[디지털투데이 황치규 기자]지난해말 한국인터넷진흥원(KISA)과 과학기술정보통신부가 개최한 사이버보안 인공지능(AI)·빅데이터 활용 경진대회 2021’에서 4명으로 구성된 FKC팀은 우수상을 받았다.
AI나 빅데이터 하면 나름 경험이 필요할거 같은데, KFC팀에는 안랩 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center) 분석팀 소속 신입 사원인 권혁준 연구원도 이름을 올려 눈길을 끈다.
권 연구원이 현재 안랩 ASEC 분석팀에서 하는 일은 실시간으로 수집되는 수많은 샘플들을 분석해 정상과 악성을 구분하는 것이다. 악성이라고 판단되는 샘플들은 그에 맞는 조치를 취해 이를 엔진에 반영하고, ASEC블로그로 분석 내용을 공유한다.
권 연구원은 정보보안 동아리에서 만난 선배 3명과 함께 대회에 참가했다. FKC팀은 금융보안원이 재직중인 채희수씨가 팀장을 맡았고 이종엽 씨(금융보안원), 조현규씨(코스콤)가 팀원으로 함께했다.
권 연구원이 보안 관련 분석에 관심을 갖게 된 것은 첫 직장인 안랩 입사 전으로 거슬러 올라간다. 학생때부터 보안 관련 분석에 관심을 갖고 동아리 활동에 적극 참여했다.
권 연구원은 "처음 정보보안을 배우며 리버싱(Reversing), 웹 해킹, 시스템 해킹 등 세 가지 분야에 대한 과제를 수행했는데, 특히 리버싱 첫 과제에서 문제를 해결하는 방식을 접하면서 큰 흥미를 느꼈고 악성코드 분석 직무에 도전하게 됐다"면서 "분석을 기반으로 악성코드 의도와 행위를 파악했을 때, 공격자들을 간파한 듯한 쾌감을 느낄 수 있다는 점이 분석업무의 매력"이라고 말했다.
어려운 문제를 풀었을 때의 짜릿함은 지난 경진대회에서도 경험했다.
FKC팀은 대회에서 많은 로그데이터 중 정답(악성) 데이터를 찾아내는 과제를 부여 받았다.
수행 과정에서 정답 데이터로 추정되는 로그 데이터가 기존에 주어진 정답 개수보다 많이 존재하는 문제가 발생했고, 유사한 데이터 중 정확하게 정답 데이터를 식별하는 과정이 필요했다.
권 연구원은 "명확한 정답 근거를 찾기 위해 데이터를 분석했고 노력 끝에 파일 삭제 이벤트와 관련된 확실한 데이터의 특성을 발견할 수 있었다. 해당 데이터가 정답으로 인정되었을 때 굉장히 뿌듯했다"고 전했다.
KFC팀은 대회 과정에서 MITRE 침해 지표(Indicators of Compromise: IOC)를 기반으로 위협 유형을 정의하고, 유효한 데이터 피처를 추출하기 위해 공을 들였다. 이후, ELK를 활용해 커맨드라인(CMDline), 이벤트 ID, PID(Process ID), 호스트(Host) 정보를 기준으로 데이터를 시각화했다.
권 연구원은 "분류된 1차 데이터를 앞서 언급한 다양한 데이터 피처를 활용해 상관관계를 분석하고 이벤트타임(Event Time)과 같은 데이터 피처를 활용해 실제 공격으로 분류하기에 적합한지 검증하는 방식으로 탐지가 이뤄졌다"고 전했다.
이어 "대회를 통해 로그데이터를 기반으로 위협유형별 악성행위를 구체적으로 파악하는 법을 배웠다. 악성코드 다운로드부터 실질적인 악성행위 및 전파까지 일련의 공격 과정을 MITRE 침해지표를 기반으로 확인해보는 과정을 경험했다"면서 "이러한 경험이 분석 직무를 수행하며 샘플 분석 시에 어떠한 행위를 집중적으로 봐야하는지 파악하는데 큰 도움이 될 것이다"고 덧붙였다.
앞서 언급했듯 보안 분석은 나름의 내공과 경험을 필요로 하는 영역이다. 권 연구원도 대학생때부터 보안 분석 전문가가 되기 위해 나름 시간을 투입했다. 그는 "해킹방어대회인 CTF(Capture The Flag)를 비롯해 여러 유형 정보보안 대회에 참가도 해보고, 모의 해킹도 해봤다. BoB(차세대 보안 리더 양성 프로그램)와 같은 정보보안 대외활동에도 적극 참가했다"고 전했다.
권 연구원은 앞으로 보안 분야에서 AI가 갖는 전략적 가치는 빠르게 커질 것으로 보고 있다.
그는 "AI는 공격과 방어 양측에게 가장 강력한 무기 중 하나가 될 것이다. 방어 측면에 특화된 도구로 사용되었으면 좋겠지만, 공격자들도 우리가 가지고 있는 무기를 연구해 새로운 형태 공격을 하기 위해 노력할 것"이라며 "얼마나 양질의 데이터를 수집하고 경제적으로 운영하고 활용할지에 대한 고민이 필요하다"고 말했다.
대회를 통해 AI를 어떻게 하면 보다 잘 활용할 수 있을지에 대한 생각도 하게 됐다. 그는 "대회 도중 데이터 규모와 특징에 따라 정확성이 달라지는 것을 보면서, AI 활용도를 극대화하기 위해서는 공격적인 데이터 디자인과 지속적인 AI모델 튜닝이 필요하다는 점을 느꼈다"면서 "관련 분야 개발자와 보안 전문가들이 데이터 디자인 및 AI모델 튜닝에 관한 논의와 연구를 지속해나갈 필요가 있다고 생각한다"고 말했다.