검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'모바일 포렌식'통합검색 결과 입니다. (2건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"사이버보안서 AI 활용때 오버피팅 허용 불가피"

"당연하지만, 사이버 보안 분야에서 공격자들은 누구도 악성코드를 만들 때 '이 코드가 악성코드입니다'하고 공개하지 않습니다. 탐지 우회를 위해 정상 코드로 위장하는 것이 일반적인데, 인공지능(AI) 모델을 활용한 보안을 구현할 때 오탐을 최소화하기 위해서는 우회할 수 없는 흑적을 확인해야 합니다." 정성균 메타포렌식 대표는 21일 한국정보보호학회 랜섬웨어대응연구회가 개최한 워크숍에서 'AI 기반 랜섬웨어 대응 기술 소개'를 주제로 발표했다. 정 대표는 "AI 모델이 어떻게 만들어지는지를 살펴 보면, 가용할 수 있는 데이터 내에서 오류를 최소화하는 것이 목표가 될 수밖에 없다"라며 "모든 전체 데이터에서 오류를 0에 수렴하게 만드는 것이 굉장히 이상적이지만, 실제로 우리가 가지고 있는 데이터들은 노이즈가 섞여 있다"고 말했다. 그는 "그런데 사이버 보안 분야에서는 이런 오류가 허용될 수 없다"면서 "왜냐면 공격은 정상 코드로 위장해 침투를 시도하는데 이를 단순 노이즈로 판단해 이상 행위로 탐지하지 못한다면 무용지물"이라고 강조했다. 이에 정 대표는 사이버 보안 분야에서 AI를 활용할 때 '오버피팅' 현상을 허용할 수밖에 없다고 봤다. 오버피팅 현상은 AI나 모신러닝 모델이 학습 데이터에 지나치게 맞춰져, 실제 테스트 환경이나 새로운 데이터에서는 성능이 크게 떨어지는 현상을 말한다. 그는 "정해진 행위나 프로세스를 의심하겠다고 AI 모델에 학습해 놓았다면, AI 모델은 정상 행위로 위장한 공격에 동작조차 하지 못하고 쉽게 우회될 수 있다고 생각한다"며 "랜섬웨어에 대응하기 위한 전략에 정답은 없지만, 공격 목적 달성에 필요한 행위를 검사해야 우회 전략과 경쟁할 수 있음은 분명하다"고 역설했다. 정 대표는 "정상적인 행위로 위장해 AI 모델의 판단이 모호한 단계에서는 확정 판정이 아닌, 모니터링 트리거의 역할을 수행할 수 있도록 해야 한다"며 "IRP(입출력 요청 패킷) 로그에서의 평문 읽기, 원본 파괴 등 우회할 수 없는 흔적을 결정론적으로 확인해 오탐 범위를 좁히는 역할도 수행해야 한다"고 밝혔다. 휴대폰 잠그고 데이터도 암호화…"모바일 대상 랜섬웨어 일상화, 시간문제" 이날 모바일 기기를 대상으로 한 랜섬웨어 공격을 막기 위한 대응이 필요하다는 제언도 나왔다. 