'AI 보안' 힘주는 마이크로소프트…"국가 배후 해커 막는다"

[이데일리 김가은 기자] 마이크로소프트(MS)가 인공지능(AI) 보안 역량을 강화한다. 최근 국가 배후 해커 등 공격자들 또한 AI를 활용하고 있는 만큼, 기술을 고도화해 위협을 차단한다는 전략이다.

(사진=마이크로소프트)

16일 MS는 사이버 위협 인텔리전스 요약 보고서 사이버 시그널(Cyber Signals) 6번째 에디션을 공개했다.

마이크로소프트는 이번 보고서를 통해 국가 배후 공격자의 위협으로부터 AI 플랫폼을 보호하는 방법을 집중 조명했다.

먼저 오픈AI와 협력을 통해 △포레스트 블리자드(Forest Blizzard) △에메랄드 슬릿(Emerald Sleet) △크림슨 샌드스톰(Crimson Sandstorm) △차콜 타이푼(Charcoal Typhoon) △살몬 타이푼(Salmon Typhoon) 등 국가 연계 위협 행위자를 추적한 인사이트를 공유했다.

이미 알려진 공격자들이 AI를 활용해 공격을 수행한 움직임을 분석하는 한편, MS가 AI 플랫폼과 사용자를 보호하기 위해 공격을 차단한 방법이 설명됐다. 보고서에 따르면 국가 연계 위협 행위자는 대형언어모델(LLM)을 활용해 사이버 공격을 강화하고 있는 것으로 분석됐다.

사이버 범죄자와 국가 배후 공격자들은 공격력 강화, 기술 고도화를 위해 LLM 등을 포함한 AI를 찾고 있다. 이들의 주된 목적은 공격 목표의 업종, 위치, 관계, 소프트웨어(SW) 스크립트 개선, 악성코드 개발 등이다. 다만 MS는 이번 조사에서 LLM을 활용한 심각한 공격은 발견되지 않았다고 설명했다.

MS는 이러한 사이버 위협에 대응하기 위해 다양한 방법을 활용하고 있다. 네트워크 리소스 또는 트래픽 사용 방식의 변화를 파악하는 AI 기반 위협 탐지, 위험한 로그인 및 비정상적인 동작을 탐지하는 동작 분석, 위험한 로그인 및 멀웨어를 탐지하는 머신러닝(ML) 모델, 모든 접근 요청에 대한 인증, 승인과 암호화를 돕는 제로 트러스트(Zero Trust), 회사 네트워크 연결 전 디바이스 상태 확인 등이다.

또한 MS는 국가 차원의 지능형 지속 공격(Advanced Persistent Threats, APTs), 지능형 지속 공격자(Advanced Persistent Manipulators, APMs), AI 플랫폼 및 응용프로그래밍인터페이스(API)를 사용하는 사이버 범죄 조직 위협을 완화할 수 있는 원칙을 발표했다. 여기에는 악의적인 위협 행위자 식별 및 조치, 다른 AI 서비스 공급자에 대한 접근 알림, 다른 이해관계자와의 협력 및 투명성이 포함됐다.

특히 MS는 생성형 AI에 주목하고 있다. 이미 MS는 LLM으로 방대한 양의 데이터를 분석해 사이버 위협의 패턴과 추세를 파악하고, 위협 인텔리전스에 유용한 컨텍스트를 추가하는 방식을 활용 중이다. 뿐만 아니라, 리버스 엔지니어링과 악성코드 분석과 같은 작업을 지원해 사이버 공격에 대한 새로운 방어 계층도 생성한다.

MS 업무동향지표(Work Trend Index)에 따르면, ‘MS 시큐리티 코파일럿(Microsoft Copilot for Security)’을 이용할 경우 모든 작업에서 정확도가 44% 향상되고 속도가 26% 빨라진 것으로 나타났다. MS 측은 이러한 수치가 사이버 보안에 AI를 활용할 때 얻을 수 있는 실질적 이점을 보여준다고 설명했다.

바수 자칼(Vasu Jakkal) MS 보안 부문 기업 부사장은 “AI의 미래를 확보하기 위해 우리는 새로운 역량과 위험을 동시에 가져오는 기술의 양면성을 인정해야 한다”며 “AI는 단순한 도구가 아닌 새로운 사이버 보안 패러다임이 될 수 있으며, AI를 통해 정교한 사이버 위협을 방어하고 역동적인 위협 환경에 적응함으로써 안전한 미래를 보장할 수 있을 것”이라고 밝혔다.