AI를 사용한 사이버 보안의 새로운 시대: 2024년 예측
최근 몇 년간 인공 지능(AI)이 사이버 보안의 중요한 화두로 떠오른 가운데, 2023년은 특히 대규모 언어 모델(LLM)이 광범위하게 도입된 흥미로운 한 해였습니다. 사실, LLM은 이미 사이버 보안의 전체 환경을 변화시키기 시작했습니다. 그러나 동시에 전례 없는 문제를 초래하고 있기도 합니다.
LLM을 통해 대규모 정보를 쉽게 처리하고 누구나 AI를 쉽게 활용할 수 있습니다. 이는 취약점 관리, 공격 예방, 알림 처리, 인시던트 대응을 위한 엄청난 효율성, 인텔리전스, 확장성을 제공합니다.
반면, 공격자 또한 LLM을 활용하여 더 효율적인 공격을 수행하고, LLM으로 인해 추가로 발생하는 취약점을 익스플로잇할 수 있으며, LLM을 오용할 경우 AI가 어디서나 사용된다는 점으로 인한 의도치 않은 데이터 유출과 같은 더 많은 사이버 보안 문제가 발생할 수 있습니다.
LLM의 구축을 위해서는 사이버 보안에 대한 새로운 사고 방식이 필요합니다. 바로 더 동적이고 대화형이며 맞춤화된 사고 방식입니다. 하드웨어 제품을 사용하던 시기에는 하드웨어의 새로운 차기 버전으로 교체할 시점이 되었을 때만 하드웨어를 변경했습니다. 클라우드 시대에는 소프트웨어를 업데이트하고 고객 데이터를 수집 및 분석하여 차기 버전의 소프트웨어를 향상할 수 있었지만 이는 새로운 버전 또는 패치가 출시된 경우에만 그러했습니다.
이제, AI의 새로운 시대에는 고객이 사용하는 모델이 자체적인 인텔리전스를 보유하고, 학습을 지속하며, 고객 사용에 맞게 변경되어 고객에게 더 우수한 서비스를 제공하거나 잘못된 방향으로 왜곡될 수 있습니다. 따라서 우리는 반드시 안전한 모델을 구축하고 학습 데이터가 포이즈닝되는 것을 예방하기 위해 설계 단계에서부터 보안을 구축해야 하고, LLM 시스템 구축 이후 안전, 보안, 윤리를 위해 이에 대한 평가와 모니터링을 계속해 나가야 합니다.
가장 중요한 것은, 보안 시스템에 내장형 인텔리전스를 갖추어(어린이들에게 행동을 규제만 하기보다 올바른 도덕 기준을 심어주는 것처럼) 악의적인 입력으로 인해 쉽게 어긋나지 않고 올바르고 확고한 판단을 내리는 데 적응할 수 있도록 해야 합니다.
좋은 쪽이든 나쁜 쪽이든, LLM은 사이버 보안에 어떤 영향을 미쳤을까요? 지난 몇 년간 우리가 얻은 교훈과 2024년에 대한 제 예측을 알려드리겠습니다.
2023년을 돌아보며
1년 전(LLM의 시대가 도래하기 전) 제가 The Future of Machine Learning in Cybersecurity를 저술했을 당시 저는 사이버 보안에서 AI가 가진 세 가지 고유한 문제인 정확성, 데이터 부족 및 실측 자료의 부족과, 세 가지 일반적인 AI 문제이지만 사이버 보안에서는 그 심각성이 더 높은 문제인 설명 가능성, 인재 부족 및 AI 보안을 지적한 바 있습니다.
이제 수많은 탐구를 거쳐 1년이 지난 지금, 우리는 여섯 가지 영역 중 데이터 부족, 실측 자료의 부족, 설명 가능성 및 인재 부족이라는 네 가지 영역에서 LLM이 큰 도움이 된다는 것을 확인했습니다. 나머지 두 가지 영역인 정확성과 AI 보안은 매우 중요하면서도 여전히 매우 어려운 문제입니다.
사이버 보안에서의 LLM 사용이 갖는 가장 큰 이점을 다음 두 가지 영역으로 요약해 보겠습니다.
1. 데이터
레이블이 지정된 데이터
LLM의 사용은 "레이블이 지정된 데이터"가 충분하지 못한 문제를 극복하는 데 도움을 주었습니다.
