머신러닝이 필요한 이유

Siri와 Alexa 등 음성 인식 어시스턴트부터 자율주행차량까지 머신러닝과 인공지능은 기술 환경에서는 보편적입니다. 두 개념은 연관되어있지만, 의미는 다릅니다.

“인공지능은 우리가 ‘똑똑하다’고 여기는 방식으로 작업을 수행하는 ‘기계’의 광범위한 개념이다. 머신러닝은 ‘기계’ 데이터에 접근할 수 있는 권한이 있고, ‘스스로 학습’ 하는 인공지능을 응용한 프로그램이다.”
- 포브스

‘Machine Learning’은 사이버 보안 전반에 적용되어 있고, Zimperium도 머신러닝을 활용하고 있습니다. 다음은 머신러닝이 필요한 상황에 관해 설명하겠습니다.

  • 보안 인력 부족
    • 매년 증가하는 사이버 공격보다 보안 전문가는 적습니다.
  • 빠른 해킹 공격
    • 빠른 속도로 진행되는 사이버 공격보다 대응 속도는 느립니다.
  • 수십억 개의 기기
    • 서버와 데스크톱 PC도 해킹 공격을 방어할 수 없었고, 마찬가지로 모바일 및 사물인터넷도 보안에 취약합니다.
  • 공격 변수 파악의 어려움
    • 표적 공격은 고도화되어 전문가도 발견하기 어렵습니다. 탐지 가능한 유일한 방법은 매개변수를 이해하는 것입니다.

Zimperium에서 머신러닝이 어떻게 적용되는지 설명하겠습니다.

  • 기존 방어법인 서명과 샌드박싱에 의존하지 않고, 머신러닝 기반 탐지가 필요한 이유를 설명합니다.
  • 모바일 위협 탐지에 사용되는 머신러닝의 원리를 설명합니다.
  • Zimperium만의 조합을 설명합니다.
    • 클라우드에서 머신러닝 엔진을 학습
    • 네트워크의 연결 없이 실시간 탐지 가능
  • 모바일 보안 업체들이 제공하는 머신러닝 보호의 실상을 파악할 수 있는 몇 가지 테스트를 제공합니다.

기존 탐지방식의 단점

데스크톱 컴퓨터와 서버를 대상으로 바이러스가 유포되었을 때, 해커의 목표는 단순했습니다. 그러나 더 많은 소비자를 공격하고 조직을 침투하기 위해 ‘land and expand’ 전략으로 공격을 시도하기 시작했습니다. 서명과 샌드박싱은 오래된 위협을 방어하는 데 적합하지만, 빠르게 진화하는 표적 공격을 방어하기 어렵습니다. 따라서 모바일 및 사물인터넷 환경에서 즉시 대응할 수 있는 솔루션이 필요합니다.

기존 탐지방식은 몇 가지 상황에 의존하여 위협을 탐지합니다. 따라서 모바일 환경에서 서명 및 샌드박싱 기술을 사용하는 고객은 소극적인 자세를 취할 수밖에 없습니다. 다음은 기존 탐지방식의 실행 단계입니다.

  • 공격 샘플을 식별하고 수집해야 합니다.
  • 연구자는 서명을 생성하기 위해 샌드박스에서 익스플로잇을 실행해야 합니다.
    ※ 참고: 보안 솔루션은 기존 엔드포인트에 설치된 백신 솔루션과 같은 수준의 데이터에 액세스할 수 없습니다. 그러므로 모바일 OS 공격 서명 개발은 어렵습니다. 모바일 디바이스에 대한 샌드박싱 제한은 위협 탐지 솔루션이 사용자 데이터에 접근하는 것을 제한합니다. 따라서 일반 시스템 데이터에만 접근할 수 있습니다.
  • 업데이트된 서명 파일은 기기 또는 클라우드로 전달되어야 합니다.
    ※ 참고: 서명 및 샌드박싱 같은 사후 대응이나 수동적인 위험 외에도 클라우드 기반 모바일 보안 솔루션은 Man-in-the-middle(MITM) 공격에 지연되거나 우회될 수 있습니다.
  • 해커가 탐지를 피하고자 공격 경로를 변경하리라는 것을 인식하고, 처음으로 돌아가 각 단계를 반복합니다. 서명 및 샌드박싱은 알려진 공격 및 R&D, 사고 대응에 유용합니다. 그러나 기존 기술은 알려지지 않은 공격이나 변종 익스플로잇 공격에 대응하기 어렵습니다.

