AI 시대의 사이버 위협 탐색 및 방어 강화
오늘날 사이버 보안의 세계는 엄청난 변화를 겪고 있습니다. AI(인공 지능)는 이러한 변화의 최전선에서 위협과 기회를 동시에 제시하고 있습니다. AI를 사용하는 조직은 기계의 속도로 사이버 공격을 방어하고 위협 탐지, 헌팅 및 사고 대응의 혁신과 효율성을 높일 수 있는 잠재력이 있지만, 공격자들은 AI를 공격의 일부로 사용할 수 있습니다. AI를 안전하게 설계, 배포, 사용하는 것이 그 어느 때보다 중요해졌습니다.
Microsoft는 보안 조치를 강화하고, 새롭고 진보된 보호 기능을 활용하고, 더 나은 소프트웨어를 구축하기 위해 AI의 잠재력을 살펴보고 있습니다. AI를 사용할 때 우리는 진화하는 위협에 따라 적응하고, 이상 징후를 즉시 감지하고, 신속하게 대응하여 위험을 무력화하고, 조직의 필요에 맞게 방어를 맞춤화할 수 있습니다.
또한 AI는 업계의 또 다른 가장 큰 도전 과제를 극복하는 데도 도움이 될 수 있습니다. 전 세계적으로 약 400만 명의 사이버 보안 전문가가 필요한 사이버 보안 인력 부족 상황에서 AI는 인재 격차를 해소하고 방어자의 생산성을 높일 수 있는 핵심적인 도구가 될 잠재력이 있습니다.
이미 한 연구에서 전문 지식 수준에 관계없이 보안 분석가에게 Copilot for Security가 어떤 도움을 줄 수 있는지 살펴본 결과, 모든 작업에서 참가자들은 정확도는 44%, 속도는 26% 개선된 것으로 나타났습니다.
AI는 인간의 잠재력을 끌어올리고 가장 심각한 문제를 해결할 수 있는 힘을 가지고 있기 때문에 미래를 대비할 때 AI에 대한 안전한 준비와 AI의 이점을 활용하는 것 사이에서 균형을 유지해야 합니다.
AI를 통한 더욱 안전한 미래를 위해서는 소프트웨어 엔지니어링의 근본적인 발전이 필요합니다. 이를 위해서는 AI 기반 위협을 모든 보안 전략의 필수 요소로 이해하고 대응해야 합니다. 그리고 공공 부문과 민간 부문 전반에서 긴밀한 협력과 파트너십을 구축하여 악의적인 행위자들에 맞서도록 협력해야 합니다.
OpenAI와 Microsoft는 이러한 활동과 자체 보안 미래 이니셔티브의 일환으로, 오늘날 공격 기술에서 대규모 언어 모델(LLM)의 유용성을 테스트하고 탐색하려는 위협 행위자의 시도를 자세히 설명하는 새로운 인텔리전스를 발표합니다.
이 정보가 보다 안전한 미래를 위해 노력하는 업계 전반에 유용하게 사용되길 바랍니다. 결국 우리 모두는 방어해야 하기 때문입니다.
CVP, 수석 사이버 보안 고문
Microsoft Security 비즈니스의 기업 비디오 사장 Vasu Jakkal이 주요 위협 인텔리전스 전문가들과 AI 시대의 사이버 위협, Microsoft가 보안 강화를 위해 AI를 사용하는 방법, 조직이 방어 강화를 위해 할 수 있는 일에 대해 인터뷰하는 Cyber Signals 디지털 브리핑을 시청하세요.
AI 기술을 탐색하는 공격자
사이버 위협 환경은 점점 더 어려워지고 있으며, 공격자들은 더욱 강력한 동기를 가지고, 더욱 정교해지고, 더 많은 자원을 확보하고 있습니다. 위협 행위자와 방어자 모두 생산성을 높이고 목표와 공격 기술에 적합한 접근 가능한 플랫폼을 활용하기 위해 LLM을 포함한 AI에 기대를 걸고 있습니다.
