AI를 사용한 사이버 공격 차단
수학과 머신러닝으로 악성 트래픽의 신속한 식별 및 우회
우크라이나 전쟁으로 인해 전 세계적으로 DDoS(분산 서비스 거부) 사이버 공격이 급증했는데, 이 디지털 공격은 폭주하는 인터넷 트래픽을 통해 대상 서버를 마비시켜 웹사이트를 다운시킬 수 있습니다. 매년 수백만 건이 발생하고 있으며 그 수와 규모도 계속 늘고 있습니다. 웹사이트 가동 중단 시간의 약 1/3은 DDoS 공격으로 인한 문제입니다.
“DDoS 사이버 공격은 혼란을 주고 기관에 지장을 주는 데 목적을 두며, 당연히 금전적 손실도 일으키게 됩니다.” 컴퓨터 과학자이자 폴란드의 국립 사이버 보안 및 AI 연구소인 NASK의 연구 책임자인 Michał Karpowicz는 말합니다. “그리고 공격을 개시하기도 비교적 쉬워서 매우 자주 발생합니다.”
일반적인 DDoS 공격에서 공격자는 특별히 설계된 악성 소프트웨어에 감염되어 있는 여러 컴퓨터와 온라인 기기를 활용합니다. 이러한 기기는 주방 가전제품, 보안 카메라, 온도 조절 장치 등 IoT(사물 인터넷)를 사용하는 기기가 될 수 있는데 그 수는 매일 급증하고 있습니다. 현재 IoT를 사용하는 기기는 100억 대 이상이 있는데 이는 마치 편입을 대기 중인 거대한 군대와도 같습니다. 공격은 일반적으로 두 가지 유형 중 하나이거나 조합된 형태입니다. 대규모 공격에서는 감염된 기기가 엄청난 양의 트래픽을 대상 네트워크에 한 번에 쏟아부어 일반 사용자를 위한 서비스 기능에 오버로드가 발생하도록 합니다. 애플리케이션 계층 공격에서는 서버에 광범위한 계산 수행을 요청하여 오버로드를 일으킵니다.
Karpowicz는 이 문제를 한 가지 익숙할 만한 상황에 빗대어 설명합니다. 일례로 우리가 은행에 운전해서 가는 중이라고 가정해 보겠습니다. 마지막 교차로에 도착할 때까지는 교통 체증이 거의 없고 모든 것이 순조로웠습니다. 그런데 갑자기 꽉 막혀서 기다려야 합니다. 이것이 대규모 공격입니다. 이제는 은행에 도착해서 창구에 줄을 서 있다고 가정해 보겠습니다. 그런데 우리 앞의 고객에게 흔치 않은 문제가 생겨서 모든 직원이 이 문제에 매달려야 합니다. 그러면 우리는 또 기다려야 합니다. 이것이 애플리케이션 공격입니다.
“DDoS 사이버 공격은 혼란을 주고 기관에 지장을 주는 데 목적을 두며, 당연히 금전적 손실도 일으키게 됩니다. 그리고 공격을 개시하기도 비교적 쉬워서 매우 자주 발생합니다.”
대규모 공격에서는 엄청난 양의 트래픽이 네트워크로 한 번에 유입되어 오버로드가 발생하며, 이는 차량 통행량으로 인한 시내 도로의 과부하 발생하는 것과 같습니다.
애플리케이션 공격은 광범위한 계산을 요청하여 서버에 오버로드를 일으켜서 다른 모든 활동을 중단시킵니다.
악성 소프트웨어는 공격 차단이 어려워지도록 요청의 출처를 숨길 수 있습니다. 또한 공격 대행 서비스도 제공되므로 폭넓은 접근이 가능합니다. 이러한 서비스는 불만을 품은 직원, 행동주의자, 시장 경쟁업체, 국가 등에 의해 시작되었습니다. Karpowicz는 팬데믹 봉쇄 기간에는 NASK가 수업 시작 시 온라인 시험 중단을 목적으로 학생 네트워크에서 시작된 공격을 감지했다고 전합니다.
하지만 최근 Karpowicz는 그러한 악성 요청을 감지하여 이를 중단시키거나 리디렉션하는 수학적 방법을 개발했습니다. 그는 “현실에 기반한 문제를 마주하게 되면 많은 영감을 얻을 수 있습니다.”라고 말합니다.
실시간 식별
웹사이트로부터의 요청 등 인터넷상의 정보는 데이터 패킷으로 구성됩니다. 각 패킷에는 크기, 소스 및 대상을 설명하는 고유 식별자 역할의 헤더가 있습니다. 일반적인 방어에서는 이러한 헤더가 금지 목록에 있는지 확인합니다. 그런 다음 악성 패킷을 무해한 대상으로 리디렉션합니다.