엔터프라이즈 모바일 보안

Zimperium의 머신러닝 엔진인 z9™은 수년간의 데이터 수집과 학습으로 즉각적인 판단이 가능하도록 설계되었습니다. 현재 기기에 위협이 발생하고 있거나, 공격 직전의 해커의 행동이 발견되면 자동적으로 시스템을 분석하여 위협을 식별합니다. 이미 알려진 악성코드 뿐만아니라 이전에 알아내지 못했던 위협까지 탐지하기 때문에 엔터프라이즈 모바일 보안에 적합합니다.

기기의 모바일 익스플로잇 탐지

z9은 2010년부터 데이터 포인트를 축적하면서 기기 및 네트워크, 애플리케이션의 공격을 파악했습니다. 2014년에는 별도의 업데이트 없이도 모든 모바일 익스플로잇을 탐지했습니다. 따라서 엔터프라이즈 모바일 보안에는 Zimperium이 필요합니다.

해커의 표적 공격

  • 해커는 탐지를 피하고자 알려지지 않은 공격이나 모핑 공격을 사용합니다.
  • 향후 기기를 해킹하기 위해 기기 손상에 중점을 둡니다.
  • Man-in-the-middle(MITM) 공격 또는 Phishing 공격으로 기기를 손상시키고 App Store나 Google Play에 등록된 앱의 설계상 결함을 이용해 사용자를 공격합니다.

엔터프라이즈 모바일 보안 솔루션의 기능

  • 머신러닝 기반의 기존 접근법을 강화하여 알려지지 않은 공격이나 모핑 공격을 차단합니다.
  • 기기 및 네트워크, 앱에 대한 공격의 모든 경로를 동시에 방어하여, 단일 장애 지점에 기기가 손상되는 것을 방지합니다.
  • 기기 내부에서 위협을 감지하므로 클라우드 기반 조회가 필요하지 않습니다. Man-in-the-middle(MITM) 공격이 발생했을 때, 네트워크를 제어하며 기기를 클라우드 기반 탐지 솔루션에 연결하지 않습니다.
  • 상황에 따른 환경을 적용합니다.
    • 학습: 데이터 포인트의 양을 고려할 때, 클라우드에서 오프라인으로 머신러닝 학습이 진행되어야 합니다.
    • 탐지: Man-in-the-middle(MITM) 우회 및 클라우드 기반 접근법 등 위험을 방지하려면 실제 기기에서 탐지해야 합니다.

Zimperium은 엔터프라이즈 모바일 보안에 효과적인 솔루션입니다. 다음 장에서는 클라우드 기반의 머신러닝 학습과 On-device 탐지에 관해 설명하겠습니다.



클라우드 기반 머신러닝 학습

모바일 위협에 대한 예측 변수를 생성하기 위해서 z9 머신러닝 엔진은 수많은 데이터 포인트를 반복적으로 분석합니다. 클라우드에 있는 고성능 컴퓨팅 클러스터를 활용하여 머신러닝 모델을 구축하면, 네트워크 연결 없이도 공격에 대응할 수 있습니다.

z9의 클라우드 기반 학습 방식은 다음과 같은 흐름으로 요약할 수 있습니다.

INPUTS

  1. 해커 공격: 데이터 수집(600+ 속성 포함)

PROCESS

  1. 행동 특성(정상적인 행동, 비정상적인 행동)
  2. 노이즈를 제거 및 특징 구분, 가중치에 따른 머신러닝 학습
  3. 머신러닝 모델 학습