오늘 Microsoft는 빠르게 진화하는 위협 환경을 고려하여 AI 플랫폼과 API로 지능형 지속 위협(APT), 지능형 지속 조작자(APM) 및 사이버 범죄 조직을 비롯한 위협 행위자의 위험을 완화하는 Microsoft의 조치를 안내하는 원칙을 발표합니다. 이러한 원칙에는 악의적인 위협 행위자의 AI 사용 식별 및 조치, 다른 AI 서비스 제공업체에 대한 알림, 다른 이해관계자와의 협력, 투명성 등이 포함됩니다.
위협 행위자의 동기와 정교함은 다양하지만 공격을 전개할 때의 작업은 동일합니다. 여기에는 잠재적 피해자의 산업, 위치, 관계 조사 등의 정찰, 소프트웨어 스크립트 개선 및 맬웨어 개발 등의 코딩, 인간 언어와 기계 언어를 모두 학습하고 사용하는 데 대한 지원이 포함됩니다.
Microsoft는 OpenAI와 함께 사이버 작전을 강화할 LLM을 사용하여 탐지된 국가 관련 적(Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon, Salmon Typhoon으로 추적됨)을 보여 주는 위협 인텔리전스를 공유하고 있습니다.
Microsoft와 OpenAI의 연구 파트너십의 목표는 ChatGPT 같은 AI 기술의 안전하고 책임감 있는 사용을 보장하고, 커뮤니티를 잠재적인 오용으로부터 보호하기 위한 최고 수준의 윤리적 적용 기준을 준수하는 것입니다.
Emerald Sleet은 북한 관련 싱크탱크 및 전문가에 대한 조사와 스피어 피싱 캠페인에 사용될 수 있는 콘텐츠 제작을 위해 LLM을 사용했습니다. 또한 Emerald Sleet은 공개적으로 알려진 취약점을 파악하고 기술 문제를 해결하며 다양한 웹 기술 사용에 대한 지원을 받기 위해 LLM과 상호 작용했습니다.
중국의 지원을 받는 또 다른 그룹인 Salmon Typhoon은 LLM을 활용하여 2023년 내내 잠재적으로 민감한 주제, 유명 인사, 지역 지정학, 미국의 영향력, 내정에 관한 정보를 얻을 때의 효과를 평가해 왔습니다. 이러한 잠정적인 LLM 활용은 정보 수집 툴킷의 확대와 신기술의 역량을 평가하는 실험적 단계를 모두 반영할 수 있습니다.
OpenAI와 함께 한 연구 결과 우리가 면밀히 모니터링하는 LLM을 이용한 중대한 공격은 확인되지 않았습니다.
우리는 이러한 위협 행위자와 관련된 자산 및 계정을 차단하고 우리 모델에 대한 가드레일과 안전 메커니즘을 구축하기 위한 조치를 취했습니다.
AI를 이용한 사기는 또 다른 주요 우려 사항입니다. 음성 합성을 예로 들 수 있는데, 3초 분량의 음성 샘플로 모델을 훈련시켜 사람 목소리처럼 들리게 할 수 있습니다. 음성 메일 인사말처럼 무해한 것도 얼마든지 샘플을 확보하기 위해 사용될 수 있습니다.
우리가 서로 소통하고 비즈니스를 수행하는 방법의 대부분은 사람의 목소리, 얼굴, 전자 메일 주소, 글쓰기 방식 인식과 같은 신원 증명이 필요합니다.
복잡한 사기 사건과 신원을 모호하게 만드는 기타 새로운 소셜 엔지니어링 위협에 대처하기 위해서는 악의적인 공격자가 어떻게 AI를 사용하여 오랜 기간 동안 유지되어 온 신원 증명 시스템을 약화시키는지 파악해야 합니다.
AI는 기업이 사기 시도를 차단하는 데에도 사용될 수 있습니다. Microsoft는 브라질의 한 기업과 관계를 중단했지만, Microsoft의 AI 시스템은 이 기업이 Microsoft 에코시스템에 재진입하기 위해 자체 재편성하려는 시도를 감지했습니다.