고품질의 레이블이 지정된 데이터는 AI 모델과 예측이 사이버 보안 사용 사례에서 더 정확하고 적절할 수 있도록 하기 위해 반드시 필요합니다. 그러나 이러한 데이터를 보유하는 것은 어렵습니다. 예를 들어, 공격 데이터에 대해 파악할 수 있는 멀웨어 샘플을 발견하는 것은 어려운 일입니다. 침해를 겪은 조직은 해당 정보를 공유하는 데 소극적입니다.
LLM은 초기 데이터를 수집하고 기존의 실제 데이터를 바탕으로 데이터를 합성하고, 이를 확장하여 공격 소스, 벡터, 방법, 의도에 대한 새로운 데이터를 생성하는 데 유용합니다. 이후 해당 정보는 현장 데이터로 제한되지 않고 새로운 탐지를 목적으로 구축하는 데 사용됩니다.
실측 자료
1년 전 제 글에서 언급한 바와 같이, 우리가 사이버 보안에 대한 실측 자료를 항상 보유하는 것은 아닙니다. 우리는 LLM을 사용하여 우리가 탐지한 것과 여러 멀웨어 데이터베이스에서 간극을 발견하여 미탐(False Negative) 비율을 줄이고 모델을 자주 재교육함으로써 실측 자료를 크게 개선할 수 있습니다.
2. 도구
LLM은 더 쉽고 사용자 친화적이며 실행 가능한 사이버 보안 운영을 만드는 데 탁월합니다. 지금까지 LLM이 사이버 보안에 미친 가장 큰 영향을 미친 분야는 바로 보안 운영 센터(SOC)입니다.
예를 들어, LLM을 사용한 SOC 자동화의 핵심 기능은 함수 호출로, 이는 자연어 지시를 SOC를 직접 운영할 수 있는 API 호출로 변환하는 데 도움을 줍니다. 또한 LLM은 보안 애널리스트가 알림과 인시던트 대응을 더 지능적이고 신속하게 처리하는 데 도움이 됩니다. 우리는 LLM을 통해 사용자에게서 자연어 명령을 직접 받아 정교한 사이버 보안 도구를 통합할 수 있습니다.
설명 가능성
이전의 머신 러닝 모델은 우수한 기능을 수행했지만 "왜?"라는 질문에는 답할 수 없었습니다. LLM은 정확성과 확신을 가지고 이유를 설명하여 위협 탐지와 리스크 평가를 근본적으로 변화시킴으로써 판도를 바꿀 수 있는 가능성을 가지고 있습니다.
대량의 정보를 빠르게 분석할 수 있는 LLM의 기능은 다양한 도구 데이터, 즉 이벤트, 로그, 멀웨어 제품군 이름, CVE(Common Vulnerabilities and Exposures) 정보, 내부 및 외부 데이터베이스 등을 상호 연관시키는 데 유용합니다. 이는 알림이나 인시던트의 근본 원인을 찾는 데 도움이 되는 것은 물론, 인시던트 관리를 위한 평균 해결 시간(MTTR)을 대폭 감소시켜 줍니다.
인재 부족
사이버 보안 산업은 마이너스 실업률을 기록하고 있습니다. 전문가가 부족한 상황이며 사람의 힘만으로는 엄청난 양의 알림을 감당할 수 없습니다. LLM은 대용량의 정보를 빠르게 구성 및 파악하고, 자연어 명령을 이해하고, 이를 필요한 단계로 세분화하고, 작업을 실행할 적절한 도구를 찾을 수 있다는 이점을 통해 보안 애널리스트의 워크로드를 대폭 줄여 줍니다.
분야별 전문 지식 및 데이터 획득부터 새로운 샘플과 멀웨어의 심층 분석까지, LLM은 새로운 멀웨어를 식별하고 분석하여 악성 행위자를 파악하는 작업에 이르기까지 자동으로 작업을 수행할 수 있게 해 주는 새로운 탐지 도구를 보다 빠르고 효과적으로 구축할 수 있도록 지원합니다.
또한 모든 사람이 사이버 보안 전문가나 AI 전문가가 되지 않고도 사이버 보안에서 AI를 활용하는 데 따르는 이점을 얻을 수 있도록 AI 인프라를 위한 올바른 도구를 구축해야 합니다.