유동훈 아이넷캅 대표는 이날 '모바일 랜섬웨어 대상 AI 기술 활용 대응 방안'을 주제로 발표했다. 유 대표 발표에 따르면 랜섬웨어는 기업 서버, 네트워크, PC 등을 타깃으로만 삼지 않는다. 개인의 모바일 기기까지 표적이 되기도 한다. 모바일 대상 랜섬웨어는 지난 2013년 최초로 등장했다. 유 대표는 "과거 모바일 랜섬웨어는 파일 암호화 대신 화면 잠금으로 기기 접근을 차단하고, 금전을 요구하는 방식이었다"라며 "최근에는 파일 암호화는 물론 화면 잠금을 같이 활용하는 것으로 나타났다. 심지어 공격자가 랜섬웨어 기능을 추가하는 것이 비용이 너무 비싸서 하지 못했던 것들을 AI를 활용해 랜섬웨어 기능 추가도 한층 수월해졌다"고 밝혔다. 그는 이어 "최근 국내 피해 사례를 보면, 피싱 사이트·악성 앱 유포 사이트를 그럴싸하게 만들어서 모바일 기기에 악성코드·악성앱을 설치한 이후 권한 상승, 도청, 화면 미러링 등을 통해 정보를 탈취한다. 이 과정에서 인증 정보를 원격으로 취득한다"며 "약 1달간 모바일 기기 내에 숨어 있다가 공격할 포인트를 찾아내면 사회공학 기법을 활용해 랜섬웨어 공격을 시도한다"고 말했다. 이처럼 피싱 사이트를 통한 랜섬웨어 공격은 통신3사, 경찰청 등이 스팸으로 분류하는 탐지 시스템도 우회하는 것이 가능한 것으로 나타났다. 유 대표는 "통신3사 및 경찰청에서 배포하는 악성앱 도메인을 차단하는 서비스를 적용해 1차 대응을 했음에도 살아남은 악성 앱은 283건으로 확인됐다. 다운로드된 백신 프로그램까지도 우회한 경우는 145건으로 집계됐다"고 경고했다. 현행 모바일 대상 랜섬웨어의 대응은 인터넷 주소(URL), 안드로이드 압축 실행 파일(APK) 등을 자동으로 크롤링해 악성인지 아닌지 판정한다. 그러나 공격자들은 AI 기술을 악용해 이같은 크롤링 작업을 우회하기 위해 식별 작업을 진행하는 것으로 나타났다. 피싱 사이트가 크롤링되지 않도록 안티크롤링까지도 적용하는 것으로 파악됐다. 그는 "기존에 배포된 보호기술을 우회하기 위해 악성 앱 배포 시 코드 난독화, 역공학 방해 등을 적용해서 악성코드를 뿌리고 있는 실정"이라며 "AI 기술을 악용해 악성 앱 유포 사이트를 손쉽게 찍어내고, 분석 방해 기술로 기기 내에서 오래 살아남는 악성 앱을 유포하고 있는 것"이라고 말했다. 아울러 유 대표는 "기기 잠금 및 파일 암호화, 수사기관을 사칭한 랜섬웨어 공격으로 금전 등을 갈취하려는 시도가 있는 만큼 유포 채널을 감시해 선제적인 대응에 나서야 한다"며 "AI 기술과 결합돼 모바일 대상 랜섬웨어 공격의 일상화는 시간 문제"라고 강조했다.