이 그룹은 지속적으로 정보를 난독화하고 소유권을 숨기고 재진입을 시도했지만, Microsoft의 AI 탐지는 거의 12개의 위험 신호를 사용하여 사기 기업을 표시하고 이전에 인식된 의심스러운 행동과 연결하여 이러한 시도를 차단했습니다.
Microsoft는 사람이 감독, 이의 제기 평가, 정책 및 규정 해석을 담당하는 책임감 있는 인간 주도의 AI 를 통한 개인 정보 보호 및 보안을 제공하고자 최선을 다하고 있습니다.
- 조건부 액세스 정책 사용: 이 정책은 위험 신호, 라이선싱 및 사용량에 따라 테넌트를 자동 보호하는 보안 태세를 강화할 명확한 자체 배포 지침을 제공합니다. 조건부 액세스 정책은 사용자 지정할 수 있으며 변화하는 사이버 위협 환경에 맞게 조정할 수 있습니다.
- 소셜 엔지니어링 전술에 대한 직원 교육 및 재교육: 직원과 일반인이 피싱 전자 메일, 비싱(음성 메일), 스미싱, (SMS/문자) 소셜 엔지니어링 공격을 인식하고 대응할 수 있게 교육하고 Microsoft Teams에 보안 모범 사례를 적용하세요.
- 데이터를 엄격하게 보호: 데이터를 비공개로 유지하고 처음부터 끝까지 제어하세요.
- 생성형 AI 보안 도구 활용: Microsoft Copilot for Security과 같은 도구를 활용하면 역량을 확대하고 조직의 보안 태세를 강화할 수 있습니다.
- 다단계 인증 사용: 모든 사용자, 특히 관리자 기능에 다단계 인증을 사용하면 계정 탈취 위험을 99% 이상 줄일 수 있습니다.
공격으로부터 방어
Microsoft는 하루에 65조 건이 넘는 엄청난 양의 악성 트래픽을 탐지합니다. AI는 이러한 정보를 분석하고 위협을 차단하도록 지원하는 가장 가치 있는 인사이트를 찾는 능력을 강화하고 있습니다. 또한 이러한 신호 인텔리전스를 사용하여 고급 위협 방지, 데이터 보안 및 ID 보안을 위한 생성형 AI를 강화하여 방어자가 다른 사람들은 놓치는 것을 포착할 수 있게 지원합니다.
Microsoft는 네트워크에서 리소스나 트래픽이 사용되는 방식의 변화를 파악하는 AI 기반 위협 탐지, 위험한 로그인 및 비정상적인 동작을 탐지하는 동작 분석, 위험한 로그인 및 맬웨어를 탐지하는 기계 학습(ML) 모델, 모든 액세스 요청을 완전히 인증, 승인 및 암호화해야 하는 제로 트러스트 모델, 디바이스가 회사 네트워크에 연결되기 전에 디바이스 상태 확인 등 여러 방법을 사용하여 사이버 위협으로부터 자사와 고객을 보호합니다.
위협 행위자는 Microsoft가 스스로를 보호하기 위해 다단계 인증(MFA)을 엄격히 사용한다는 것(모든 직원이 MFA 또는 암호 없는 보호를 사용하도록 설정되어 있음)을 알기 때문에 공격자가 직원을 손상시키기 위해 소셜 엔지니어링에 의존하는 것을 보았습니다.
무료 평가판이나 서비스 또는 제품의 프로모션 가격 등 가치 있는 정보가 전달되는 영역에서 이런 공격이 자주 발생합니다. 이러한 영역에서는 공격자가 한 번에 하나의 구독을 훔치는 것은 수익성이 없으므로 공격자는 발견되지 않은 채 공격을 운영하고 확장하려는 시도를 합니다.
따라서 우리는 Microsoft와 고객을 위해 이러한 공격을 탐지하는 AI 모델을 구축합니다. 제재를 피하거나 통제를 우회하거나 부패 유죄 판결, 절도 시도 등과 같은 과거 범죄 행위를 숨기기 위해 기업 데이터를 변경하거나 실제 신원을 숨긴 가짜 학생 및 학교 계정, 가짜 회사 또는 조직을 탐지합니다.
