사이버 보안의 AI: 허상을 극복하고 문제 해결하기
AI란 무엇이며, AI가 지양해야 할 점은 무엇인가
근본적으로 AI는 지능을 모방하는 방식으로 데이터세트와 상호 작용하도록 설계된 일종의 알고리즘입니다. 알고리즘이 더 복잡해지고 집중화되면서 외견상으로 인간과 유사한 언어 생성, 예술품 창작, 그리고 인간을 초월한 패턴 인식 등 시사하는 바가 많은 일부 결과물을 생산하기도 합니다. 주의점이자 결과적으로 AI가 지양해야 할 것은 바로 "외견상"입니다. 언어 생성 도구의 예를 들어보겠습니다. 사실상 언어 생성 도구는 일반적으로 웹에서 이전에 만들어진 텍스트에 대한 대규모 확률 매핑이며, 그 후 각각의 새로운 단어나 문구가 방금 생성된 이전 단어나 문구 뒤에 올 확률을 기반으로 사용자가 제공한 프롬프트와 관련하여 텍스트를 생성합니다. 이러한 확률 생성 접근 방식이 효과가 뛰어난 것처럼 보이지만 이는 자유로운 사고라 할 수 없으며, 복수 응답 확률이 높으면서도 올바른 경로가 하나뿐인 경우 함정이 존재할 수 있습니다. 기업이 AI를 제대로 활용할 수 있도록 AI를 작동시키는 것이 무엇인지 반드시 기억해야 합니다. 도구의 효과는 사용하는 방식에 따라 달라집니다.
사이버 보안에서 AI가 중요한 이유
AI 알고리즘이 주어진 데이터세트의 확률 매핑을 생성한 다음 동일한 방식을 통해 확률적으로 무엇을 생성할 수 있는지 결정하고, 이를 악성 도구 및 동작과 양성 도구 및 동작의 개념과 데이터세트에 적용할 수 있다는 기본 개념을 살펴보면, 해당 특정 이벤트가 이전에 본 적이 없는 것이라도 파일, 트래픽 패턴 또는 동작이 얼마나 악의적인지 결정할 수 있는 능력을 갖출 수 있는 엄청난 기회가 발생하기 시작합니다. 이 목표를 달성하는 데에는 몇 가지 중요한 문제가 있으며 AI가 사이버 보안 성과를 개선하려면 이러한 문제를 해결해야 합니다.
직면하는 주요 문제: 사이버 보안 구현에서의 성공적인 AI를 위한 경로
- 문제 1: 데이터 및 알고리즘: AI가 가진 힘의 기반과 잠재적 함정
AI의 우수성은 사용되는 알고리즘과 훈련되는 데이터에 의해 좌우됩니다. 알고리즘이 악의적인 활동의 지표인 매개변수에 대한 데이터세트를 매핑하지 않을 경우, 세상의 모든 데이터가 중요하지 않게 되며 악성 이벤트가 탐지되지 않은 채 통과됩니다. 이와 반대로, 적절한 알고리즘에 충분한 데이터가 주어지지 않고 적절한 품질을 갖추지 않을 경우 매핑은 충분히 높은 수준의 확률 분포를 생성할 수 없으며, 알고리즘이 잘못된 결론에 도달할 경우 잘못된 이벤트(긍정적 및 부정적 모두)가 발생하게 됩니다. - 문제 2: 난독화: 블랙박스를 신뢰할 수 있는가?
일부 공급업체는 자사의 AI 모델이 "블랙박스"로 작동하게 만들어 알고리즘과 의사 결정 프로세스를 난독화합니다. 이러한 가시성 부족은 문제를 초래할 수 있으며, AI가 특정 이벤트를 의심스러운 것으로 표시하는 이유를 이해하지 못하거나, 책임과 잠재적인 편견에 대한 우려가 제기될 수 있습니다. - 문제 3: 통합과 전문 지식: 플러그 앤 플레이의 판타지를 넘어
AI 솔루션은 플러그 앤 플레이 특효약이 아닙니다. 결과물을 효과적으로 해석하고 활용하기 위해서는 기존 보안 인프라와의 통합 및 전문 지식이 필요합니다. 보안팀은 AI의 작동 방식과 한계를 이해하고 해당 인사이트를 전반적인 보안 태세에 가장 우수하게 통합하는 방법을 알아야 합니다.
어려움 극복: 오해 해소하기
문제와 더불어, 사이버 보안에서 AI에 대한 인식을 흐리게 만드는 몇 가지 오해가 있습니다.
- 오해 1: AI는 모든 사이버 보안 도구를 자동으로 개선:
많은 사이버 보안 공급업체는 분명 이를 사실이라 여기기를 바라겠지만, 현실의 많은 AI 알고리즘이 요구 사항에 맞지 않습니다. 예술품 창작의 예를 보면 잘못된 알고리즘을 사용할 경우 나쁜 결과로 이어질 수 있음을 알 수 있습니다. - 오해 2: 솔루션 획일화:
다양한 AI 솔루션은 다양한 요구 사항을 충족합니다. 특정 요구 사항을 이해하고 적절한 도구를 선택하는 것은 성공적인 구현을 위해 매우 중요합니다. - 오해 3: 침해할 수 없는 보안
여느 기술과 마찬가지로 AI는 공격에 취약합니다. AI 시스템의 지속적인 모니터링과 조정은 효과를 유지하는 데 매우 중요합니다.
과거에는 효과가 없었던 이유
악성 파일의 단순한 패턴을 인식하도록 구축된 모델과 같이 어떤 점에서는 효과가 있었습니다. 이러한 패턴 매칭 모델 기술은 AI의 기본 정의에 부합하며 최초 IDS/IPS 엔진의 근본이었으나, 보안이 해결하고자 하는 문제를 해결할 만큼 강력하거나 "지능적"이지 않습니다. 적합한 모델을 보유해야 하며, 무엇보다 이 모델을 구축 및 개선하기 위한 전문 지식을 갖추는 것이 중요합니다. "전체 인터넷"을 확률적으로 매핑할 수 있는 모델을 구축하는 것은 결코 쉬운 일이 아니며, 악의적인 활동과 양성 활동을 모델링하는 경우에도 마찬가지입니다. 뿐만 아니라, 앞서 첫 번째 문제에서 논의한 바와 같이, 이 모델에 공급해야 하는 데이터는 대규모여야 하며, 동시에("전체 인터넷"을 사용하는 LLM과 매우 유사) 적절하게 분류하고 필터링해야 합니다.
사이버 보안 프로그램에 AI를 도입할 때 경영진이 고려해야 할 사항
사이버 보안에서의 AI는 매우 강력하지만 적절한 처리가 필요합니다. 일반 AI를 도입하는 것은 위협 환경에 대한 지식이 충분하지 않으며 기업에서 자체적으로 모델을 훈련시켜야 하기 때문에 극도로 복잡한 컴퓨팅 집약적 작업이 될 수 있습니다. 깊이 있는 검토를 통해 사이버 보안 공급업체의 제품 라인에 대한 AI 통합을 평가하는 것을 권장합니다. 공급업체에서 알고리즘의 작동 방식, 훈련 방식, 데이터의 종류를 설명하지 못할 경우, 문제 발생 가능성으로 인해 공급업체가 해결해야 한다고 주장하는 것보다 더 많은 리스크가 초래될 수 있습니다.