[머신러닝과 보안②] UBA 결합해 공격 정탐률 높여
상태바
[머신러닝과 보안②] UBA 결합해 공격 정탐률 높여
  • 김선애 기자
  • 승인 2016.06.07 14:32
  • 댓글 0
이 기사를 공유합니다

시스템 스스로 건강한 상태·공격정황 학습 … 패킷·로그분석으로 지능형 공격 탐지

머신러닝이 보안 업계의 최대 화두가 되고 있다. 보안 시스템이 스스로 자신의 상태를 학습해 정상적인 상태와 비정상적인 상태를 분류하고, 비정상적인 상태(공격)가 발생했을 때 관리자에게 알려 문제를 해결하도록 한다. 정밀한 기계학습은 보안 전문가의 역량을 시스템이 스스로 갖출 수 있도록 해 보안 시스템을 우회하는 공격을 지능적으로 차단할 수 있다. 보안 시스템의 머신러닝활용 방법을 소개한다.<편집자>

인공지능 결합한 UBA로 지능적인 공격 탐지

머신러닝, 혹은 AI 기술을 보안 시스템에 적용한 대표적인 솔루션으로 지난해 국내에 진출한 다크트레이스와 오픈베이스가 총판을 맡고 있는 벡트라를 꼽을 수 있다. 둘 다 네트워크 패킷을 분석해 이상행위를 찾아내는 시스템으로, 모니터링 시스템, 관제 시스템으로 사용될 수 있다.

다크트레이스는 인간의 면역체계와 같이 기계가 스스로 건강한 상태를 학습한 후 이상징후가 발견되면 스스로 치유하도록 하는 ‘엔터프라이즈 면역시스템’과 ‘안티제나’ 솔루션을 소개한다. 면역시스템은 머신러닝 기술을 이용해 시스템이 스스로 건강한 상태를 기억하고 있다가 위험한 행위를 실시간 탐지한다. 안티제나는 탐지된 위협을 삭제하며, 면역시스템과 함께 구축되면 위협 탐지, 차단에 이르는 면역체계를 완성할 수 있게 된다.

서현석 다크트레이스코리아 지사장은 “인공지능 기술 기반 면역체계 시스템이 기존의 선제방어 전략의 문제를 해결할 수 있다는 사실이 입증되면서 많은 고객이 도입을 서두르고 있다. 국내에서도 공공기관, 국책연구기관, 금융권 등에서 도입하고, 도입을 검토하고 있어 빠르게 시장이 확장될 것으로 기대한다”고 말했다.

벡트라는 내부에서 발생하는 비정상적인 행위나 외부로 향하는 의심스러운 통신을 찾아 경고한다. 모든 네트워크 패킷의 연계분석을 진행하고, 위협 수준을 점수화해 대응 우선순위를 알려준다.

수십가지 공격유형을 기준으로 유입되는 모든 패킷에 해당 유형이 있는지 확인하고 모두 만족했을 때 공격으로 차단한다. 공격이 진행되는 ‘취약점 탐색→침투→C&C 통신/페이로드→계정탈취, 중요정보 유출→내부 확산, 공격 지속’의 단계별로 발생하는 이벤트와 자산의 연관성을 보여줘 오탐 없이 실제 공격 위협을 알 수 있게 한다. 그러면서 동시에 벡트라는 구축된 사이트의 시스템을 학습해 상황과 사용자 행위를 학습해 공격과 유사한 행위가 발생했을 때 이벤트를 발생시킨다.

벡트라 국내 총판인 오픈베이스의 채현주 보안기술팀장은 “한 유통기업에서 시범적으로 운영한 결과 2개월간 총 30개의 이벤트가 발생했고, 그 중 하나는 실제 APT 공격이었다”며 “관리해야 할 이벤트가 적어 관리자의 업무를 줄이면서 공격 탐지 효과를 높일 수 있다”고 말했다.

채 팀장은 “최근 사이버 공격은 실행파일 형태의 악성코드를 사용하지 않기 때문에 샌드박스 방식의 분석기술로는 탐지할 수 없다. 그래서 모든 패킷이나 로그를 분석하는 모니터링 시스템이 각광받는 것”이라며 “특히 실시간으로 흘러가는 패킷을 분석해 진행되고 있는 공격을 탐지하고 차단해야 하며, 공격 유형을 자동으로 학습하고 판단해 신변종 공격도 탐지할 수 있어야 한다. 벡트라가 이러한 이상에 가까운 솔루션이다”고 말했다.

▲‘벡트라’ 글로벌/로컬 러닝으로 지능적인 보안위협 탐지

로그·패킷 분석으로 정교한 공격도 탐지

오픈베이스는 총판을 맡고 있는 HPE의 SIEM 솔루션 ‘아크사이트’와 ‘아크사이트 UBA’를 벡트라와 함께 제공해 공격 탐지 효과를 높일 수 있다고 강조한다. 벡트라는 네트워크 패킷을 분석하며, 아크사이트는 시스템의 로그를 분석해 공격정황을 탐지할 수 있다. 아크사이트 UBA는 사용자 계정에서 발생하는 행위를 분석해 이상행위를 찾아낼 수 있다.

