북한의 인공지능(AI) 기술의 한 분야인 기계학습(머신러닝)을 보안 부문에 적용하고 있는 것으로 확인됐다.

6월 30일 대북 소식통에 따르면 북한 김일성종합대학에 ‘기계학습에 기초한 악성프로그램 분류 실현’이라는 글이 29일 게재됐다.

글을 쓴 연구진은 “악성프로그램 분류는 악성프로그램 제거의 신속성과 정확성을 높이는데서 효과적인 방법으로 된다”며 “악성프로그램 분류에 대한 여러 방법들 중 우리는 기계학습에 기초한 악성프로그램 분류 방법에 대해 알아보기로 한다”고 설명했다.

기계학습(머신러닝)은 AI 연구 분야 중 하나로 인간의 학습 능력과 같은 기능을 컴퓨터에서 실현하고자 하는 기술을 뜻한다.

김일성종합대학 연구진들은 기계학습에 기초한 악성프로그램 분류가 두 가지 단계 즉 특징추출 단계와 적합한 분류 모형 선택 단계로 나눌 수 있다고 설명했다.

특징추출은 가상기계모래통(가상머신 샌드박스)에 의한 악성프로그램 분석으로 진행되는데 이런 분석에서 얻어지는 특징들 중 악성프로그램의 본질적 행위 특성을 반영하는 동적 특징만을 추출하는 방안을 연구했다고 한다. 이는 가상환경(샌드박스)에서 악성프로그램으로 의심되는 파일을 작동시켜 동작의 특성을 찾아낸다는 의미로 보인다.

김일성종합대학 연구진들은 의심 파일에서 파일 및 레지스트리에 대한 창조, 변경, 삭제와 관련되는 호출, 프로세서 기억 구간에 쓰기, 원격 쓰레드를 창조하는 호출 등을 파악한다고 밝혔다. 그리고 기계학습을 진행하기 위해 개별적인 특징자료 모임을 단일화 된 벡터 공간으로 넘겨 특징 벡터들을 생성했다고 한다.

또 이렇게 생성한 특징 값을 이용한 악성프로그램 분류를 위해 감독학습(Supervised Learning)의 여러 분류 알고리증 가운데서 실험적 방법으로 적합한 학습알고리즘을 선택했다고 연구진은 설명했다.

북한 연구진은 기계학습을 진행하기 위해 2000개의 악성프로그램 표본 모임에서 1600개로 표본 자료기지(DB)를 구축하고 나머지 400개의 악성프로그램 표본과 1000개의 정상프로그램을 준비했다고 한다.

북한 연구진은 K-NN(K-Nearest Neighbor) 방법, SVM(Support Vector Machines) 방법, 결정나무(Decision Trees) 방법, 자유나무(Random Forests) 방법 등으로 테스트를 했다고 한다. 그 결과 자유나무에 의한 분류모형이 분류 정확도면에서 가장 우수하며 학습시간도 현실에 적용할 수 있을 정도로 짧다는 것을 확증했다고 한다. 

SVM, Decision Trees, Random Forests 모두 머신러닝의 기법들이다. 이를 통해 북한 연구진들인 자유나무(Random Forests) 머신러닝에 기반한 악성코드 분류법을 개발했다는 것을 추정할 수 있다. 북한도 악성코드 탐지를 위한 기술을 고도화하고 있는 것이다.

이글은 첨단기술개발원 연구원 명의도 작성됐다. 김일성대 첨단기술개발원은 최신 기술에 대한 연구와 전문인재 양성은 물론 실제 기술을 현장에 적용하고 제품 생산까지 진행하는 역할을 한다. 이 연구가 제품 개발과 생산으로 이어질 수 있다는 뜻이다.

이 연구는 첨단기술개발원 내 정보기술연구소에서 이뤄진 것으로 추정된다. 정보기술연구소는 인공지능(AI), 사물인터넷(IoT), 거대자료(빅데이터) 분석 등 최신 IT 기술에 대한 연구를 진행하고 있다.

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.