마이크로소프트, AI가 악성코드 잡는다… '프로젝트 아이어' 첫 실전 투입

마이크로소프트(MSFT)가 악성코드 탐지를 위한 새로운 인공지능 기반 분석 시스템 '프로젝트 아이어(Project Ire)'를 공개했다. 사람의 개입 없이 스스로 소프트웨어를 역분석하고 악성 여부를 판단할 수 있는 자율 AI 에이전트를 지향하며, 사이버 보안 업계에 상당한 변화를 예고하고 있다.

프로젝트 아이어는 기존 바이러스 탐지 기술과 달리 디컴파일러 및 바이너리 분석 툴을 활용해 의심스러운 파일을 자동으로 해체하고 공격 징후를 포착한다. 마이크로소프트는 이 기술이 실제로 자사 내부 보안 플랫폼 디펜더(Defender)에서 고도화된 APT(지능형 지속 공격) 샘플을 사람 없이 최초로 판별해 차단한 사례가 있다고 밝혔다. 이는 AI 모델로서는 최초의 사례로, 프로젝트 아이어의 실전 투입 가능성을 입증한 셈이다.

실험 결과도 인상적이다. 공개된 윈도우 드라이버 데이터셋을 기반으로 프로젝트 아이어는 정밀도 0.98, 재현율 0.83의 성능을 기록했다. 이는 오탐 없이 실제 악성파일을 평균 98% 정확도로 탐지한다는 의미다. 또한 악성 여부를 판단할 수 있는 다양한 기술적 증거를 보고서 형식으로 생성한다. AI가 각 코드의 기능을 정리하고, 악성 행위를 시사하는 징후를 수집해 종합적인 결론을 내리는 방식이다. 예컨대, 보안 감시를 회피하는 로깅 래퍼 삽입, 보안 프로세스 종료, 분석 회피 기술 등이 이에 포함된다.

실제 환경에서도 프로젝트 아이어는 일정 수준의 효용성을 입증했다. 사람이 판별을 보류하던 4,000개의 고위험 파일을 대상으로 시험한 결과, 악성 탐지 정밀도 0.89, 재현율 0.26을 기록했다. 즉, 해당 AI는 10개 중 9개는 정확히 악성으로 판별했으며, 전체 위협 중 약 4분의 1은 제대로 탐지했다. 무엇보다도 오탐 확률은 4%로 매우 낮았다.

마이크로소프트는 디펜더 플랫폼이 매달 10억 개 이상의 디바이스를 스캔하고 있다고 밝혔다. 이 과정에서는 매일 다양한 유형의 의심 파일이 수집된다. 하지만 보안 분석가들은 반복되는 경고와 표준화되지 않은 판정 기준으로 인해 수시로 피로와 오류에 직면한다. 프로젝트 아이어처럼 자동으로 판단 기준을 적용하고 반복 가능한 프로세스를 갖춘 AI 시스템이 필요한 이유다.

이미 구글(GOOGL)과 아마존(AMZN)도 자율형 AI 기반 보안 기술을 선보인 바 있다. 구글은 작년 ‘빅 슬립(Big Sleep)’이라는 취약점 발굴 AI를 활용해 SQLite의 치명적 결함을 찾아낸 사례를 공개하기도 했다. 빅테크 기업 간 자율 보안 AI 경쟁이 본격화되는 추세다.

마이크로소프트 측은 프로젝트 아이어가 향후 악성 코드 탐지 및 소프트웨어 분류에 점차 확대 적용될 계획이라고 밝혔다. 궁극적으로는 전에 본 적 없는 생소한 악성 파일도 메모리 상에서 실시간으로 탐지할 수 있도록 기술을 고도화하는 것이 목표다. AI 보안 체계의 신뢰도와 효율성을 결정하는 핵심 기술로써, 프로젝트 아이어의 역할이 주목된다.