문제는 이러한 목록이 미리 있어야 하며 공격자는 감지를 회피하기 위해 헤더를 자주 변경한다는 사실입니다. 하지만 Karpowicz의 솔루션은 네트워크 트래픽 패턴을 실시간으로 감지합니다.
일례로 시내 교차로에 일련의 차량 통행량 측정 카메라가 설치된 경우를 가정해 보겠습니다. 비디오 클립의 무작위 샘플링을 살펴보면 특정 위치에서 파란색 컨버터블 차량이 급증하는 것을 발견할 수 있습니다. 이는 의심스러운 상황입니다. 그러한 경우엔 이런 차들을 자세히 살펴보고 더 많은 정보를 파악한 후에 이런 차들을 더 많이 길가에 세우도록 할 수 있습니다.
이와 같은 방법에선 네트워크 데이터를 가져와 신호 데이터로 변환합니다. 그런 다음에는 서로 다른 신호 소스를 분리해야 합니다. Karpowicz는 이러한 문제를 수많은 대화로 시끄러운 칵테일 파티에서 대화 상대방의 말을 골라내야 하는 상황으로 비유합니다.
여기에서 그는 선형 대수를 활용합니다. 행렬은 신호 또는 패킷 헤더가 채웁니다. 행렬에서 각 행은 패킷 크기나 소스 또는 기타 인자에 따라 정의되는 시간 경과에 따른 특정 유형의 패킷을 나타냅니다.
차량 통행량 측정의 비유를 들자면 파란색 차량, 미니밴, 캘리포니아에서 온 차량의 행 등이 있을 수 있습니다. 주어진 행렬의 셀을 채우는 값은 공격을 식별하는 것과 관련될 수도 있는 사항을 나타냅니다. 한 행렬에선 셀마다 플래그 수가 포함되어 있을 수도 있고, 다른 행렬에선 각 셀이 초당 비트 수를 나타낼 수도 있습니다. 그런 다음 Karpowicz는 이러한 행렬에서 특히 높게 나타나는 특성의 조합을 해독합니다. 단순히 파랗기만 한 차량이나 다른 색의 컨버터블이 아닌, 파란색 컨버터블을 찾는 것입니다.
FLDX 시스템에서 감지된 대규모 공격. (이미지 출처: Michał Karpowicz)
Karpowicz는 그러한 특징의 조합을 발견한 후 이를 다시 네트워킹 환경으로 변환하여 방화벽의 규칙을 만듭니다. 차량 통행량 측정에 빗대자면, 특정 제조사와 모델명의 파란색 차량이 문제의 원인임을 알게 되면 해당 차량을 즉시 탐지할 수 있는 카메라 필터를 만드는 것과 같습니다. 그는 자신의 선형 대수 기반 방법을 메타 분해라고 부릅니다. 메타 분해에 대한 논문은 현재 심사 중입니다.
Karpowicz는 MATLAB®에서 계산을 구현합니다. "선형 대수 알고리즘은 과학 분야에서 가장 빠른 알고리즘으로 알려져 있기 때문에 이 방법의 효율성은 매우 높습니다.” 그의 말입니다.
트래픽 차단
악성 패킷 감지는 문제의 일부분일 뿐이고, 방어자는 악성 패킷을 통제할 수도 있어야 합니다. Karpowicz는 해결책이 우연히 떠올랐다고 말합니다. 약 10년 전, 그는 네트워크 기기의 에너지 효율 향상 프로젝트를 진행하고 있었습니다. 그는 트래픽의 양을 예측한 후에 패킷 스트림을 처리 가능한 경로로 리디렉션하기를 원했습니다. 사이버 보안 담당 동료와 이 프로젝트에 대해 논의하던 중, 그 동료는 DDoS 공격 대응에 이를 활용할 수 있을 것 같다고 했습니다. “우리는 이 아이디어를 이리저리 적용해 보면서 새로운 기술을 조금씩 개발했습니다.” Karpowicz가 말합니다.
Karpowicz는 지난해 European Journal of Control에 게재된 논문에서 연구 결과를 설명했는데, 바로 적응형 조정이라고 하는 기법입니다. 일반적인 네트워크 트래픽 제어 시스템은 성능에 대한 피드백을 받지 않습니다. 이러한 시스템은 공격과 어떤 식으로든 관련된 모든 트래픽을 차단하는 방식으로 공격을 방어합니다. 이 방법은 정상 트래픽도 차단할 수 있기 때문에 과도한 경우가 많습니다. Karpowicz는 피드백을 통합하는 트래픽 제어기를 사용하여 올바른 패킷이 리디렉션되는지 파악하는 방법을 제안합니다.