2024년 세 가지 예측
사이버 보안에서 AI 사용이 증가하는 것과 관련하여, 새로운 시대가 시작되고 있는 것은 분명한 사실이며, 이는 "하키 스틱" 성장이라고도 하는 기간의 초기 단계라 할 수 있습니다. 보안 태세를 향상할 수 있는 LLM에 대해 더 많은 것을 배울수록, AI를 최대한 활용하여 시대와 공격자를 앞서 나갈 가능성 또한 더 커집니다.
복잡성 및 확대되는 공격 벡터에 대항력을 크게 높여주는 AI의 사용 증가와 관련하여 사이버 보안 부분에서 논의할 만한 분야는 많지만 그 중에서도 눈에 띄는 세 가지는 다음과 같습니다.
1. 모델
AI 모델은 사이버 보안의 요구 사항에 바탕을 둔 심층적인 분야별 전문 지식을 생성하는 데 큰 발전을 가져다 줄 것입니다.
지난 한 해 동안 일반 LLM 모델을 발전시키는 데 많은 관심이 집중되었습니다. 연구원들은 모델의 지능성과 속도 및 경제성을 높이는 데 많은 노력을 기울였습니다. 그러나 이러한 범용 모델이 제공할 수 있는 기능과 사이버 보안이 필요로 하는 기능 사이에는 큰 격차가 존재합니다.
특히 우리 업계의 경우 "에그 플로렌틴 만드는 법"이나 "미 대륙을 발견한 사람"과 같은 다양한 질문에 답하는 거대 모델은 딱히 필요하지 않습니다. 대신 사이버 보안에는 사이버 보안 위협, 프로세스 등에 대한 심층적인 분야별 전문 지식을 가진 초정밀 모델이 필요합니다.
사이버 보안에서 정확성은 매우 중요합니다. 예를 들어, Palo Alto Networks는 전 세계 SOC에서 매일 75TB 이상의 데이터를 처리합니다. 탐지 분석이 단 0.01%라도 잘못되면 치명적인 결과로 이어질 수 있습니다. 우리는 고객의 보안 요구 사항에 초점을 둔 맞춤형 서비스를 제공할 수 있도록 풍부한 보안 배경과 지식을 가진 초정밀 AI가 필요합니다. 다시 말해, 이러한 모델은 소수의 특정 작업을 훨씬 더 높은 정밀도로 수행해야 합니다.
엔지니어들은 더 많은 수직 산업 및 전문 분야별 지식을 갖춘 모델을 생성하는 데 큰 진전을 이루고 있으며, 2024년에는 사이버 보안 중심 LLM이 새롭게 부상할 것이라 확신합니다.
2. 사용 사례
사이버 보안에서 LLM의 혁신적 사용 사례가 새롭게 부상할 것으로 보입니다. 이에 따라 LLM은 사이버 보안에 없어서는 안될 요소가 될 것입니다.
2023년에는 모두가 LLM의 놀라운 기능에 큰 관심을 보였습니다. 사람들은 이 "망치"를 사용하여 온갖 "못"을 박는 시도를 했습니다.
2024년에는 모든 사용 사례가 LLM에 적합하지는 않다는 것을 알게 될 것입니다. 우리는 LLM의 강점에 잘 맞는 특정 작업에 특화된 실제 LLM 지원 사이버 보안 제품을 갖게 될 것입니다. 이를 통해 효율을 높이고 생산성을 향상하고 사용 용이성을 높이고 실제 문제를 해결하며 고객을 위해 비용을 낮출 수 있게 됩니다.
엔드포인트 보안 어플라이언스 구성, 성능 문제 해결, 적절한 보안 자격 증명과 권한을 적용하여 신규 사용자 온보딩, 공급업체별 보안 아키텍처 설계 분석과 같은 보안 문제에 대한 수천 개의 플레이북을 읽을 수 있다고 상상해 보세요.
확장 가능하고 신속한 방식으로 적절한 정보를 소비, 요약, 분석, 생산하는 LLM의 기능은 보안 운영 센터를 변화시키고 보안 전문가를 배치하는 방법, 위치, 시기에 대한 혁신을 가져올 것입니다.
3. AI 보안 및 안전
사이버 보안 목적으로 AI를 사용하는 것 외에도, AI 모델의 인텔리전스를 위태롭게 하지 않으면서 안전한 AI 및 안전한 AI 사용 사례를 구축하는 방법 역시 중요한 문제입니다. 이미 이 주제에 관한 수많은 논의와 주목할 만한 성과가 있었습니다. 2024년에는 실제 솔루션이 구축될 것이며, 비록 예비 단계일지라도 올바른 방향으로 나아가는 단계가 될 것입니다. 또한 AI 시스템의 보안과 안전을 동적으로 평가하려면 지능형 평가 프레임워크를 구축해야 합니다.
