생성형 AI는 시, 시나리오, 이미지 등을 제작할 수 있어 전 세계의 상상력을 사로잡고 있습니다. 이 도구는 선한 목적으로 인간의 생산성을 향상시키는 데 사용될 수 있지만, 악의적인 공격자가 정교한 공격을 수행하기 위해 사용할 수도 있습니다.
공격자가 신뢰할 수 있는 콘텐츠를 생성하거나 실제 사람인 것처럼 사람과 상호작용하기 위해 강력한 새 도구를 활용하면서 피싱 공격과 소셜 엔지니어링이 더욱 정교해지는 것을 목격하고 있습니다. 공격자는 AI를 사용하여 독점 데이터를 수집하고 사용자 계정을 탈취할 목적으로 특정 사이트를 공격하는 맞춤 도구를 개발할 수 있습니다.
이러한 새로운 도전에 맞서기 위해서는 새롭고 더욱 정교한 보안 도구가 필요하며, 이것이 바로 Defensive AI의 탄생 배경입니다. Defensive AI는 지능형 시스템이 보안 솔루션의 효율성을 향상시킬 수 있는 방법을 고민할 때 Cloudflare가 사용하는 프레임워크입니다. Defensive AI의 핵심은 보통 당사의 전체 네트워크에서 생성되는 데이터든, 개별 고객 트래픽과 관련된 데이터든, Cloudflare의 방대한 네트워크에서 생성되는 데이터입니다.
Cloudflare에서는 애플리케이션 보안부터 이메일 보안, Zero Trust 플랫폼에 이르기까지 모든 보안 영역에서 보호 수준을 높이기 위해 AI를 사용하고 있습니다. 여기에는 API 또는 이메일 보안을 위해 모든 고객을 위한 맞춤형 보호 기능을 생성하거나 방대한 공격 데이터를 사용하여 아직 발견되지 않은 애플리케이션 공격을 탐지하는 모델을 학습시키는 영역까지 모두 포함됩니다.
다음 섹션에서는 AI를 활용한 최신 보안 제품을 설계하여 AI 기반 공격을 방어하는 방법에 대한 사례를 소개합니다.
이상 감지를 통한 API 보호
API는 최신 웹을 구동하며, 2021년의 52%에서 증가하여 Cloudflare 네트워크 전체 동적 트래픽의 57%를 차지합니다. API가 새로운 기술은 아니지만, API 보안은 기존의 웹 애플리케이션 보안과는 다릅니다. API는 설계상 프로그래밍 방식으로 쉽게 액세스할 수 있고 인기가 높아지고 있기 때문에 사기꾼과 위협 액터들은 API를 타깃으로 삼고 있습니다. 이제 보안팀은 이 증가하는 위협에 대응해야 합니다. 중요한 것은 각각의 API마다 일반적으로 그 목적과 용도가 고유하기 때문에 API를 보호하는 데 많은 시간이 소요될 수 있다는 점입니다.
Cloudflare는 애플리케이션 손상, 계정 탈취, 데이터 유출을 목적으로 하는 공격으로부터 API를 보호하기 위한 API Gateway용 API Anomaly Detection 개발을 발표할 예정입니다. API Gateway는 호스팅되는 API, 그리고 이와 인터페이스로 소통하는 모든 디바이스 사이에 보호 계층을 제공하여 API를 관리하는 데 필요한 가시성, 제어 및 보안 도구를 제공합니다.
API Anomaly Detection은 곧 출시될 ML 기반 기능으로, API Gateway 제품군에 포함되어 있으며, Sequence Analytics의 정식 후계자입니다. 대규모 API를 보호하기 위해 API Anomaly Detection은 클라이언트 API 호출 시퀀스를 분석하여 애플리케이션의 비즈니스 로직을 학습합니다. 그런 다음 해당 애플리케이션에 대해 예상되는 요청 시퀀스가 어떤 모습인지에 대한 모델을 구축합니다. 그 결과 트래픽 모델은 예상되는 클라이언트 동작에서 벗어나는 공격을 식별하는 데 사용됩니다. 결과적으로 API Gateway는 Sequence Mitigation 기능을 사용하여 애플리케이션의 의도된 비즈니스 로직에 대한 학습된 모델을 적용하여 공격을 차단할 수 있습니다.
API Anomaly Detection은 아직 개발 중이지만, API Gateway 고객은 여기에서 API Anomaly Detection 베타에 참가 신청할 수 있습니다. 현재 고객은 문서를 검토하여 Sequence Analytics 및 Sequence Mitigation을 시작할 수 있습니다. Enterprise API Gateway를 구매하지 않은 고객은 Cloudflare 대시보드에서 평가판을 직접 시작하거나 계정 관리자에게 문의하여 자세한 정보를 확인할 수 있습니다.