이 세 솔루션을 결합시키면 로그와 패킷을 전수조사해 공격의 시작 시점부터 공격이 진행되고 완료된 이후까지 전체적으로 추적, 탐지 할 수 있어 은밀하게 진행되는 지능형 공격을 오탐 없이 찾아낼 수 있다.

아크사이트 UBA는 사용자의 행위뿐만 아니라 동료그룹의 행위와 비교해서 정상그룹의 행위와 이상계정의 행위 정도를 수치화한다. 예를 들어 평소와 달리, 동료그룹에 비해 눈에 띄게 중요정보에 자주 접근하는 사람이 얼마 지나지 않아 사직서를 제출한다면 중요정보 유출 시도를 했을 가능성이 있다고 볼 수 있다.

중요정보 접근제어 시스템의 로그만으로는 이 사람의 이상행위를 탐지하기 어려우며, 사직서를 제출했다는 사실까지 결합되어야 이상행위일 가능성이 높다는 사실을 알 수 있다. 아크사이트UBA는 특정 계정이 각 시스템에 접속해 진행하는 행위를 추적해 이상행위 시나리오를 만들고 해당 행위의 이상 정도를 수치화한다.

HPE는 이메일, 음성, 소셜 네트워크 상에서 대화의 뉘앙스를 검색하는 오토노미 솔루션으로 이상행위 정황을 더욱 정확하게 찾을 수 있다고 설명한다.

박진성 한국HPE 보안사업부 상무는 “오토노미는 검색 시스템으로 사용되고 있지만, 고급분석 기능을 제공하고 있으며 행간을 읽고 컨텍스트를 분석하는 능력이 뛰어나 포렌식 분야나 범죄수사 분야에서 사용할 수 있다”며 “또한 아크사이트UBA는 FDS와 같은 사기거래, 이상행위 탐지를 위해 사용될 수 있다”고 말했다.

SIEM 솔루션에서도 머신러닝 기법을 사용하고 있는데, 수집된 로그를 학습해 이상행위를 찾기 위한 방법으로 사용된다. 스플렁크는 머신러닝 기술을 이용해 공격 정황을 더욱 정확하게 찾아낼 수 있다고 강조한다.

스플렁크는 모든 시스템에서의 데이터 수집 능력이 뛰어나며, 뛰어난 검색기술과 분석기술을 이용해 실시간 운영 인텔리전스를 제공한다. SIEM 솔루션 ‘스플렁크 ES’와 UBA 솔루션 ‘스플렁크 UBA’를 연동해 보안 시스템을 우회하는 공격을 찾아낼 수 있다.

로그분석 시스템, 머신러닝으로 업그레이드

로그관리 시스템도 머신러닝으로 한단계 업그레이드하고 있다. 유넷시스템은 통합로그관리 시스템 ‘애니몬’에 머신러닝 기술을 접목해 개인정보 유출 모니터링 시스템을 개발했으며, 제1금융권에 구축을 완료했다. 이 제품은 머신러닝 기술 중 예측 알고리즘을 사용해 다양한 변수를 유연하게 적용해 이상행위를 탐지할 수 있도록 한다.

기존의 로그관리 시스템은 특정 계좌에서 일어나는 행위의 평균치를 기준으로 데이터마트를 만든 후 평균과 다른 행위가 발생하면 이벤트를 발생시키는데, 다양한 변수를 반영하기 어렵다는 문제가 있다.

유넷시스템은 머신러닝의 예측알고리즘을 로그분석 시스템에 접목시켜 반복적으로 발생하는 변수를 고정시켜 데이터마트의 숫자를 줄인다. 예를 들어 개인정보 유출 모니터링 시스템의 경우, 요일, 날짜, 휴일, 근무일, 교육중 등 근태정보를 반영한다. 교육중인 사람이 개인정보에 접속하려고 하거나, 출장지 비행기 안에 있는 사람이 중요정보를 호출했을 때, 퇴근 후 시간에 개인정보를 열람하거나 월말에 개인정보 조회를 많이 하던 사람이 월초에 조회를 많이 하는 등의 행위가 발생했을 때 이를 차단하는 방식이다.

예측분석은 시나리오를 기반으로 위험도에 대한 가산을 부여하기도 하며, 중요 직원에 대해서는 위험도의 등급을 높이는 방식을 사용할 수 있다.

이상준 유넷시스템 전무는 “로그분석 시스템에서 머신러닝 기술은 관리자가 임계치를 조절하는 것을 학습해 모든 임계치에 대한 추천 값을 만들어 보여준다. 또한 시간의 흐름에 따른 이벤트를 알려줘 보안위협의 변화를 알 수 있게 해준다”며 “머신러닝의 효과를 극대화 하기 위해서는 관리자의 역량이 중요하다”고 말했다.

유넷시스템은 머신러닝 기반의 사용자 행위분석 시스템을 기업/금융의 개인정보/내부정보 유출탐지 시스템으로 소개하면서 2분기부터 본격적으로 영업을 전개하고 있다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.