AI가 보안 분야에서도 활발하게 활동하고 있다. 수많은 위협 정보를 스스로 학습해 새로운 위협을 탐지, 분류하고, 다양한 IT 시스템에서 나오는 이벤트를 연계 분석해 은밀하게 진행되는 내부위협을 찾아낸다. AI는 보안 전문가의 업무를 줄일 수 있는데, 대부분의 위협은 AI가 판단해 처리하고, 전문가의 통찰력이 필요한 일부 이벤트만 처리할 수 있어 전문가가 더 정교한 위협에 집중할 수 있다. AI를 적용한 보안 기술의 현재와 미래를 살펴본다.<편집자>
AI 적용한 지능형 관제 서비스, 글로벌 시장 진출
AI가 가장 필요한 분야를 선정한다면 악성코드 탐지와 보안관제가 1, 2위를 다툴 것이다. 보안관제 시스템에는 수많은 위협 데이터가 수집되며, 이 중에서 실제 기업/기관을 공격하는 것이 무엇인지 파악하고 경고·격리·차단 등의 조치를 즉시 내려야 한다. 파악된 위협은 유사한 공격 유형을 찾아 분류해 그룹화하며 IOC에 추가하고 공격자 프로파일을 업데이트해 유사한 공격이 발생했을 때 대응 절차를 단축시는 일을 반복적으로 수행해야 한다.
보안관제 시스템에 AI가 적용되면 공격을 학습한 후 위협 수준이나 공격 유형별로 분류해 자동으로 조치를 취하는 한편 위협 인텔리전스에 추가해 다른 시스템과 고객이 동일하거나 유사한 공격을 당하지 않도록 대응할 수 있다.
보안관제 시스템 제조사나 관제 서비스 제공업체들은 머신러닝 기술을 이용해 관제요원이나 분석가의 업무를 줄이면서 위협 탐지를 자동화하고 있다.
SK인포섹은 우리나라에서 가장 많은 관제 서비스 고객을 확보하고 있는 만큼, 가장 많은 위협 정보를 갖고 있어 머신러닝 기술을 활용해 관제 서비스를 고도화 할 수 있는 기반을 마련하고 있다.
SK인포섹은 보안관제 서비스 역량에 AI를 적용한 지능형 보안관제 서비스를 출시할 계획을 갖고 있다. 6월 사이버위협연합(CTA)에 아시아 보안 기업 최로로 가입하면서 그동안 축적한 위협 인텔리전스의 글로벌 경쟁력을 입증 받았으며, 위협 인텔리전스에 더욱 고도화된 지능을 더해 보안 관제 솔루션 ‘시큐디움’과 차세대 보안관제 서비스의 역량을 높이고 있다. 또한 이 사업 모델을 글로벌 시장에도 소개해 글로벌 보안 전문기업으로 성장한다는 계획을 밝히고 있다.
글로벌 비즈니스 확대를 위해 싱가포르에 본사를 둔 글로벌 IT 기업 이노빅스와 총판사업 계약을 맺고 싱가포르 관제 사업에서 내년까지 400만달러의 매출을 올리겠다고 밝혔다. SK인포섹은 이노빅스와 싱가포르 내 보안관제와 위협 인텔리전스 서비스 영업·마케팅 활동을 펼칠 예정이며, 연내 50여곳의 고객에게 관제 서비스 체험판을 제공할 계획이다. 이노빅스는 미국 포춘지가 선정한 500대 기업 중 하나인 매더슨그룹의 IT 공급기업으로, 싱가포르와 홍콩, 말레이시아 등 아시아 전역에서 IT 시스템과 솔루션 사업을 하고 있다.
탐지·차단 자동화 가능한 AI 보안 플랫폼 개발
SK인포섹, 안랩과 함께 국내 보안관제 시장을 주도하고 있는 이글루시큐리티 역시 AI 알고리즘과 유관 기술을 더한 보안 플랫폼을 연구하고 있다. 이 플랫폼은 통합보안관리솔루션 ‘스파이더 티엠’을 통해 구현되며, 매일 새롭게 생성되는 방대한 보안 이벤트 분석을 자동화하고, 장기간 축적된 보안 데이터를 분석해 위협 인텔리전스를 고도화한다.
이글루시큐리티는 국내 공공기관 최초 AI 기반 사이버침해대응시스템인 ‘대구 AI 기반 지능형 보안관제 체계(디시큐리티 D-Security)’ 구축 프로젝트 총괄 사업자로 선정되기도 했다.
내년 1월 정식 서비스를 시작할 예정인 디시큐리티는 SIEM과 최신 위협 정보를 실시간으로 수집하는 ‘디날리지센터’, 자동으로 취약점을 진단해 선제 대응할 수 있는 ‘보안 취약점 자동진단 시스템’, 지속적인 반복학습을 통해 공격 패턴을 분석하는머신러닝 기반의 AI 시스템과 연계된다. 이를 통해 하루 수천만 건 이상 발생하는 보안 이벤트 처리 효율을 높이고 침해 대응 시간을 비약적으로 단축할 수 있게 될 것으로 기대한다.
