[머신러닝과 보안④] 전문가 역량, 모든 분야에 적용

전문가 통찰력·사용자 경험 더해 탐지 정확도 높여…이벤트 연계분석으로 보안사고 차단

머신러닝이 보안 업계의 최대 화두가 되고 있다. 보안 시스템이 스스로 자신의 상태를 학습해 정상적인 상태와 비정상적인 상태를 분류하고, 비정상적인 상태(공격)가 발생했을 때 관리자에게 알려 문제를 해결하도록 한다. 정밀한 기계학습은 보안 전문가의 역량을 시스템이 스스로 갖출 수 있도록 해 보안 시스템을 우회하는 공격을 지능적으로 차단할 수 있다. 보안 시스템의 머신러닝활용 방법을 소개한다.<편집자>

전문가 역량 보편화하는 머신러닝

머신러닝을 이용하면 전문가의 역량을 모든 분야에 쉽게 적용할 수 있다. 제조 시스템에서 발생하는 센서 데이터를 분석해 장애를 예측할 때, 해당 데이터에서 장애 발생을 예측하기 위해서는 해당 분야에서 오랜 기간 경험을 쌓아온 전문가가 필요하며, 머신러닝이 이를 대신 할 수 있다. 마케팅이나 보안분야, 관제 분야의 전문성도 확보할 수 있다.

그러나 실제 머신러닝은 전문가만큼 정확한 통찰력을 갖지는 못한다. 따라서 탐지의 정확도를 높이기 위해서는 전문가의 통찰력을 자동으로 적용할 수 있는 알고리즘과 시간 흐름에 따른 사용자 경험이 필요하다.

코바이노베이션는 보안 시스템에도 전문가 역량을 결합한 머신러닝 기반 행위분석 시스템(UBA)을 적용해 지능화되는 공격을 막을 수 있다고 강조한다. 보안전문가들이 기존에 활용했던 룰셋과 시나리오를 UBA에 적용한 후 UBA를 운영하는 방식이 제안된다.

머신러닝을 적용한 UBA는 시스템이 정상행위를 학습할 수 있는 시간이 필요하기 때문에 학습기간 동안은 그동안 이상행위 탐지 노하우를 기반으로 운영한다. 시스템이 정상패턴 학습을 진행하면서 변화하는 상황에 따라 룰셋을 변경하고 자동으로 업데이트하며, 생성 완료된 룰셋은 유저의 행위예측에 활용하는 방법이 이상적이라고 설명했다.

박희준 코바이노베이션 대표는 “보안 솔루션에 UBA가 사용된다면, 분석 방법과 룰셋의 신뢰성을 검증해야 한다. 분석방법이 없는 데이터는 무의미하기 때문”이라며 “내부적으로 축적된 보안 룰셋을 갖고, 컴플라이언스를 만족할 수 있는 제품을 찾아야 한다. 또한 공격을 인지하는 수준을 넘어 지능적인 대응과 예측이 가능하도록 해야 한다”고 말했다.

코바이노베이션의 UBA 솔루션 ‘유엑스로거(Uxlogger)’는 분야별로 UBA를 적용할 때 필요한 룰셋을 자동으로 생성해준다. 또한 시간의 흐름에 따라 변하는 사용자 경험을 도출하고 이에 적합한 룰셋을 만들어 업데이트한다.

박 대표는 “UBA 솔루션에서 자동화된 분석기준 생성과 성능향상을 위해 알고리즘과 기술은 점점 더 고도화 되고 있으며 AI 인공지능 및 머신 러닝이 도입되고 있는 추세”라며 “완벽하게 인간처럼 지능을 갖추고 생각하는 수준은 아니더라도 비즈니스 전문가가 놓칠 수 있는 부분을 보완해주거나 분석성과를 높이는 데는 충분한 역할을 하고 있다. 또한 인간이 분석업무에 할애하는 시간과 노력을 덜 수 있다면 업무성과를 더욱 높일 수 있을 것”이라고 밝혔다.

보안관제, 머신러닝 적용 효과 가장 높아

머신러닝을 적용해 방어 효과를 가장 높일 수 있는 분야는 보안관제 시스템이다. 보안 관제 시스템은 대부분 보안시스템의 로그를 분석해 시그니처에 등록돼 있는 공격을 차단하고, 임계치를 넘는 이상행위를 차단한다. 그러나 시그니처나 임계치 기반 방어는 쉽게 우회할 수 있기 때문에 관제 전문인력이 로그를 정밀하게 분석해 우회공격을 찾아야 한다.

머신러닝은 관제 전문인력의 업무를 크게 줄여줄 수 있으며, 오탐·미탐 가능성을 확실하게 줄일 수 있다.

김혁준 나루씨큐리티 대표는 “머신러닝은 이미 오랜 시간 사용돼왔기 때문에 알고리즘의 정확도나 안정성은 이미 입증된 상태이다. 그러나 이 기술이 실제 관제 시스템에 적용됐을 때 공격을 정확하게 탐지할 수 있는지는 다른 문제”라며 “머신러닝을 이용한 차세대 관제·모니터링 시스템을 운영하기 위해서는 관제 분야 전문성이 필요하다”고 지적했다.

나루씨큐리티는 머신러닝 기술을 활용해 보안관제 서비스를 한단계 업그레이드하고 있다. 나루씨큐리티의 관제 시스템 ‘커넥텀’은 네트워크 플로우 분석 기술과 상황인지·위협인지·사고추적 기능을 결합시켜 개발했다.

이를 통해 보안 시스템을 우회하는 공격을 찾아내며, 네트워크에서 발생하는 모든 정황을 연계분석해 정확하게 공격을 탐지하고, 누구나 쉽게 보안위협을 알 수 있도록 직관적인 UI를 제공한다.

김 대표는 “보안은 보험이 아니며, 비즈니스에 기여해야 한다. 보안사고가 발생했을 때 보안 관리자에게 책임을 묻는 것이 아니라 정확한 위협정보를 바탕으로 피해확산을 차단하고 대응책을 마련해야 한다. 데이터 중심 보안 관제 서비스를 통해 보안사고를 차단하고 예방할 수 있을 것”이라고 덧붙였다.

시만텍은 보안관제 플랫폼에 머신러닝과 인공지능 기술을 적용해 지능화되는 공격을 빠르게 차단한다. 시만텍 관제 플랫폼은 글로벌 인텔리전스 네트워크(GIN)의 인텔리전스 정보와 고객으로부터 수집되는 정보를 머신러닝 기술을 통해 실시간으로 분석하는 것은 물론 상관관계 분석을 통해 침해사고를 식별하도록 지원한다.

글로벌 보안운영센터(SOC)의 보안관제, 위협 분석 플랫폼에도 인공지능 기술을 접목해 보이지 않았던 위협과 비정상 트래픽을 탐지하고 있다. 점차 지능화되는 공격에 대응하기 위해 머신러닝을 구동, 스스로 학습하고 분석할 수 있는 역량을 갖춤으로써 시스템 자체를 이해할 수 있도록 해나갈 예정이다. 더불어 IoT 분야에중 자동차 산업 분야에 머신러닝과 인공지능을 접목할 계획이다.

김선애 기자 다른기사 보기