[AI 이용한 보안 기술④] 로그·패킷 실시간 분석해 위협 탐지

홈 > 뉴스 > 뉴스 > 보안

[AI 이용한 보안 기술④] 로그·패킷 실시간 분석해 위협 탐지

경계보안 시스템 우회한 정교한 공격, AI 기반 모니터링 시스템으로 탐지…내부위협 탐지에도 효과적

관련기사

[AI 이용한 보안 기술⑤] AI 기반 사용자 행위 분석

2017년 11월 15일 10:15:29

김선애 기자

iyamm@datanet.co.kr

AI가 보안 분야에서도 활발하게 활동하고 있다. 수많은 위협 정보를 스스로 학습해 새로운 위협을 탐지, 분류하고, 다양한 IT 시스템에서 나오는 이벤트를 연계 분석해 은밀하게 진행되는 내부위협을 찾아낸다. AI는 보안 전문가의 업무를 줄일 수 있는데, 대부분의 위협은 AI가 판단해 처리하고, 전문가의 통찰력이 필요한 일부 이벤트만 처리할 수 있어 전문가가 더 정교한 위협에 집중할 수 있다. AI를 적용한 보안 기술의 현재와 미래를 살펴본다.<편집자>

‘정책 기반 제어’ 한계 해결 위해 AI 적용

보안 분야에서 최근 가장 활발하게 AI 도입을 고민하는 분 야는 로그와 패킷 모니터링 시스템이다. 로그분석, SIEM, 네트워크 포렌식 등이 시스템이 스스로 이상행위를 찾아낼 수 있도록 하고 있다.

이 솔루션이 AI를 활용하고자 하는 이유는 룰과 패턴 기반 탐지 기술로는 보지 못하는 위협이 많아졌기 때문이다. 기존 모니터링 시스템에서 개인정보 서버에 1일 100회 이상 접속하면 이상행위라고 정책을 세웠을 때, 관리자가 하루 99번씩 접속하면 정상 접근이라고 판단한다.

주말, 휴일에 99번씩 접속하거나, 해외 출장 중인 직원의 계정이 접근했을 때 이상행위로 판단해야 하는데 룰 기반 시스템은 이를 탐지하지 못한다. 이와 같은 이상행위 패턴을 정책으로 설정하면 해결될 문제라고 여길 수 있지만, 너무 많은 예외규정을 두면 보안 효과가 떨어지고, 잘못 설정된 정책으로 인해 보안 홀이 생길 수도 있다.

박달수 주니퍼 부장은 “규칙기반 탐지 기술에 AI를 결합하면 알려진 공격과 알려지지 않은 공격까지 포착할 수 있으며, 빠르고 정교한 보안 시스템 구현이 가능하다. 알려진 위협은 즉시 차단, 알려지지 않은 위협은 알려진 위협으로 신속하게 바꾸고 자동으로 차단하는 프로세스가 마련돼야 하는데, AI가 이러한 자동화를 가능하게 한다”고 설명했다.


▲금융기관 UEBA 구축 활용 사례(자료: 닉스테크)

AI 모니터링, 도입 초기에는 이벤트 늘어

보안 모니터링 시스템이 보안 이벤트를 줄이는 것은 아니다. 모니터링 시스템이 주로 적용하는 머신러닝의 경우, 학습하는 시간이 필요하기 때문에 도입 초반에는 이벤트가 과다하게 발생해 보안 업무가 크게 늘어나는 현상도 보이고 있다.

따라서 머신러닝으로 탐지한 위협의 우선순위를 매겨 보안팀이 먼저 대응해야 할 중대한 위협을 알 수 있도록 하는 것이 필요하다. 의심스러운 파일이 들어온 후 의심스러운 외부 서버와 통신하고 추가 파일을 다운로드 받는다면 APT 혹은 랜섬웨어일 가능성이 높으므로 해당 프로세스를 차단하는 것이 우선이다.

개인정보가 일시에 다른 서버로 이관된다면 침해가 발생한 상황일 수 있으며, 시급한 대응이 필요할 수도 있다. 그러나 서버 교체 등의 정상적인 작업일 수도 있기때문에 관리자가 확인하도록 알려주는 것도 필요하다.

로그·패킷 분석 통한 이상징후 발견

SIEM은 보안 시스템의 로그를 수집하고 분석해 룰과 패턴 기반 이상행위를 탐지하는 솔루션으로, 최근에는 모든 IT 시스템으로부터 정보를 수집해 머신러닝 알고리즘을 적용해 스스로 이상징후를 탐지하도록 발전하고 있다.

SIEM의 대표주자인 스플렁크와 아크사이트는 기존 SIEM에 사용자 행위분석(UBA), 사용자·계정 행위분석(UEBA)을 연동하면서 정교한 위협 탐지 능력을 높이고 있다. UBA는 수집된 로그에서 사용자의 이상행위를 탐지하는 시스템이며, UEBA는 사용자와 계정의 행위를 분석하는 시스템으로 동료그룹 분석, 상황인지 분석 등을 통해 좀 더 정밀한 분석 결과를 제공한다.

네트워크 포렌식 솔루션으로 델 EMC RSA의 ‘넷위트니스’와 시만텍(구 블루코트)의 ‘시큐리티 어낼리시스 플랫폼(SAP)’이 대표적이다. 이들은 네트워크상의 모든 패킷을 전수조사해 머신러닝으로 분석, 이상행위를 찾아내 APT 방어와 내부정보 유출 등의 역할을 수행할 수 있다.

넷위트니스는 네트워크 포렌식 시장을 개척한 솔루션으로, 네트워크 패킷 뿐 아니라 로그, 엔드포인트 네트워크 정보까지 수집·분석해 전사적인 위협 가시성을 제공하는 차세대 보안관제 솔루션으로 진화하고 있다.

자산 중요도 등 비즈니스 컨텍스트, ID 솔루션의 사용자 정보, 위협 인텔리전스를 비롯한 적절한 정보에 손쉽게 액세스할 수 있으며, 모든 분석가가 작업을 효과적으로 수행할 수 있도록 돕는 자동화된 분석과 고급 툴을 제공한다. 직관적인 워크플로우로 보안기술이 부족해 위협에 대응하지 못하는 문제를 해결하고 보안 담당자의 역량을 높인다.

10월 출시한 신제품 ‘넷위트니스 스위트 V.11.0’은 분석 환경을 효율화 했으며, 클라우드 환경 분석과 클라우드 인프라 구축을 지원한다. SSL 트래픽 분석 기능 강화, 네트워크 세션의 엔트로피 분석을 통한 비정상적 세션 탐지 등의 기능이 강화됐다. 넷위트니스는 국내 대형 제조기업, 금융, 공공기관 등 다수의 고객에게 공급, 보안관제를 수행하고 있다.

전통적인 로그분석 솔루션도 머신러닝을 이용해 이상징후를 탐지하려고 노력하고 있다. 이너버스, 유넷시스템 등이 대표적이며, 파수닷컴은 AI 분야 전문 기업 엘렉시와 손잡고 AI 기반 보안 솔루션을 개발하기로 했다. 파수닷컴의 ‘리스크뷰’와 엘렉시의 ‘필로-AD’를 접목하는 이 사업은, 기존에 찾지 못했던 정보유출 위험을 딥러닝 학습을 통해 탐지할 수 있게 한다.