알려지지 않은 애플리케이션 취약점 식별
AI가 보안을 개선하는 또 다른 영역은 웹 애플리케이션 방화벽(WAF)입니다. Cloudflare는 초당 평균 5,500만 건의 HTTP 요청을 처리하며 전 세계에서 다양한 애플리케이션을 노리는 공격과 익스플로잇에 대해 탁월한 가시성을 보유하고 있습니다.
WAF의 가장 큰 과제 중 하나는 새로운 취약점과 오탐에 대한 보호 기능을 추가하는 것입니다. WAF는 웹 애플리케이션을 겨냥한 공격을 식별하기 위해 설계된 규칙 모음입니다. 매일 새로운 취약점이 발견되고 있으며, Cloudflare에는 취약점이 발견되면 새로운 규칙을 만드는 보안 분석가 팀이 있습니다. 하지만 수동으로 규칙을 만들려면 보통 몇 시간씩 시간이 걸리기 때문에 보호 기능이 마련될 때까지 애플리케이션이 잠재적으로 취약할 수 있습니다. 또 다른 문제는 공격자가 기존 규칙을 우회할 수 있도록 기존 공격 페이로드를 지속적으로 진화 및 변이시킨다는 점입니다.
이것이 바로 Cloudflare가 수년 동안 최신 공격으로부터 지속적으로 학습하는 머신 러닝 모델을 활용하여, 수동 규칙 생성 없이도 완화 조치를 배포할 수 있는 비결입니다. 이를 확인할 수 있는 대표적인 예가 WAF Attack Score 솔루션입니다. WAF Attack Score는 Cloudflare 네트워크에서 식별된 공격 트래픽에 대해 학습한 ML 모델을 기반으로 합니다. 그렇게 분류된 기준을 통해 기존 공격의 변형과 우회를 식별할 수 있을 뿐만 아니라새로운 공격과 발견되지 않은 공격으로까지 보호 범위를 넓힐 수 있습니다. 최근에는 Attack Score를 모든 Enterprise 및 Business 요금제에서 사용 가능하도록 했습니다.
보안 분석가의 기여는 필수 불가결하지만, AI와 빠르게 진화하는 공격 페이로드의 시대에 강력한 보안 태세를 갖추려면 새로운 위협에 대한 규칙을 작성하는 데 인간 운영자에게 의존하지 않는 솔루션이 필요합니다. Attack Score를 기존의 서명 기반 규칙과 결합하는 것은 지능형 시스템이 사람이 수행하는 작업을 어떻게 지원할 수 있는지를 보여주는 예입니다. Attack Score는 분석가가 규칙을 최적화하는 데 사용할 수 있는 새로운 악성 페이로드를 식별하여 AI 모델에 더 나은 학습 데이터를 제공합니다. 이를 통해 WAF의 전반적인 보호 성능 및 응답 시간을 개선하는 강화된 긍정적 피드백 루프가 생성됩니다.
장기적으로는 고객별 트래픽 특성을 고려하여 정상적이고 무해한 트래픽과의 편차를 더 잘 식별할 수 있도록 AI 모델을 조정할 계획입니다.
피싱 방지를 위한 AI 활용
이메일은 악의적 액터들이 활용하는 가장 효과적인 벡터 중 하나입니다. 미국 사이버보안 및 인프라 보안국(CISA)에 따르면 사이버 공격의 90%가 피싱으로 시작되며, 2023년 이메일의 2.6%가 악성 이메일인 것으로 Cloudflare Email Security가 보고한 바 있습니다. AI로 강화된 공격의 증가로 인해 기존의 이메일 보안 제공업체는 더 이상 쓸모가 없어지고 있으며, 위협 액터들은 이제 언어 오류가 거의 또는 전혀 없는 그 어느 때보다 신뢰할 수 있는 피싱 이메일을 작성할 수 있습니다.
Cloudflare Email Security는 모든 위협 벡터에서 피싱 공격을 차단하는 클라우드 네이티브 서비스입니다. Cloudflare의 이메일 보안 제품은 생성형 AI와 같은 트렌드가 계속 진화하는 가운데에도 AI 모델을 통해 고객을 계속 보호합니다. Cloudflare의 모델은 피싱 공격의 모든 부분을 분석하여 최종 사용자에게 가해지는 위험을 판단합니다. 일부 AI 모델은 각 고객에 맞게 개인화되어 있고 또 어떤 모델은 전체적으로 학습됩니다. Cloudflare는 개인 정보 보호를 가장 중요하게 생각하므로 개인 식별이 불가능한 정보만 학습 도구에 사용됩니다. 2023년에 Cloudflare가 처리한 이메일만 약 130억 개에 달하고, 차단한 이메일이 34억 개에 이릅니다. 그리고 이를 통해 이메일 보안 제품에 AI 모델을 학습시키는 데 사용할 수 있는 풍부한 데이터 세트를 제공했습니다.
