지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
머신러닝 접목 보안 기술 관심 크게 늘어
침해 탐지·대응은 이미 침투한 공격을 찾아 확산을 방지하고, 이를 응용한 신변종 공격을 방어할 수 있도록 해야 한다. 단일 시스템에서 발생한 이벤트만을 분석하는 것이 아니라, 모든 로그와 패킷, 각종 이벤트, 파일 변경 등의 모든 정보를 수집해 정밀하게 연계분석해야 하며,엔드포인트부터 네트워크, 시스템에 이르는 모든 IT에서 정보를 수집해야 한다.
또한 방대한 데이터를 수집하고 정확하게 공격을 찾아내야 해 고급분석 기술이 필요하다. 이에 더해 머신러닝 기술을 이용해 자동으로 시스템이 정상 행위와 비정상 행위를 찾아내는 방법도 유용하다.
IDC는 머신러닝, 빅데이터 분석 등을 활용해 신종 보안 위협에 대응하는 APT 대응 사이버보안 시장이 2019년 31억 달러 규모까지 성장할 것으로 예측했다. 머신러닝이 보안 시스템에 적용되면 보안위협 탐지 정확도가 높아질 수 있다.
머신러닝을 이용한 탐지·대응 기술 중 사용자 행위분석(UBA)과 네트워크 행위 분석(NBA)이 주목된다. UBA에 사용자 계정(Entity) 분석이 포함된 UEBA도 등장해 내부보안 수준을 높일 수 있도록 한다.
채현주 오픈베이스 팀장은 “가트너가 선정한 ‘2016년 10대 정보보호 기술’에 UEBA가 포함됐다. 가트너는 고객 대상 설문조사 결과, 1년간 보안 분석 기술이 25% 증가한 반면, UEBA에 대한 관심은 10배 이상 증가했다”며 “UEBA는 사용자의 행동을 중심으로 한 폭넓은 분석 기능을 제공하며, 내부보안을 강화해 지능화된 위협에 대응할 수 있다”고 말했다.
APT 공격이 기업 내부 네트워크에서 확산되는 단계에서 공격자는 내부 시스템의 계정권한을 탈취해 정상 사용자로 가장하고 시스템에 접근한다. UEBA는 계정을 탈취 당했을 때 발생하는 이상행위를 탐지한다. 머신러닝 기술을 이용해 자동으로 비정상 행위를 찾아내고 프로파일링해 악성행위를 판정, 차단한다.
사용자 계정 행위 지능적으로 분석해 이상행위 탐지
UEBA 솔루션은 HPE의 ‘아크사이트 UBA’가 대표적이다. 이 제품은 프로파일링 기반 사용자 행위 분석을 제공하며, 머신러닝 기반의 고급 분석기술로 사용자 이상행위를 분석한다. 동료그룹과의 비교분석으로 이상행위를 정확하게 탐지할 수 있으며, 평소 발생하지 않았던 이벤트를 분석하고, 정상 패턴의 빈도를 분석해 너무 자주 발생하는 이벤트를 탐지, 개인정보 과다조회를 통한 정보유출을 탐지한다. IP 기반 행위와 계정의 비정상 행위를 상관분석해 가장 위급한 대응을 알려주며, 상황분석 기반 가시성과 분류로 경고·이벤트 조사를 간소화했다.
사이버 위협 분석, 계정 접근 이상행위 탐지, 데이터 유출 시도 분석 등에 활용할 수 있다. 아크사이트와 같은 SIEM 솔루션 및 NAC 솔루션과 함께 사용하면 위협 탐지 효과를 높일 수 있다.
오픈베이스는 HPE 총판으로, 아크사이트, 아크사이트 UBA를 공급하고 있으며, 머신러닝 기반 NBA 솔루션 ‘벡트라’도 공급해 로그와 패킷을 모두 분석해 가시성을 더욱 높일 수 있도록 지원한다.
벡트라는 머신러닝 기술 기반 네트워크 패킷 분석 솔루션으로, 실행파일 없이 진행되는 지능형 공격을 탐지할 수 있다. 내부에서 발생하는 비정상적인 행위나 외부로 향하는 의심스러운 통신을 찾아 경고한다. 모든 네트워크 패킷의 연계분석을 진행하고, 위협 수준을 점수화해 대응 우선순위를 알려준다. 공격자가 트래픽을 주고받은 과정을 보여줘 공격 가시성을 높일 수 있다.
채현주 오픈베이스 팀장은 “지능형 공격 탐지에 관심을 갖고 있는 기업과 기관들이 UBA 시스템 도입을 적극 검토하고 있으며, 내년 예산에 반영하기 위해 POC를 요청하는 등 높은 관심을 보이고 있다”며 “벡트라는 이미 국내 공공기관에서 사용하고 있으며, 통신사, 금융기관, 게임회사 등에서 긍정적으로 도입을 검토하고 있다”고 말했다.
그는 “머신러닝은 전문가의 보안 통찰력을 확보할 수 있도록 해 보안위협을 지능적으로 탐지할 수 있도록 한다. 전문가 아웃소싱 서비스는 기업에 자산으로 축적되지 않으며, 많은 비용이 든다. 머신러닝 기반 보안 모니터링 시스템은 전문가의 지식을 합리적이 비용으로 활용할 수 있도록 하며, 기업 보안 자산으로 활용할 수 있다”고 지적했다.
한편 오픈베이스는 오픈소스 빅데이터 수집·분석 솔루션 ‘엘라스틱’을 이용한 SIEM 솔루션을 개발하고 있다. 엘라스틱과 파트너십을 통해 개발하는 이 제품은 오픈소스 기반으로 공급돼 스플렁크의 10% 수준 가격으로 공급할 수 있을 것으로 기대하고 있다.