하지만 악성 행위자도 LLM을 이용할 수 있다는 사실을 기억해야 합니다. 예를 들어, 해커는 LLM을 사용하여 훨씬 더 많은 수의 고품질 피싱 이메일을 쉽게 생성할 수 있습니다. 이들은 LLM을 활용하여 새로운 멀웨어를 만들 수도 있습니다. 그러나 업계는 LLM의 사용에 있어 더 협력적이고 전략적으로 대처하며 악성 행위자를 앞서 나가고 있습니다.
2023년 10월 30일, 미국 대통령 Joseph Biden은 AI 기술, 제품 및 도구의 책임 있고 적절한 사용에 관한 행정 명령을 발표했습니다. 이 명령의 목적은 AI 공급업체의 솔루션이 악의적인 목적이 아닌 적절한 용도로 사용되도록 보장하기 위해 필요한 모든 조치를 취해야 할 필요성에 대해 언급하는 것입니다.
AI 보안 및 안전은 실질적인 위협을 내포하고 있습니다. 우리는 이 사실을 심각하게 받아들이고 해커가 우리의 방어를 무력화하기 위한 엔지니어링을 이미 구축하고 있다고 여겨야 합니다. AI 모델이 이미 광범위하게 사용되고 있다는 단순한 사실은 공격 표면과 위협 벡터가 대폭 확대되는 결과로 이어졌습니다.
이것은 매우 역동적인 분야입니다. AI 모델의 발전은 매일 이루어지고 있습니다. AI 솔루션이 구축된 후에도 모델은 끊임없이 진화하며 멈추지 않을 것입니다. 따라서 지속적인 평가, 모니터링, 보호 및 개선이 반드시 필요합니다.
점점 더 많은 공격에 AI가 사용될 것입니다. 업계에서는 안전한 AI 프레임워크의 개발을 최우선 과제로 삼아야 합니다. 그러려면 공급업체, 기업, 학술 기관, 정책 입안자, 규제 기관 등 전체 기술 에코시스템의 협력을 필요로 하는 야심차고 혁신적인 계획을 진행해야 합니다. 이는 분명 어려운 일이 되겠지만 우리 모두에게 얼마나 중요한 일인지 인식하고 계실 것이라고 생각합니다.
결론: 최고의 순간은 아직 오지 않았습니다
어떤 점에서 ChatGPT 등과 같은 범용 AI 모델의 성공으로 인해 우리가 사이버 보안에 대해 다소 낙관하는 마음을 갖게 된 면이 있습니다. 우리 모두는 우리가 LLM이 더욱 사이버 보안 중심적이 될 수 있도록 LLM을 빌드, 테스트, 구축하고 끊임없이 개선할 수 있기를 희망했지만, 사이버 보안은 AI를 적용하기에 매우 독특하고 전문적이며 까다로운 영역임을 깨닫게 되었습니다. 성과를 거두려면 데이터, 도구, 모델, 사용 사례라는 네 가지 중요한 측면을 제대로 다루어야 합니다.
좋은 소식은 우리가 성능, 인텔리전스, 사용 편의성, 그리고 무엇보다도 사이버 보안 관련성을 결합한 보다 정확한 시스템을 개발해야 하는 이유를 이해할 비전을 가진 스마트하고 결단력 있는 많은 사람들과 함께 할 수 있다는 점입니다.
저는 운 좋게도 오랫동안 이 분야에서 일했으며, Palo Alto Networks 내부의 동료들과 우리 주변 업계의 동료들이 매일 이루어 가는 발전이 언제나 기쁘고 만족스럽습니다.
앞날을 내다보는 예측가의 입장에서 보면, 절대적인 확신 가운데 미래에 대해 많은 것을 알기란 어렵습니다. 그러나 다음 두 가지는 확실히 알고 있습니다.
- 2024년은 사이버 보안 분야에 AI를 활용함에 있어 기념비적인 한 해가 될 것입니다.
- 하지만 2024년은 앞으로 다가올 미래와 비교하면 그다지 놀라운 해는 아닐 것입니다.
Dr. May Wang은 Palo Alto Networks IoT Security 사업부 CTO입니다.