컴퓨터 백신, 인공지능(AI)으로 달라질까


악성코드 구별하던 '패턴' 사용 최소화, 오탐은 한계

[김국배기자] 컴퓨터 백신이 인공지능(AI)을 만나 달라지고 있다. AI가 기존 백신이 가진 한계점을 얼만큼 보완해줄 수 있을지 주목된다.

12일 정보보안 업계에 따르면 AI의 한 분야인 머신러닝(기계학습) 기술을 적용한 이른바 '차세대 백신' 솔루션들이 등장하고 있다.

미국 사이버보안 회사인 인빈시아, 크라우드스트라이크의 차세대 백신은 이미 해외에서 인기를 얻고 있는 것으로 알려진다. 러시아의 카스퍼스키랩 등 전통의 강호들도 머신러닝 기법을 써 백신 제품 기능을 강화하고 있다.

실제로 카스퍼스키랩은 클라우드 기반 악성코드 데이터베이스(DB)에 100억 개의 악성코드를 등록했는데 이중 20%를 머신러닝 기반 악성코드 탐지시스템 '아스트라이아'로 발견했다.

여기에 최근엔 국내 보안 회사인 세인트시큐리티까지 차세대 백신 솔루션인 '맥스(MAX)'를 개발하고 내년 1월 제품 출시를 계획하고 있는 상태다.

◆패턴 없는 백신?

기존 백신의 원리는 간단하다. 기본적으로 '이런 건 악성코드'라고 사전에 패턴을 정의해 놓고 일치하는 악성코드를 탐지, 차단하는 것이다. 백신이 수시로 패턴 업데이트를 해야 하는 이유도 이 때문이다. 즉, 패턴이 없으면 '총알 없는 총'과 마찬가지인 셈이다.

문제는 매일 발생하는 엄청난 수의 악성코드를 사람이 모두 분석해 대응하기는 불가능에 가깝다는 점. 또 악성코드 패턴의 '모양'이 조금만 달라져도 탐지하지 못하는 경우도 적지 않다.

차세대 백신이라 불리는 제품들의 가장 큰 특징은 머신러닝 기술을 활용해 데이터를 학습하는 대신 '패턴'을 쓰지 않거나 가능한 한 적게 사용한다는 점이다.

악성코드 분석사이트 바이러스토탈 기준 인빈시아, 크라우드스트라이크의 차세대 백신은 악성코드 탐지율이 96~ 98%에 이른다. 게다가 차세대 백신들은 대체로 용량이 작아 컴퓨터 메모리를 크게 차지하지 않는 데다 기존 안티바이러스처럼 업데이트가 자주 일어나지도 않는다.

김기홍 세인트시큐리티 대표는 "기존 안티 바이러스는 많게는 한 시간에 한번씩 패턴 업데이트를 한다"며 "패턴 업데이트가 안 되거나 제한적이면 악성코드를 탐지하지 못하는 경우가 많다"고 설명했다.

이어 "차세대 백신은 보통 한 달에 한 번, 길면 분기에 한 번만 업데이트가 이뤄진다"고 덧붙였다.

◆기존 백신과 병행 사용 가능, '오탐'은 극복 과제

그러나 아직까지는 기술적 한계도 명확하다. 악성코드 탐지율은 상당히 높은 편이긴 하지만 오탐(정상파일을 악성코드로 구별)이 많다는 게 문제다. 이 때문에 현업에서 바로 적용하기란 쉽지 않다는 얘기가 나온다.

세인트시큐리티가 내놓은 맥스의 경우에도 인터넷뱅킹 보안 솔루션을 악성코드로 구별하기도 한다.

이에 대해 김기홍 대표는 "기존 안티 바이러스와 함께 병행해 사용하는 것은 충분히 검토해 볼만 하다"며 "백신을 2개 설치하는 것은 어렵지만, 차세대 백신은 가볍기 때문에 '크로스 체크'용으로 설치해 운영해볼 수 있을 것"이라고 말했다.

한 악성코드 분석 전문가는 "진단율은 잘 나오지만 문제는 일정 수준의 오진율을 낮추는 게 힘들다는 점”이라며 "또 머신러닝 기법을 쓴다고 전혀 새로운 악성코드를 진단할 순 없다"고 말했다.

다만 "머신러닝은 사람이 단순 반복적으로 하는 부분을 대체해 줄 것"이라며 "분석가의 경험과 능력에 악성코드 분류가 달라지는데 머신러닝은 데이터만 올바르면 정확한 분류가 가능할 것"이라고 부연했다.

김국배기자 vermeer@inews24.com







포토뉴스