목차

1. 정의 및 설명
   1. 방어 관점: AI로 조직 보안 강화
   2. 공격 관점: AI를 악용한 사이버 위협
   3. AI의 예방적 기여
2. AI 보안의 이점
3. AI의 잠재적 취약성과 보안 위협
   1. 기술적
   2. 운영적
4. AI 보안 사용 사례
   1. 인증 및 접근 제어
   2. 위협 탐지 및 예방
   3. 네트워크 및 행위 분석
   4. AI 기반 보안 도구
5. 참고 문헌

---

AI와 보안

1. 정의 및 설명

1.1. 방어 관점: AI로 조직 보안 강화

일반적인 AI 보안 도구: ML, DL을 통해 트래픽 추세, 앱 사용, 검색 습관 및 기타 네트워크 활동 데이터를 포함한 방대한 양의 데이터를 분석한다. 이를 통해 패턴을 발견하고 보안 기준을 설정한다. 이를 벗어한 모든 활동은 즉시 이상 징후 및 잠재적인 사이버 위협으로 표시한다.

AI 보안 도구는 LLM(대규모 언어 모델)으로 대중화된 생성형 AI를 자주 사용해 보안 데이터를 일반 텍스트 권장 사항으로 변환해 보안 팀의 의사 결정을 간소화한다.

또한 위협 탐지 및 사고 대응을 크게 개선한다.

1.2. 공격 관점: AI를 악용한 사이버 위협

공격자가 AI를 사용해 기존 사이버 공격을 개선하거나 새로운 공격 표면을 어떻게 악용할 수 있는지에 중점을 둔다.

e.g. LLM은 공격자가 더욱 개인화되고 정교한 피싱 공격을 만드는 데 사용될 수 있다. 또한, 공급망 공격 및 적대적 공격과 같은 사이버 공격에 대한 새로운 기회를 제공한다.

1.3. AI의 예방적 기여

사이버 보안의 AI는 사이버 위협 인텔리전스를 강화해 보안 전문가가 다음을 수행할 수 있도록 지원한다.

1. 사이버 공격의 특성 검색
2. 방어 강화
3. 지문, 타이핑 스타일, 음성 패턴과 같은 데이터를 분석해 사용자 인증
4. 특정 사이버 공격자의 신원에 대한 단서 발견

2. AI 보안의 이점

사이버 보안을 강화하려면 현재는 인간의 개입이 필요하다. 그러나 시스템 모니터링과 같은 작업은 AI를 통해 자동화할 수 있다.

사이버 보안에서 AI 자동화의 이점은 다음과 같다:

1. 탐지 향상
   1. 향상된 위협 탐지: 대량의 데이터를 실시간으로 분석하여 잠재적인 사이버 위협을 탐지하는 속도와 정확성을 향상한다.
   2. 더 빠른 사고 대응: 보안 사고의 탐지, 조사 및 대응에 필요한 시간을 단축하여 조직이 보다 신속하게 위협을 해결하고 잠재적 피해를 줄일 수 있도록 지원한다.
2. 운영 효율성
   1. 운영 효율성 향상: 일상적인 작업을 자동화하여 보안 운영을 간소화하고 비용을 절감한다.
   2. 사이버 보안에 대한 사전 예방적 접근 방식: 조직은 과거 데이터를 사용하여 미래의 사이버 위협을 예측하고 취약성을 식별함으로써 사이버 보안에 대한 보다 사전 예방적 접근 방식을 취할 수 있다.
3. 학습과 적응
   1. 새로운 위협에 대한 이해: 새로운 데이터로부터 지속적으로 학습함으로써 새로운 위협에 적응하고 새로운 공격 방법에 대해 사이버 보안 방어를 최신 상태로 유지한다.
4. 사용자 및 규제 준수
   1. 사용자 환경 개선: 사용자 환경을 손상시키지 않으면서 보안 조치를 강화한다.
   2. 자동화된 규정 준수: 규정 준수 모니터링, 데이터 보호 및 보고를 자동화해 조직이 규정 요구 사항을 일관되게 충족할 수 있도록 지원한다.
5. 확장성 및 통합
   1. 확장성: 대규모의 복잡한 IT 환경을 보호하도록 확장할 수 있다. 또한 SIEM(보안 정보 및 이벤트 관리) 플랫폼과 같은 기존 사이버 보안 도구 및 인프라와 통합해 네트워크의 실시간 위협 인텔리전스 및 자동화된 대응 기능을 강화한다.

