위협 인텔리전스는 빅데이터 분석 기술이 발달하면서 더욱 빛을 발하고 있다. 특히 AI의 발달로 인해 방대한 규모의 데이터에서 위협을 정확하게 찾아낼 수 있게 되면서 위협 인텔리전스가 보안에 기여할 수 있는 부분이 많아질 것이라는 기대가 높다.
일각에서는 AI의 부작용에 대비해야 한다는 지적도 있다. 오염된 데이터를 대량으로 투입했을 때 AI는 잘못된 판단을 할 수 밖에 없다. IBM의 인공지능 기술 ‘왓슨’이 언어를 학습할 때 욕설과 비속어, 인종 비하성 발언을 먼저 습득했다는 사실이 그 예로 지목된다.
공격자가 의도를 갖고 특정 공격 정보를 대량으로 발생시키면 AI는 해당 공격에 초점을 맞춰 분석하게 될 것이며, 그 틈을 타 은밀하게 다른 공격을 진행하는 등의 방법으로 AI 분석을 우회할 수 있다. 이 때문에 ‘AI가 인공바보(Artificial Stupidality)’가 될 수 있다는 지적도 나오는 상황이다.
이 같은 우려는 아직은 시기상조라는 것이 대다수의 의견이다. AI 기술이 성숙된 상황도 아니고, 완벽하게 상용화에 성공한 것도 아닌 만큼, 데이터의 오염을 막을 수 있는 방법을 고민하면서 발전시켜나가는 것이 합리적이라는 주장이다.
AI를 보안에 접목시키는 노력은 꾸준히 진행되고 있다. IBM은 왓슨과 코그너티브를 접목한 ‘왓슨 포 시큐리티’를 소개한다. 왓슨의 인공지능 기술을 코그너티브에 활용해 보안 공격을 정확하게 탐지한다. 이 기술은 큐레이더에도 접목해 보안관제를 더욱 정교하게 수행할 수 있다.
시만텍은 AI 기술을 악성코드 탐지, DLP, IoT 보안 등에 사용한다. AI를 이용한 비정상 행위 탐지 기술을 선보이고 있으며, 스마트카를 위한 ‘시만텍 어노멀리 디텍션 포 오토모티브 솔루션’을 출시했다.
보안 제품 너무 많아 보안 위협 높아져
보호해야 할 데이터와 방어에 사용할 수 있는 데이터는 넘쳐난다. 데이터가 없어서 분석하지 못하는 시대는 지났다. ‘구슬이 서말이라도 꿰어야 보배’인 것처럼, 의미 있는 데이터를 추출하고 분석해 보안에 사용하는 기술이 필요하다. 탐지된 위협에 제대로 대응하는 것도 필수적이다.
시스코 ‘연례 사이버 보안 보고서 2017’에 따르면 탐지한 위협 중 44%는 조사조차 이뤄지지 않는다. 조사된 56에서도 46%만이 치료되고 54%는 해결되지 않는다. 너무 많은 보안 이벤트가 발생하기 때문에 보안팀은 이벤트에 무감각해지며, 중요한 이벤트도 쉽게 간과하게 된다. 보안 사고가 일어났을 때 49%의 조직은 침해 사실을 외부에 알리지 않는다.
아이러니한 일은 보안 담당자의 58%는 보안 인프라가 최신의 상태라고 믿고 있으며, 효과적으로 위협을 차단하고 있다고 생각한다는 것이다. 55%의 기업이 6개에서 50개의 보안벤더로부터 제품을 구입했으며, 65%의 기업이 6개에서 50개 이상의 보안 제품을 사용하고 있다. 이렇게 많은 벤더와 보안 제품을 이용하면서 보안 인프라를 최신의 상태로 운영하고, 최신의 공격을 막는 것은 불가능하다.
보안 자동화는 이렇게 높은 복잡성 문제를 해결하기 위해 제안된다. 보안 자동화를 가장 먼저 이슈화 한 것은 마케팅에 강한 파이어아이다. 파이어아이는 인보타스를 인수하면서 ‘자동화’가 필요하다고 적극적으로 알리고 있으며, 보안운영을 단순화하고 통합·자동화하는 ‘헬릭스’ 플랫폼을 발표했다.
보안 자동화를 별도의 플랫폼으로 구성하는 것은 아키텍처를 복잡하게 만드는 요인 중 하나가 될 수 있다. 기존의 보안 플랫폼이 있고, 별도의 자동화 플랫폼으로 보안 플랫폼을 관리하면 옥상옥과 같은 구성을 갖게 될 수도 있다. 단일 플랫폼에서 탐지-차단-대응을 일원화하는 플랫폼 전략이 더 유리한 구성이 될 수 있다.
팔로알토네트웍스는 차세대 방화벽과 트랩스 엔드포인트 보안 솔루션을 통해 위협 정보를 수집하고 와일드파이어에서 분석해 차세대 방화벽·트랩스에 내려 보내는 삼각구도의 보안 플랫폼을 소개한다. 차세대 방화벽은 중앙관리 솔루션 ‘파노라마(Panorama)’를 이용해 분산·클라우드 환경을 자동화하고 효과적으로 관리할 수 있다.
보안 플랫폼에서 제공하는 보안 기능은 다양한 클라우드 애플리케이션을 인지하고 제어하는 ‘어패처’와 글로벌 위협 인텔리전스, 고객 맞춤형 인텔리전스를 제공하는 ‘오토포커스’ 등이 포함된다. 새로운 PAN-OS 8.0에서는 이중인증, 웹 보안, 베어메탈 애널리시스 등의 새로운 기능이 포함된다. 모든 기능은 자동화돼 있어 관리자 개입 없이 의심요소를 수집하고 분석하며, 대응 방법을 배포하고 보안 업데이트를 자동으로 수행하도록 해 항상 최신의 보안 상태를 유지하도록 한다.