당사 포트폴리오에 속한 두 가지 감지 기능은 Honeycomb과 Labyrinth입니다.
- Honeycomb은 특허받은 이메일 발신자 도메인 평판 모델입니다. 이 서비스는 메시지 발신자에 대한 그래프를 작성하고 위험도를 판단하는 모델을 구축합니다. 이 모델은 특정 고객 트래픽 패턴을 학습하게 되므로 모든 고객은 정상 트래픽의 형식을 학습한 AI 모델을 보유할 수 있습니다.
- Labyrinth는 ML을 사용하여 고객별로 보호 기능을 제공합니다. 공격자는 클라이언트의 정상적인 파트너 회사에서 보낸 이메일을 스푸핑하려고 시도합니다. 당사는 각 클라이언트마다 알려진 이메일 발신자 및 정상 이메일 발신자의 통계가 포함된 목록을 수집할 수 있습니다. 그런 다음 확인되지 않은 도메인에서 보낸 이메일이지만 이메일 자체에 언급된 도메인은 참조/확인된 도메인인 경우 스푸핑 시도를 감지해낼 수 있습니다.
이메일 보안 제품의 핵심은 여전히 AI이며, 당사는 제품 내에서 AI를 활용하는 방법을 지속적으로 개선하고 있습니다. AI 모델을 사용하여 AI 강화 피싱 공격을 차단하는 방법에 대한 자세한 내용은 여기에서 블로그 게시물을 참조하세요.
AI로 보호되고 강화되는 Zero Trust 보안
Cloudflare Zero Trust는 네트워크 경계 내부에 있든 외부에 있든 관계없이 모든 사람과 디바이스에 대해 엄격한 신원 확인을 시행하여 IT 인프라에 대한 액세스를 보호할 수 있는 도구를 관리자에게 제공합니다.
가장 큰 과제 중 하나는 잦은 인증으로 인한 마찰을 줄이면서 엄격한 접근 제어를 시행하는 것입니다. 또한 기존 솔루션은 인프라 내에서 위험이 어떻게 진화하고 있는지 추적하기 위해 로그 데이터를 분석해야 한다는 부담을 IT 팀에게 줍니다. 방대한 양의 데이터를 샅샅이 뒤져 희귀한 공격을 찾아내려면 대규모 팀과 막대한 예산이 필요합니다.
Cloudflare는 행동 기반 사용자 위험 점수를 도입하여 이 프로세스를 간소화합니다. AI를 활용하여 실시간 데이터를 분석하여 사용자 행동의 이상 징후와 조직에 해를 끼칠 수 있는 신호를 식별합니다. 이를 통해 관리자는 사용자 행동에 따라 보안 태세를 조정하는 방법에 대한 권장 사항을 얻을 수 있습니다.
Zero Trust 사용자 위험 점수는 조직, 시스템 및 데이터에 위험을 초래할 수 있는 사용자 활동 및 행동을 감지하여 해당 사용자에게 낮음, 중간 또는 높음 점수를 할당합니다. 이러한 접근 방식을 사용자 및 엔터티 행동 분석(UEBA)이라고도 하며, 이를 통해 팀은 계정 유출 가능성, 회사 정책 위반 및 기타 위험한 활동을 감지하고 해결할 수 있습니다.
첫 번째 상황별 행동은 "불가능한 여행"으로, 사용자가 해당 시간 내에 결코 여행할 수 없는 두 곳에서 자격 증명이 사용되었는지 확인하는 데 도움이 됩니다. 이러한 위험 점수는 향후 더욱 확장되어 시간대별 사용 패턴 및 액세스 패턴과 같은 상황별 정보를 기반으로 개인화된 행동 위험을 강조하여 비정상적인 행동에 플래그를 지정할 수 있습니다. 모든 트래픽이 SWG를 통해 프록시 설정되므로 회사 내부 리포지토리와 같이 사용자가 액세스 중인 리소스로도 확장할 수 있습니다.
보안 주간에 흥미로운 출시 소식이 있습니다. 자세한 내용은 이 블로그에서 확인하세요.
결론
애플리케이션 및 이메일 보안부터 네트워크 보안과 Zero Trust에 이르기까지 공격자들은 새로운 기술을 활용하여 목표를 보다 효과적으로 달성하고 있습니다. 지난 몇 년 동안 여러 Cloudflare 제품 및 엔지니어링 팀은 지능형 시스템을 채택하여 악용을 더 잘 식별하고 보호 기능을 강화했습니다.
생성형 AI 열풍 외에도 AI는 이미 디지털 자산을 공격으로부터 방어하고 악의적인 액터를 차단하는 데 중요한 역할을 하고 있습니다.