2026.05.21 23:39김기찬 기자

"외산 장악 디지털포렌식 시장...우리가 균열"

"세계적으로 윈도, 맥OS, 리눅스 등 모든 OS를 지원하는 디지털포렌식 제품은 없다. 심지어 원격, 모바일, 현장 등 모든 환경에서 운용이 가능하며, 악성앱이 있는지 없는지까지 탐지한다" 김종광 마에스트로포렌식 대표는 11일 서울 독산역 인근 본사에서 인공지능(AI) 기반 자동화 디지털포렌식 및 악성코드 분석 통합 플랫폼 '마에스트로 위즈덤(MAESTRO WISDOM)' 제품을 공식 출시하며 개최한 기자간담회에서 이같이 밝혔다. 최근 대기업부터 통신사, 플랫폼사 등 국내 기업을 겨냥한 침해사고가 빈번해지고 있는 현실이다. 이런 침해사고를 겪으면 신고, 사고 조사 등을 거쳐 보안 조치를 강화하게 된다. 그 이후에는 어떻게 침투가 이뤄졌는지, 공격자는 누구인지 특정하기 위해서는 디지털포렌식을 통한 데이터 분석이 필수적이다. 디지털포렌식은 인터넷상 남아 있는 각종 디지털 정보를 분석해 범죄 단서나 침투 경로를 파악해 법적 증거를 마련하는 기술을 말한다. 이런 디지털 정보들은 지문, 서류 등 증거물과는 다르게 실물이 존재하지 않고 쉽게 복제가 가능하기 때문에 디지털포렌식 수사관의 분석으로 통해 '무결성'을 입증해야 한다. 법정에 제출되기까지 변경 및 훼손이 없어야 하기 때문이다. 또 디지털포렌식을 통해 증거를 수집하고 분석해 대응책을 마련할 수도 있으며, 향후 보고까지 진행해야 한다. 침해사고를 사전에 예방하는 것도 중요하지만, 침해사고 이후에도 디지털포렌식 절차까지 이어져야 완벽한 침해사고 대응 프로세스가 구축되는 것이다. 디지털포렌식 국내 공공 시장은 '외산' 솔루션이 60~70% 정도 차지하고 있다. 마에스트로포렌식은 '국산'으로서 당당하게 글로벌 기업들보다 폭넓은 아티팩트를 보유하고 있다는 장점이 있다. 이에 디지털포렌식 시장에서 점차 영역을 확장하는 추세다. 김 대표는 마에스트로포렌식의 플랫폼 및 글로벌 디지털포렌식 시장과 관련해 "전통적인 포렌식 제품은 컴퓨터에서 증거를 추출하는 데에 그치는 경우가 많다. 현재 공격자들은 파일리스, 즉 파일이 없는 랜섬웨어 공격을 시도하거나 파일 확장자를 변경해버려 탐지 회피 능력을 키우고 있다. 그럼에도 글로벌 기업들의 디지털포렌식 솔루션들은 이런 공격자들의 트렌드에 맞춰 제품을 고도화하고 있지 않다"고 진단했다. 그는 "마에스트로 위즈덤은 윈도우 환경에서는 340개 이상의 아티팩트를 보유하고 있다. 현존 포렌식 도구 중 가장 많은 아티팩트량"이라며 "맥OS에서는 230종, 리눅스에서는 170종 이상의 아티팩트 분석을 지원하고 있다"고 밝혔다. 특히 마에스트로 위즈덤은 공공·군·수사기관 및 디지털포렌식 기업에 공급을 확대하고 있는 중이다. 이와 관련해 김 대표는 "고객사들이 세부적인 기능을 넣어달라고 요청하는 경우가 많다. 글로벌 기업들과는 다르게 마에스트로 위즈덤에는 고객들의 요청이 실시간으로 반영되고 있으며, 이에 따라 기능은 더욱 향상되는 중"이라고 설명했다. 데이터 분석에는 길게는 수십시간까지 소요되는 것이 일반적이다. 그러나 마에스트로 위즈덤은 데이터 분석 속도 역시 다른 포렌식 도구 대비 2~3배 정도 빠르다. 김 대표는 "1테라바이트(TB) 기준 1시간 40분 이대로 완료된다. 다른 도구보다 2배 이상 빠르고, 또 가볍기 때문에 마에스트로 위즈덤만의 큰 장점이기도 하다"고 소개했다. 분석을 마치면 어떤 애플리케이션이 시작되고 꺼졌는지, 마지막으로 사용된 날짜와 언제 구동됐는지, 어떤 IP 주소로 접속했는지 등 모든 데이터들이 표시된다. 특히 침해사고 분석에 필요한 이벤트 로그 항목도 표시되는데, 이를 통해 악성코드 지표, 보안 로그 조작, 권한 상승 및 계정 변경 등 공격이 있었는지도 확인이 가능했다. 심지어 악의적인 명령어, 악성으로 의심되는 항목 역시도 정상 항목과 구분해 한눈에 알아볼 수 있게 표시된다. 김 대표는 "최근에는 고객이 원하는 증거 아티팩트를 만드는 데 주력하고 있다"며 "수사기관이나 공공기관에서 포렌식 제품을 하나만 사용하는 경우는 없다. 데이터 분석의 교차 검증을 위해 여러 제품을 동시에 사용하는데, 마에스트로 위즈덤과 글로벌 기업의 솔루션과 비교해 보면 고객사들도 마에스트로 위즈덤의 성능을 체감할 수 있을 거라 생각한다"고 밝혔다.

2025.12.11 17:29김기찬 기자