이유

[그림 1]은 ASD(AhnLab Smart Defense) 인프라에 2,300일 동안 수집된 실행(Portable Executable) 파일의 개수를 누적 그래프로 나타낸 것이다. 녹색 선은 누적 수집된 개수이며, 붉은색 점선은 녹색 선에 대한 추세선이다.

[그림 1] ASD 인프라가 수집한 실행형 파일의 개수 (X축: 일, Y축: 개수, 단위: 백만)​

[그림 1]에서 n차 다항식으로 추세선을 작성한 경우 적은 오차로 작성이 가능했다. 즉, n차 다항식으로 표현되기 때문에 오늘의 유입 증가량은 어제의 유입 증가량보다 더 많다는 것을 알 수 있다. 이는 악성코드 분석을 위한 인적, 물적 시스템이 이미 구축된 상태에서 최소 어제보다 더 많은 자원이 오늘 필요하며, 그 증가량이 시간이 지날수록 점점 더 늘어난다는 것을 의미한다. 만일 위 그래프에서, 4,000일까지의 경우를 추세선으로 예측하면 [그림 2]와 같다.

즉, n차 다항식으로 표현된 추세선은 결국 어느 순간 [그림 2]와 같이 매우 폭발적으로 증가하게 된다. [그림 2]에서 실제 누적 데이터 수를 보여주는 녹색선과 이에 대한 추세를 보여주는 붉은색선 사이의 간극으로 인해 오류가 발생할 수 밖에 없으므로, 위의 예측한 것과 같은 모양으로 수치에 도달하지 않을 수 있다. 하지만 중요한 것은 언젠가는 발생할 여지가 있다는 점이다. 운명의 날 즉, 둠스데이(Doom's day)가 우리를 기다리고 있다.

이와 같이 ‘어제 유입량보다 오늘 유입량이 더 많은’ 상황의 문제점은 현재의 패러다임으로 구성된 인적·물적 악성코드 분석 시스템이 과연 언제까지 버틸 수 있냐라는 것이다. 이를 해결하기 위해서는 물리적인 시스템을 최대한 투입하여 인적 자원을 지원하는 것이 더 효율적이다. 물리적인 시스템, 즉 기계적인 방식은 사람의 경험으로 직접 구성한 휴리스틱이 하나의 예라 할 수 있겠지만, 이것 또한 둠스데이 대비를 위해서는 적합하지 않다.

결론으로, “왜 보안 위협을 대처하기 위해 머신 러닝을 해야 하는가?”에 대한 대답은 [표 1]과 같이 정리된다. 즉, 머신 러닝은 아래의 요구 사항을 만족할 수 있는 여러 대안 중 하나로 선택 가능하다는 점이다.​

머신 러닝의 필요성을 알아봤다면, 이제 실제 안랩에서는 머신 러닝을 기술을 어떻게 적용했고, 그 결과를 간략하게 알아보자.

안랩의 머신 러닝 시스템

안랩에서는 2년여 동안 독자적으로 연구 개발한 머신 러닝 시스템을 운영하고 있다. 이 시스템의 전체 운영 과정은 [표 2]와 같다​.

우선, ASD 시스템을 통해 수집된 PE 파일을 가지고 머닝 러닝 학습 정보를 스캔하여 학습 데이터를 구축한다. 해당 데이터로 머신 러닝을 수행하는데, 이는 [표 2]의 A, B, 그리고 C 과정의 반복으로 구성된다.

이러한 안랩 머신 러닝 시스템을 통해 만들어진 엔진은 현재 지능형 위협 대응 시스템인 ‘안랩 MDS’ 에이전트에 적용되어 의심 파일 수집 기능에 활용되고 있다. 또한 향후 MDS 분석 장비까지 지원 범위를 확대하여 머신 러닝의 응용 기술을 지속적으로 확대할 예정이다.

글을 마치며