새로운 AI 모델로 랜섬웨어 탐지 정확도 99.96% 도달

과학자들이 랜섬웨어를 99.96%의 정확도로 탐지하는 인공지능 시스템을 개발했습니다. 이 시스템은 악의적인 행동을 이미지로 변환하여 사이버보안 방어를 강화합니다.

이 새로운 AI 도구는 Scientific Reports에서 자세히 설명되어 있으며, 소프트웨어 작동을 이미지로 변환하여 AI가 분석할 수 있는 “행동-이미지” 기법을 사용합니다.

연구자들은 랜섬웨어 공격이 점점 더 빈번해지고 비용이 높아지고 있음을 설명하고 있으며, 평균 랜섬 지불 금액은 273만 달러로 급증하고 있습니다.

새로운 시스템은 우선 소프트웨어를 격리된 샌드박스 환경에서 실행시키는 것으로 작동합니다. 이를 통해 안전하게 그 행동을 모니터링할 수 있습니다. 이 시스템은 파일 암호화라는 특정한 행동을 감지하는데, 이는 랜섬웨어 작업의 특징적인 작업입니다. 이러한 행동들은 그 후에 이차원 흑백 또는 컬러 이미지로 변환됩니다.

이 이미지 기반 형식은 연구자들이 사전 훈련된 AI 모델과 함께 ‘전이 학습’이라는 기술을 사용할 수 있게 해줍니다. 연구자들은 이 단계가 핵심적인데, 이는 대규모의 최신 랜섬웨어 샘플 데이터셋이 훈련에 부족함으로 인해 발생하는 사이버 보안과 관련된 주요 장애를 극복하기 때문입니다.

“제한된 데이터는 과적합 위험을 증가시키고, 다양한 행동 식별을 줄이며, 새로운 위협을 탐지하는 데 있어 신뢰성을 약화시킵니다.”라고 저자들은 설명합니다.

전이 학습은 AI가 수백만 개의 일반 이미지를 분석하여 얻은 지식을 랜섬웨어 탐지라는 특정 작업에 적용할 수 있게 해줍니다. 이는 대량의 악성 코드 샘플 데이터셋이 필요 없습니다.

연구팀은 ‘ResNet50’이라는 모델이 이러한 행동-이미지를 분석하는 데 탁월하다는 것을 발견했습니다.

주목할 만한 점은, 이 모델이 작은 데이터셋을 활용하면서도 랜섬웨어 탐지에 매우 효과적이었던 것이며, 정확도는 99.96%에 달했습니다.

AI의 결정이 신뢰할 수 있고 무작위의 소음에 기반하지 않도록 하기 위해, 팀은 고급 시각화 도구를 사용했습니다. 그들은 중요도 맵(saliency maps)을 생성했는데, 이는 “모델이 구조화된 행동-인코딩 영역에 초점을 맞추고, 클래스 특정 패턴 학습을 확인한다”는 사실을 확인시켰습니다.

이 근접한 완벽한 정확성과 소규모 데이터셋으로 작업할 수 있는 능력, 그리고 투명한 의사결정 과정이 결합된 것은 이 모델이 실질적으로 배포하기에 잠재력을 보여주는 특징입니다.