그는 “사이버 보안은 저에게 커다란 과학적 도전 과제, 특히 수학적인 도전 과제를 던졌습니다.”라고 말합니다. 이론과 실제는 양쪽 모두의 발전에 원동력을 제공했습니다. “바로 거기에 힘입어 연구를 계속할 수 있었습니다. 무엇인가가 분명 있고 해결책을 제시하는 문제가 있을 거라는 예감이 들었습니다.” 이 감지 및 제어 시스템은 NASK의 서비스인 FLDX의 기반을 구성하며, 그와 관련된 특허도 현재 획득한 상태입니다. 이 서비스는 공격을 5초 이내에 감지하고 10초 이내에 완화 조치를 시작할 수 있습니다.
“그야말로 머신러닝의 진수라 할 수 있습니다. 시스템을 운영 전에 조정하기 위해 처음부터 방대한 데이터셋을 수집할 필요가 없습니다. 설치하는 즉시 사용이 가능합니다.”
DDoS 공격을 실시간으로 감지하는 FLDX 시스템. (이미지 출처: Michał Karpowicz)
NASK는 폴란드 전역에 FLDX를 배포하여 가상 머신의 분산 클러스터를 사용하여 전국의 네트워크를 보호하고 있습니다. Karpowicz는 “이 전체 솔루션의 독특한 특징은 사이버 보안 시스템일 뿐만 아니라 연구 플랫폼이기도 하다는 점입니다.”라고 말합니다. “이 솔루션을 사용하면 공격 감지와 억제를 위한 알고리즘을 MATLAB에서 직접 프로그래밍할 수 있습니다. 이를 통해 MATLAB에서 우리가 수집하는 데이터에 액세스할 수 있으며, 이 기술의 모든 이점을 활용하여 우리가 제공하는 트래픽 샘플을 토대로 데이터 처리, 신호 처리, 머신러닝 AI(인공 지능)를 사용할 수 있습니다.”
감지 및 적응형 조정 알고리즘 모두에서는 머신러닝, 특히 준지도 학습이라는 머신러닝을 사용하는데, 이는 훈련에 수작업 레이블 지정 데이터를 많이 요하지 않습니다. Karpowicz는 “우리는 학습 알고리즘에 약간의 전문 지식을 인코딩한 후 알고리즘이 알아서 작동하도록 합니다.”라고 말합니다. “그리고 알고리즘이 할 일은 세상에서 일어나는 일을 알아내는 것입니다.”
이 알고리즘은 특정 유형의 자동차 군집 찾기처럼 대규모 데이터에서 통계적 규칙성을 발견합니다. 그는 “그야말로 머신러닝의 진수라 할 수 있습니다.”라고 말합니다. “시스템을 운영 전에 조정하기 위해 처음부터 방대한 데이터셋을 수집할 필요가 없습니다. 설치하는 즉시 사용이 가능합니다.”
감지기는 “투표” 시스템을 사용하여 이상 데이터 흐름을 식별합니다. 또한 일련의 방정식을 풀어 행렬을 최적화하기도 합니다. 일부 인자가 불균형적인 영향을 미치는 비선형적 네트워크 동작의 경우에도 선형 방정식으로 상당량의 패턴을 포착할 수 있습니다.
연구원과 엔지니어들은 MATLAB을 사용하여 NASK의 데이터셋을 이용할 수 있으며, 많은 공과 대학에서 이미 사용하고 있기 때문에 매우 편리합니다. NASK의 데이터셋은 전국의 트래픽 데이터로 구성되어 있고 데이터 샘플링 레이트가 높다는 점에서 독특합니다.
분리된 트래픽 흐름을 보여주는 FLDX. (이미지 출처: Michał Karpowicz)
NASK의 연구에서는 트래픽의 동특성, 표적의 취약점, 공격 출처, 빈도 및 방법을 조사합니다. 그리고 FLDX를 사용하여 학교와 예방접종 등록 서비스 등 공공 부문과 상업 부문의 고객을 보호합니다. Karpowicz는 사이버 보안 업계의 신뢰를 얻었던 것은 “매우 놀라운 일”이었다고 설명합니다. “사이버 보안 엔지니어링 부서에서 존경받는 과학자가 되려면 시간이 걸리죠. 업계 동향을 이해하고 있고 자신이 유용한 일을 하고 있음을 입증해야 합니다. 하지만 FLDX를 사용하면 이 무대에 들어와 원하는 결과를 이룰 수 있습니다. 그게 바로 NASK의 매우 특별한 장점이죠. 우리는 실험실부터 기술 구현과 배포까지 이르는 경로가 매우 짧습니다.”
현재 Karpowicz는 MIT와 University of Technology Sydney를 비롯한 다른 기관과 협업 중에 있습니다. 그는 “NASK가 사이버 보안과 AI 부문에서 전 세계적으로 유명해지기를 바랍니다.”라고 말합니다. 그리고 NASK는 실제로 그 길을 걷고 있습니다.
