[보안관리①] 머신러닝 이용 보안 기술 봇물
상태바
[보안관리①] 머신러닝 이용 보안 기술 봇물
  • 김선애 기자
  • 승인 2017.10.05 09:44
  • 댓글 0
이 기사를 공유합니다

빠르게 전파되는 공격, 선제방어로 완벽 대응 못해…이미 침투한 공격 찾아 대응해야

디지털 트랜스포메이션으로 비즈니스 모델에 급격한 변화가 생기면서 IT 인프라와 서비스를 관리하는데 어려움을 겪게 된다. 레거시 환경에서는 물리적으로 한 곳에 위치하는 IT 시스템만을 잘 관리하면 됐지만, 이제는 물리적으로 존재하지 않는 IT 까지 관리해야 한다. 어느 곳에나 존재하는 클라우드, 무엇이나 연결돼 있는 IoT, 모든 데이터에서 핵심 데이터만을 골라 분석 하는 빅데이터, 사람과 같이 생각하고 판단하는 인공지능(AI). 디지털 트랜스포메이션을 위한 IT 기술은 공격면(Attack Surface)를 확장하고 공격 위험을 높인다.

전통적인 보안은 엔드포인트, 네트워크 등 경계 단에서 침입자를 차단하는 것에 집중했지만, 공격면이 넓어진 현재는 이미 공격이 진행되고 있다는 사실을 전제로 시스템 내에서 일어나는 공격을 탐지하고 위험을 관리하는 탐지·대응으로 전환돼야 한다.

체크포인트 조사에 따르면 엔터프라이즈의 83%는 봇에 감염돼 있으며, SMB의 80%는 데이터 유출 사고를 겪었고, 알려지지 않은 신종 멀웨어가 처음 유포를 시작해 타깃 기관의 임직원에 의해 다운로드 되는데 단 34초 밖에 걸리지 않는다.

이렇게 빠르게 전파되고, 넓게 확산되는 공격은 선제방어로 모두 다 막을 수 없다. 공격 방어의 가장 이상적인 방법은 공격을 미리 인지하고 예방하는 것이지만, 현실적으로 이 방법이 완벽하지 않기 때문에 침해를 탐지하고 확산을 막는 것도 병행돼야 한다.

머신러닝 접목한 차세대 SIEM 부상

공격 탐지와 대응을 위한 기술은 모니터링이다. 온프레미스, 클라우드 전체에서 침입 상황을 인지하고 적절한 조치를 취해야 하며, 이를 위해서는 차세대 SIEM이 필요하다. 차세대 SIEM은 모든 IT 시스템에서 로그와 패킷 전체를 연관 분석해 정밀하게 침입을 탐지하는 것이 필요하다. 보안 인텔리전스와 연계해 알지 못했던 공격을 인지해야 하고, 탐지 결과를 각 보안 시스템에 알려 즉시 조치하도록 해야 한다.

차세대 SIEM의 이상에 가장 근접해 있는 델 EMC RSA의 ‘넷위트니스’는 머신러닝 기술을 활용해 풀 패킷·로그 분석과 다른 시스템의 연관분석을 시행, 네트워크에서 은밀하게 진행되는 공격을 차단한다. GRC 솔루션과 연동해 컴플라이언스 이슈도 만족시킨다.

최근 SIEM 솔루션은 사용자 행위 분석(UBA), 사용자 계정 행위 분석(UEBA)과 결합해 더욱 정교한 탐지를 제공한다. 스플렁크, 아크사이트 등이 UBA·UEBA 솔루션을 출시하며 SIEM과 연계한 영업전략을 펼치고 있으며, 닉스테크, 유넷시스템은 머신러닝 기술을 기반으로 한 UBA를 출시하고 정보유출 등 이상행위를 찾아낸다.

닉스테크의 ‘ADS 플러스’는 머신러닝 기술로 자동으로 위협을 탐지하며, 이미 알려진 공격 유형에 대해서는 시나리오를 기반으로 개인·그룹의 이상행위를 탐지한다. 프로파일에 의한 정상행위와 비정상행의를 정의, 탐지의 정확성을 높인다.

