[AI 이용한 보안 기술⑤] AI 기반 사용자 행위 분석

내부통제·관제 시스템에 활용하는 AI…금융기관 사기거래 탐지에도 유용하게 사용

AI가 보안 분야에서도 활발하게 활동하고 있다. 수많은 위협 정보를 스스로 학습해 새로운 위협을 탐지, 분류하고, 다양한 IT 시스템에서 나오는 이벤트를 연계 분석해 은밀하게 진행되는 내부위협을 찾아낸다. AI는 보안 전문가의 업무를 줄일 수 있는데, 대부분의 위협은 AI가 판단해 처리하고, 전문가의 통찰력이 필요한 일부 이벤트만 처리할 수 있어 전문가가 더 정교한 위협에 집중할 수 있다. AI를 적용한 보안 기술의 현재와 미래를 살펴본다.<편집자>

금융권 FDS에도 AI 도입

금융권을 중심으로 구축되고 있는 사기거래탐지시스템(FDS)에도 AI가 접목된다. 인피니그루, 인터리젠, 앤서 등이 머신러닝과 딥러닝 기술을 이용해 FDS를 고도화하고 있으며, 금융권에서도 기계학습 기반의 차세대 FDS 도입에 속도를 내고 있다.

금융보안원이 8월 발표한 ‘머신러닝 기반의 이상거래 탐지시스템 동향’ 보고서에 따르면 금융사들이 머신러닝을 적용한 FDS를 통해 탐지율을 향상시키고 이상행위에 신속하게 대응할 수 있을 것으로 기대하면서 관련사업을 펼치고 있다.

해외 금융사의 경우 페이팔, 빌가드, 도로(D’Oro), BAE 시스템, US 뱅크 자금세탁 방지 시스템 등에서 머신러닝 혹은 딥러닝 기반 FDS를 사용하고 있으며, 국내 금융사에서는 SK증권이 룰 방식과 딥러닝 방식을 혼합한 FDS를 구축했고, 한국스마트카드는 딥러닝 기반 FDS를 구축했다. 신한은행, KB국민카드 등이 딥러닝 기반 FDS 도입을 검토하고 있다.

기계학습 기반 FDS를 검토했던 초반에는 전문가가 사전에 정의한 규칙에 의존하는 방식으로 AI의 효과를 충분히 누리지 못했으나, 누적된 금융거래 정보 활용을 극대화하는 데이터 마이닝 기반 FDS가 등장하면서 사업에 속도가 붙게 됐다. 이 방법은 수학, 통계, 머신러닝 등의 알고리즘을 사용해 룰 생성과 반영, 새로운 사기 패턴 발견 등을 자동화하고, 사기 패턴을 일반화하며 오탐률을 감소시킬 수 있다.

▲이상거래 탐지 시스템(FDS) 구성 예시(자료: 금융보안원 ‘머신러닝 기반의 이상거래 탐지시스템 동향’, 2017.8.25)

‘인간 면역 시스템’에서 착안한 AI 기반 관제 시스템

‘인공지능 보안 시스템’의 상용화를 선언한 대표적인 기업은 다크트레이스다. 다크트레이스는 인간의 면역 시스템과 같이 시스템이 스스로 면역시스템을 갖추고 이상행위에 대한 알람을 울리는 인공지능 기반 관제 시스템인 ‘엔터프라이즈 면역 시스템(EIS)’을 소개한다.

EIS는 고급수학모형인 베이시안 확률모델을 기반으로 설계됐으며, 비지도학습 모델을 이용해 시그니처나 룰 없이 시스템이 스스로 학습하고 이상행위를 감지한다. 능동적으로 위협을 감지하기 위해 시스템·네트워크 뿐만 아니라 사용자까지 아우르는 정상적인 사용 패턴을 학습한다.