그림 1. AI 보안 자동화의 주요 이점

3. AI의 잠재적 취약성 및 보안 위협

3.1. 기술적 취약성

• 데이터 보안 위험: AI 시스템은 변조, 유출, 기타 공격에 취약할 수 있는 데이터 세트에 의존한다.
• AI 모델 보안 위험: 공격자는 AI 모델의 동작과 성능을 결정하는 핵심 구성 요소인 아키텍처, 가중치 또는 매개 변수를 변조하여 모델의 무결성을 손상시킬 수 있다.
• 적대적 공격: 적대적 공격은 입력 데이터를 조작하여 AI 시스템을 속여 잘못된 예측 또는 분류를 유도하는 것을 포함한다.
  • Prompt Injection: 악성 프롬프트를 사용해 AI 도구가 데이터 유출 또는 중요한 문서 삭제와 같은 유해한 조치를 취하도록 속인다.
• 입력 조작 공격: 입력 조작 공격은 AI 시스템의 동작이나 결과에 영향을 미치기 위해 입력 데이터를 변경하는 것을 총괄한다. 공격자는 입력 데이터를 조작하여 탐지를 회피하거나, 보안 조치를 우회하거나, 의사 결정 프로세스에 영향을 미칠 수 있으며, 이로 인해 편향되거나 부정확한 결과가 발생할 수 있다.
• 공급망 공격: 위협 행위자가 개발, 배포 또는 유지 관리 단계를 포함한 공급망 수준에서 AI 시스템을 표적으로 삼을 때 발생한다.

3.2. 운영적 취약성

• AI 모델의 표류 및 쇠퇴: 공격자는 쇠퇴하거나 표류하는 AI 모델의 약점을 악용하여 출력을 조작할 수 있다.
• 윤리적이고 안전한 배포: 보안 팀이 AI 시스템을 배포할 때 안전과 윤리를 우선시하지 않으면 개인 정보가 보호되지 않고 편향과 오탐을 악화시킬 위험이 있다.
• 규정 준수: AI 시스템의 합법적이고 윤리적인 사용을 보장하려면 법적 및 규제 요구 사항을 준수하는 것이 필수적이다.

4. AI 보안 사용 사례

4.1. 인증 및 접근 제어

• 암호 보호 및 인증
  • CAPTCHA, 얼굴 인식, 지문 스캐너와 같은 AI 도구를 통해 기업은 서비스에 로그인하려는 시도가 진짜인지 자동인지 감지할 수 있다. 이를 통해 무차별 대입 공격 및 자격 증명 스터핑과 같은 사이버 범죄 전술을 방지할 수 있다.

4.2. 위협 탐지 및 예방

• 피싱 탐지 및 예방 제어
  • 이메일의 콘텐츠와 컨텍스트를 분석해 스팸 메시지인지, 피싱 캠페인의 일부인지, 합법적인지 빠르게 찾을 수 있다.
• 취약성 관리
  • 사용자 및 개체 행동 분석(EUBA)과 같은 AI 기반 보안 솔루션을 통해 기업은 디바이스, 서버 및 사용자의 활동을 분석해 제로데이 공격을 나타낼 수 있는 이상하거나 비정상적인 동작을 식별할 수 있다.

4.3. 네트워크 및 행위 분석

• 네트워크 보안
  • 네트워크 보안에는 정책 생성 및 네트워크 이해하는 시간이 많이 걸리는 프로세스가 포함된다. AI는 조직의 네트워크 트래픽을 학습해 적절한 정책과 워크로드를 추천할 수 있도록 한다.
• 행동 분석
  • 기존의 보안 방어는 공격 시그니처와 침해 지표(IOC)를 사용해 위협을 발견한다. 그러나 사이버 범죄자들이 매년 출범하는 수천 개의 새로운 공격으로 인해 이러한 접근 방식은 실용적이지 않다.
  • 조직은 행동 분석을 구현해 위협 헌팅 프로세스를 강화할 수 있다. AI 모델을 사용해 네트워크에 배포된 애플리케이션의 프로필을 개발하고 방대한 양의 기기 및 사용자 데이터를 처리한다. 그 후 이러한 프로필에 대해 수신 데이터를 분석해 잠재적인 악성 활동을 방지할 수 있다.

4.4. AI 보안 도구

여러 사이버 보안 도구 예시:

• AI 기반 엔드포인트 보안 솔루션
• AI 기반 차세대 방화벽(NGFW)
• 보안 정보 및 이벤트 관리(SIEM)
• AI 기반 클라우드 보안 솔루션
• 사이버 위협 탐지를 위한 AI 기반 NDR 솔루션

AI의 역할

• 실제 시뮬레이션: 매우 사실적인 사이버 공격 시뮬레이션을 생성해 보안 팀이 다양한 잠재적 위협에 대한 방어 및 사고 대응 계획을 테스트할 수 있도록 한다.
• 공격 시나리오 예측: 생성형 AI는 과거 공격 및 보안 사고의 방대한 데이터 세트를 분석해 패턴과 동향을 식별함으로써 잠재적인 향후 공격 시나리오를 예측할 수 있다
• 위협 탐지 강화: 실제 공격 패턴을 모방한 합성 데이터를 생성해 위협 탐지 시스템을 강화할 수 있다.

---

참고

• Fortinet, Artificial Intelligence in Cybersecurity, Fortinet Resources, 2024.
• IBM, What is AI Security?, IBM Think, 2024.