[eGISEC 2019 - 전자정부 정보보호 솔루션 페어] 머신러닝과 전력 분석을 이용한 차세대 사이버 보안 솔루션

머신러닝과 전력 분석을 이용한 차세대 사이버 보안 솔루션

 

우리가 흔히 인공지능이라고 하면, 

많은 사람들이 소프트웨어 상에서 학습을 하여 패턴을 찾고 이후에 발생할 사건에 대해 예측을 하는 것을 생각할 것이다.

 

하지만,

eGISEC 2019 전자정부 정보보호 솔루션 페어에서 한컴 MDS라는 회사에서 강연한

 

"머신러닝과 아날로그 신호 분석을 통한 산업제어시스템 보안 위협대응 방안"이라는 강연을 듣고 

새로운 관점으로 인공지능을 바라 볼 수도 있다는 것을 공유하려 한다.

 

 

소프트웨어 보다 좀 더 깊이!

 

소개하려는 기술은 간단하게 얘기하자면,

"하드웨어에서 발생하는 데이터를 학습데이터로 하여 공격을 탐지한다."라고 말할 수 있다.

이 기술이 생겨난 개요는 

사이버 공격 S/W, H/W(CPU, 메모리, FPGA 등), 펌웨어, 바이오스 등을 위· 변조하는 형태로까지 진화하고 있기에 

모든 것을 탐지하는 것은 현실적으로 한계점을 가지고 있다고 판단하여

소프트웨어 보다 더 깊은 부분 영역에서 부터의 방어를 생각하였고 

결과적으로,

하드웨어의 전력 데이터를 분석하여 보안 위협으로 부터 시스템을 보호한다라는 개념에 도달하게 된다.

 

 

개념

 

 

이 기술의 원리는 다음과 같다.

시스템이 정상 동작할 때와 하드웨어나 펌웨어에 사이버 공격이 있을 때의 전력 소비 및 전자파의 형태가 다르다. 

그래서,

솔루션은 정상 상태의 신호 파형을 학습하여 이와 다른 형태의 신호가 나타날 경우 사이버 공격이라 판단하여 경고 알림을 보낸다.

 

자세한 플로우는 아래 그림과 같다.

 

 

이 개념은 지속적이고 다방면으로 변화하는 사이버 공격의 영향을 받지 않고 더 아래 단계에서 공격을 원천 방어한다.

즉, 사이버 공격에 따라 공격 탐지 솔루션이 변화해야 할 필요가 적다는 것을 의미한다.

 

 

주요특징을 살펴보면

 

▶  전력 및 전자파 분석을 통한 사이버 공격 탐지

 

- 하드웨어 변경 공격(Tampering) 공격

 

- 펌웨어 공격 및 위변조

 

- 멀웨어 및 메모리, 바이오스 공격

 

- UEFI/BIOS 멀웨어, 로잭스(Lojax), 스턱스넷(Stuxnet), 미라이(Mirai), 펌웨어 공격 대응

 

- 하드웨어 예지 진단을 통해 고장대비

 

▶  해커의 우회 공격을 원천 차단하는 모니터링 기술

▶  美 방위 고등연구 계획국 조사 결과, 99.9% 정확도로 Router 공격 탐지

 

 

대표 사용 고객

 

▶  미국 육군, 공군, 해군, 국토 안보부, 에너지부, 방위고등연구계획국(DARPA)

▶  아바고테크놀로지스

▶  자일링스

 

특징들만 보면 정말 좋아 보이는 기술이다. 

하지만 좋은 점만 본다면 의미가 없기 때문에 다른 면도 한 번 살펴보면,

 

 

필자가 본 해당 기술의 약점

 

1. 하드웨어에서 소비하는 전력은 항상 일정할 수가 없다. 

 

어떤 프로세스가 실행되면서 소모하는 전력의 기복(다양한 이유로 한 순간 평소보다 높은 전력을 소비)은 불가피하며

어느 정도의 패턴을 가지지만 항상 같은 값을 가질 수는 없다. 

 

위와 같은 상황에서 두 가지의 약점을 볼 수 있다.

첫 번째는, 전력의 기복이 많이 발생하는 환경이라면 학습데이터의 정확도가 떨어질 수 밖에 없다. 이로 인해 위협 탐지의 정확도도 떨어질 가능성이 높다.

두 번째는, 항상 같은 값을 가질 수 없기 때문에 해커의 프로그램이 어느정도 학습된 전력 패턴 범위에 들어간다면 탐지해낼 수 없다.

 

2. 프로세스 변경

 

시스템이 정상적으로 동작하는 환경에서 학습을 해오다가 프로세스의 대규모 패치가 일어날 경우,

하드웨어가 소모하는 전력량과 발생하는 전자파의 양이 대폭 변화가 생기면서 재학습을 해야하며

재학습 기간동안은 정상적인 위협 탐지를 할 수 없다.

 

 

마지막으로

 

위의 기술은 "한컴MDS의 P2Scan"이라는 솔루션에 적용된 기술이다. 

소프트웨어적인 인공지능만 봐오던 우리에게는

새로운 관점에서의 인공지능이며, 기술적으로도 의미가 있다.

그러나, 항상 기술은 장점과 단점이 공존한다.

우리가 새로운 기술을 볼 때는 좀 더 다각도적인 시각을 가지고 본다면 컨퍼런스에 참여하는 것의 의미가 더 있을 것이라 생각한다.

 

위의 그림에 대한 출처 또는 더 자세한 설명은 : http://www.hancommds.com/solutions/?no=520