유넷시스템의 ‘애니몬 UBA’는 개인과 조직의 프로파일 정보를 축적해 내부정보 유출 행위를 탐지한다. 이 솔루션은 우리은행과 함께 개발해 성공적인 운영을 보여준 후 다른 금융기관으로 확대 도입되고 있다.

차세대 보안관제 실제 사용 사례 늘어나

보안 관제는 전체 비즈니스에서 일어나는 위협 상황을 모니터링하는 종합 보안 시스템으로, 보안운영센터(SOC)를 직접 구축하거나 관제 전문 기업의 원격 서비스를 받기도 한다. SOC를 운영해 관제 전문인력 파견 서비스를 받는 모델은 공공기관에서 많이 채택하고 있지만, 관제 시스템과 인력의 전문성을 높이기 위해서는 원격관제 서비스를 이용하는 것이 더 유리하다고 평가된다.

전 세계적으로 관제 서비스는 시만텍, IBM, 델 등이 가장 높은 시장 점유율을 갖고 있지만, 우리나라에서는 국내 기업을 선호하는 분위기 때문에 서비스하지 않는다. SK인포섹, 안랩, 이글루시큐리티 등 관제 전문기업이 시장을 장악하고 있으며, 이 기업들은 관제 서비스를 제공하면서 축적한 위협 인텔리전스를 관제 솔루션으로 판매하거나 다른 보안 솔루션에 적용해 보안 기술 수준을 높이기도 한다.

SK인포섹은 차세대 관제 시스템 ‘시큐디움’에 AI를 탑재해 자동화된 침해 모니터링 서비스를 제공한다. 자체 구축한 보안 인텔리전스와 글로벌 위협 공유 커뮤니티인 사이버 위협 얼라이언스(CTA) 참여를 통해 고객과 파트너에게 국내외 위협 정보를 신속하게 공유하며, 국내 최고 수준의 보안 전문가로 구성된 시큐리티 익스퍼트 랩을 조직해 탐지되는 중요 공격을 분석하고, 공격그룹을 추적하는데 도움을 줄 계획이다. 더불어 개방형 플랫폼으로 다양한 파트너·서비스 기업과 협력해 지능화되는 보안위협을 효과적으로 차단할 수 있도록 한다.

또한 SK인포섹은 정보보안 전문가 그룹 ‘이큐스트’ 출범시키고, 침해사고 대응과 포렌식, 전략해킹 등 고급 보안 서비스 제공, 파이어아이 맨디언트와 경쟁하겠다고 선언하기도 했다.

이큐스트는 대표이사 직속으로 편제된 본부 규모 조직으로 ▲취약점, 공격패턴 등 침해위협을 연구하는 ‘시큐리티 엑스퍼트팀’ ▲실제 침해사고 현장에 투입돼 원인 조사 및 대책을 수립하는 ‘침해사고대응팀’ ▲모의해킹을 담당하는 ‘전략해킹팀’ 등 총 3개 팀으로 구성돼 있다.

이글루시큐리티도 관제 서비스에 AI를 적용한 차세대 관제를 선보인다. 이 기술은 대구시 보안관제체계를 구축하는데 적용된다. 이 사업은 머신러닝 기반 관제 시스템을 개발하고, 최신 위협 정보를 실시간으로 수집하며, 자동으로 취약점을 진단해 선제 대응한다.

한편 이글루시큐리티는 보안진단 자동화 솔루션 ‘스마트가드(Smart[Guard])’를 출시하고 새로운 시장 개척에 나섰다. 스마트가드를 사용하면, 시스템 관리자가 일일이 수많은 IT 자산을 진단할 필요 없이 보유한 IT 자산에 적용되는 취약점은 무엇인지 ▲보안성이 취약한 IT 자산은 없는지 ▲취약점이 잘 패치 됐는지 ▲기업에 적용되는 정보보호 규제가 잘 준수되고 있는지 여부를 쉽고 빠르게 확인할 수 있다. 

▲이글루시큐리티 ‘스마트가드’ 시스템 구성도


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.