내부 엔지니어링 및 운영 인프라에 통합된 GitHub Copilot, Microsoft Copilot for Security 및 기타 Copilot 채팅 기능을 사용하면 운영에 영향을 미칠 수 있는 사고를 예방하는 데 도움이 됩니다.
Microsoft는 전자 메일 위협을 해결하기 위해 전자 메일의 구성 외 신호를 수집하여 악의적인지를 파악하는 기능을 개선하고 있습니다. 위협 행위자들이 AI를 통해 피싱 시도를 나타내는 명백한 언어와 문법 오류를 개선하면서, 피싱 시도를 탐지하기 어렵도록 완벽하게 작성된 전자 메일이 많이 유입되고 있습니다.
100% 사람의 실수에 의존하는 소셜 엔지니어링을 막기 위해서는 지속적인 직원 교육과 대중 인식 제고 캠페인이 필요합니다. 역사는 효과적인 대중 인식 캠페인이 행동을 변화시키는 데 효과가 있다는 점을 알려 줍니다.
Microsoft는 특히 AI 기술이 책임 있는 관행과 기본 제공 보안 제어 기능 없이 운영되면 공격자가 AI가 소셜 엔지니어링 전술을 진화시켜 딥페이크와 음성 복제를 비롯한 더욱 정교한 공격을 일으킬 것이라 예상합니다.
예방은 기존 사이버 위협이든 AI 기반 사이버 위협이든 모든 사이버 위협에 대처할 때 핵심입니다.
권장 사항:
데이터 및 응용 과학 수석 관리자이자 탐지 분석 관리자인 Homa Hayatafar로부터 AI에 대한 더 많은 인사이트를 얻으세요.
기존 도구로는 더 이상 사이버 범죄자들의 위협을 따라잡을 수 없습니다. 최근 사이버 공격의 속도, 규모, 정교함이 강화되면서 보안에 대한 새로운 접근 방식이 요구되고 있습니다. 또한, 사이버 보안 인력이 부족하고 사이버 위협의 빈도와 심각성이 증가하고 있어 이러한 기술 격차를 해소하는 것이 시급한 과제입니다.
AI는 방어자에게 유리하게 작용할 수 있습니다. Microsoft Copilot for Security(현재 고객 미리 보기 테스트 중)에 대한 최근 연구에 따르면 공격자가 사용하는 스크립트 식별, 인시던트 보고서 작성, 적절한 해결 단계 식별과 같은 일반 작업에서 보안 분석가의 전문 지식 수준에 관계없이 속도와 정확성이 향상되었습니다.1
- [1]
방법론:1스냅샷 데이터는 RCT(무작위 대조 시험)로 149명을 테스트하여 Microsoft Copilot for Security 사용의 생산성 영향을 측정한 결과입니다. 이 RCT에서는 일부 분석가에게는 무작위로 Copilot을 제공하고 다른 분석가에게는 제공하지 않은 다음, 기본 효과와 별도로 Copilot의 효과를 얻기 위해 기본 성과에서 이들의 성과와 감정을 제외했습니다. 테스트 대상은 기본적인 IT 기술이 있지만 보안 초보자였기 때문에 Copilot이 “경력 초년생”에게 어떤 도움이 되는지 테스트할 수 있었습니다. Microsoft Copilot for Security RCT는 2023년 11월에 Microsoft 수석 이코노미스트 사무실에서 실시되었습니다. 또한 Microsoft Entra ID는 악성 전자 메일 계정, 피싱 전자 메일, 네트워크 내 공격자 이동 같은 위협 활동에 대한 익명화된 데이터를 제공했습니다. 추가 인사이트는 클라우드, 엔드포인트, 인텔리전트 에지, 침해 보안 복구 사례 및 탐지 및 대응 팀, Microsoft Defender를 비롯한 Microsoft 플랫폼 및 서비스 원격 분석, 2023 Microsoft 디지털 방어 보고서를 포함한 Microsoft 전체에서 매일 65조 건의 보안 신호에서 얻었습니다.