다크트레이스 솔루션의 핵심 요소는 자율대응 솔루션 ‘안티제나(Antigena)’이다. EIS에서 동작하는 이 솔루션은 인간 면역체계 내의 항체와 같은 기능을 재현한다. 이상징후가 실제 위협으로 발생하기 전 보안 담당자에게 필요한 조치를 취할 수 있도록 하며, 사람의 개입 없이 진행 중인 위협을 중화시킨다. 보안 정책이나 시그니처 없이 위협에 대한 실시간 자율대응이 가능하며, 아웃오브 밴드 구성으로 네트워크 구성 변경 없이, 비즈니스 영향없이 동작한다.

다크트레이스의 위협 시각화 도구 ‘쓰렛 비주얼라이저’는 보안조직의 업무 효율성을 극대화 시켜준다. 3D 기술을 적용해 직관적으로 대응하게 했으며, 탐지한 이벤트를 클릭하면 이벤트가 발생하게 된 원인과 위협 행위가 나타난 지점, 해당 이벤트가 어떻게 흘러갔는지 자세히 알 수 있어 보안과 관제 조직이 즉각 위협에 대응할 수 있게 한다.

다크트레이스는 2015년 국내에 처음 진출한 후 공공·금융기관, 연구소, 제조기업 등 다양한 산업으로 빠르게 고객군을 확장하고 있다. 국내 대표적인 공급사례로 꼽히는 KB생명보험의 경우, 다크트레이스 도입 후 기존에 보이지 않았던 위협까지 인지하고 대응할 수 있게 돼 고객정보와 자산을 더욱 안전하게 보호할 수 있게 됐다고 평가한다.

AI 접목한 UEBA로 정교한 위협 행위 탐지

다크트레이스와 같은 네트워크 행위분석(NBA) 솔루션과 연동됐을 때 시너지가 극대화 될 수 있는 모니터링 제품이 사용자 행위분석(UBA), 사용자·계정 행위분석(UEBA) 솔루션이다. UBA와 UEBA 솔루션에도 AI가 접목돼 SIEM·로그분석 솔루션을 우회하는 지능적인 위협 행위를 탐지할 수 있다.

UBA, UEBA는 SIEM을 대체하는 솔루션은 아니며, SIEM과 함께 사용될 수 있는 솔루션으로 평가된다. SIEM이 탐지하지 못하는 개별 사용자의 이상행위를 찾아낼 수 있으며, 사용자 정보와 계정 정보까지 함께 연계해 보다 정교한 분석이 가능하다. 특히 사용자와 계정 정보까지 살펴볼 수 있는 UEBA는 가트너의 ‘2016년 10대 정보보호 기술’에서 주목해야 할 기술로 선정되기도 했다.

김종연 닉스테크 상무는 “SIEM과 로그분석은 SI로 구축되는 경우가 많으며, 룰·패턴을 기반으로 탐지하기 때문에 이를 우회하는 공격을 찾지 못한다. UEBA는 사람과 기계의 행위, 계정의 행위 등을 학습할 수 있으며, 상황에 따른 위협까지 분류할 수 있다”고 말했다.

닉스테크의 UEBA 솔루션 ‘ADS 플러스’는 시나리오와 머신러닝 기술을 활용해 기존 시나리오 기반으로 탐지하기 어려운 내부정보유출을 탐지하고 내부정보 유통현황을 분석해 전사적인 보안관리 수준을 높일 수 있다.

ADS 플러스는 금융·공공 분야에서 다수의 성공사례를 거두고 있으며, APT 방어, 내부정보 유출 차단 등의 실제 성과를 거두고 있다. 닉스테크는 현재 엔터프라이즈 침해 탐지 및 대응(EDR) 솔루션을 개발하고 있으며, 이 제품과 연동해 엔드포인트에서 네트워크까지 전사 관점의 위협 가시성을 확보하고 이상행위를 보다 정확하게 찾아낼 수 있을 것이라고 자신한다.

김선애 기자 다른기사 보기