OUTPUTS

  1. Z9 모델 생성
  2. 엔드포인트 배포
  3. 데이터 수집
  4. 지속해서 2~7회 반복

In the Cloud

  1. 초기 데이터 수집
    • 2010년부터 Zimperium의 zLabs연구팀은 정상적으로 작동하지만, 해킹된 기기를 분석합니다.
  2. 행동 특성
    • 분석된 행동들은 ‘정상’ 또는 ‘비정상’으로 분류합니다.
  3. 노이즈 제거 / 특징 선별 / 가중치 적용
    • 기기 및 네트워크, 앱 공격에는 시스템 데이터에서 볼 수 있는 반응 또는 변화에 대한 고유한 프로파일이 있습니다. 부정확한 데이터 포인트를 찾아 제거하고, 각 공격 유형에 대한 관련 속성을 선택하여 가중치를 적용합니다.
  4. 머신러닝 모델 학습
    • z9은 탐지 정확도를 높이기 위해 반복적으로 학습합니다.
  5. z9 모델 생성
    • z9의 머신러닝 엔진은 기기 및 네트워크, 앱 위협에 최적화되어 있습니다. 노이즈를 제거한 뒤 데이터 포인트를 조합하여 ‘z9 모델’을 생성합니다.

On-Device

  1. 엔드포인트 배포
    • z9은 시스템 데이터 변경 조합이 비슷한 위협은 쉽게 탐지할 수 있기 때문에, 새 위협이 발생해도 업데이트할 필요가 없습니다. 완전히 새로운 공격 법을 시도하기 전까지 계속해서 Zero-day 위협을 탐지합니다.
  2. 데이터 수집
    • 전 세계의 기기에서 포렌식 데이터 포인트를 수집합니다.

In the Cloud

  1. 반복 및 개선
    • 제공된 데이터는 반복적인 학습으로 z9 개선에 사용됩니다.

머신러닝 기반 On-Device 탐지

클라우드에서 머신러닝이 작동하지 않을 때, z9을 사용하면 실시간으로 공격을 탐지합니다. 다음은 머신러닝 기반 온-디바이스 탐지의 장점입니다.

  • 알려지지 않은 위협까지 탐지: 기존 솔루션과는 달리 이전에 알려지지 않은 위협이나 Zero-day 위협까지 탐지합니다.
  • 해킹 공격에 빠른 대응: 해킹 공격은 빠르게 발생하므로 즉각적인 대응이 필요합니다. 클라우드 네트워크에서 지연 문제가 발생하면 온-디바이스 탐지가 실시간으로 공격을 탐지합니다.
  • 개인정보보호: 기기 내에서 작동하여 민감 데이터를 외부 클라우드로 유출하지 않습니다.
  • 네트워크 끊김 방지: 머신러닝 기반 On-Device 탐지는 클라우드로 막지 못하는 Man-in-the-middle(MITM) 공격을 방어합니다. 네트워크 연결이 끊어진 경우에도 보호 환경을 유지합니다.

이상과 현실을 구분하는 질문

공급 업체 질문

대부분의 모바일 보안 업체는 머신러닝을 활용합니다. Zimperium을 포함하여 공급 업체의 접근법을 확인하려면 다음의 질문에 답을 해주시기 바랍니다.

머신러닝 엔진 작동 여부 확인하기

공급업체가 대량의 데이터를 참조하고 해킹을 발견하기까지 시간이 걸린 경우에는 머신러닝 엔진이 제대로 작동하지 않은 것입니다. 예를 들어, 공급 업체가 수백만 건의 다운로드를 한 악성 앱에 대해 공시를 작성했다면, 수동 검색 및 유효성 검증을 한 것입니다. 반면, 다운로드 횟수가 적은 공격에 대한 공개는 머신러닝이 효과적으로 작동한 것을 나타냅니다.

  • 머신러닝의 작업에 최초 감염자가 필요하지 않습니까?
  • 머신러닝 모델은 얼마나 광범위하며 실제 환경에서 오랫동안 테스트 되었습니까?
  • 새로운 위협을 탐지하기 위해 솔루션을 자주 업데이트해야 합니까?
  • 머신러닝은 네트워크에 연결하지 않아도 작동됩니까?
  • CPU 및 배터리에 영향을 주지 않으면서 빠르게 작동됩니까?

직접해보기

Zimperium 머신러닝 기반 탐지는 전 세계의 모바일 디바이스를 보호합니다. 또한 귀하의 기기를 보호할 수 있습니다.