이글루시큐리티 관계자는 “AI를 이용해 잠재적인 위협 요소를 사전에 예측하고 이에 탐지·대응하는 능동적보안관제시스템이 가능하게 됐다. 이글루시큐리티는 SIEM과 연계된 AI 플랫폼을 개발하고, 분석 데이터를 기반으로 생성된 보안경보와 위협차단 절차를 자동화 해 업무 효율성을 높여나갈 것”이라고 말했다.
또한 양질의 학습 데이터를 생성하고 선별할 수 있는 보안 전문가 풀을 구축하는 것도 중요하다고 강조했다. AI 기반 보안기술이 아직 개발 초기 단계에 머물러 있는 만큼, AI 시스템이 의미 있는 결과물을 창출하기 위해서는 ▲머신러닝 알고리즘에 적용하기 위한 학습 데이
터를 선별하고(feature selection) ▲원하는 결과를 얻기 위한 최적의 알고리즘을 선택·검증하며 ▲AI 시스템에서 내놓은 결과에 대한 피드백을 줄 수 있는 전문가의 개입이 필수적으로 요구되기 때문이다.
글로벌 관제 서비스 한국 시장 진출 가시화
우리나라에서도 AI 기반 차세대 보안관제 시스템과 서비스 도입 수요가 구체화되면서 글로벌 기업의 국내 시장 진출 움직임도 가시화되고 있다. 보안관제 시장은 토종 기업이 강력한 경쟁력을 갖고 있어서 글로벌 기업의 진출이 쉽지 않았지만, 보안위협이 고도화되고 전 세계에서 공격이 유입되고 있는 만큼 토종기업의 보안관제 역량 뿐만 아니라 글로벌 기업의 역량도 필요하다고 판단하는 고객이 많아지고 있기 때문이다.
글로벌 기업들은 자체 시스템을 공급하는 모델 뿐 아니라 국내 서비스 기업을 통해 공급하는 방법, 클라우드 기반 원격관제 서비스를 제공하는 방법 등을 다양하게 제안하고 있으며, 비즈니스 환경에 맞는 비용과 서비스 제공 방법을 달리해 제공할 수 있다고 강조한다.
시스코의 MDR(Managed Detection and Response) 서비스 ‘ATA(Active Threat Analytic)’가 그 대표적인예로, 고객의 환경에 따라 맞춤형 모델을 제공할 수 있으며, 워크숍, 교육 등의 다른 보안 서비스까지 추가해 보안수준을 고도화할 수 있도록 지원한다고 설명한다.
ATA는 머신러닝 기반 빅데이터 분석 플랫폼을 기반으로 하고 있으며, 풀 패킷 캡처, 이기종 이벤트, 탈로스를 포함한 인텔리전스 정보를 중심으로 분석 엔진을 통한 심층적 분석을 제공한다. 고객의 이벤트나 정보가 관제서비스 제공사가 아닌 고객사 내에서 운영되고 자동 분석된다.
사이버 공격 침투-방어 모의훈련을 제공하는 ‘사이버 레인지’ 서비스도 국내 시장 개척이 가능한 서비스라고 시스코는 보고 있다. 이 서비스는 사이버 공격에 대한 실전 훈련을 할 수 있으며, 실전 훈련을 위한 IT 인프라, 최신의 공격·방어 훈련 교육을 위한 커리큘럼, 최신 공격 사례를 재현해 침투조와 방어조로 나눠 진행한다.
보안 분야에 AI를 적용하면 신종 위협을 가시화하고 방어를 자동화하는 효과가 분명히 있다. 그러나 AI가 만능은 아니다. AI는 아직 초기단계로, 오탐과 과탐이 발생하기 때문에 보안 전문가에 의한 학습 교정이 반드시 필요하다. AI는 보안 전문가의 업무를 줄일 수 있지만, 전문가를 대체하는 것은 불가능하다.
김종연 닉스테크 상무는 “AI가 사람의 업무를 30~50% 가량 감소시킬 수 있다고 분석되지만, 전문가의 통찰력까지 대신할 수는 없다. 현재 AI는 기존의 룰·패턴 및 시나리오 기반 탐지와 머신러닝 혹은 딥러닝 기술을 혼용해 탐지 정확도를 높이고 오탐·미탐을 감소시켜 전문가의 업무를 줄이는 효과를 가져다 줄 수 있다”고 설명했다.
김 상무는 이어 “AI를 도입할 때에는 반드시 산업과 비즈니스 특성을 감안해야 하며, 각 나라, 산업별로 상이한 컴플라이언스를 고려해야 한다. AI 솔루션 공급 벤더의 유지보수와 기술지원도 중요하지만, 도입하는 고객이 AI에 대한 이해도가 높아야 하며, 이를 어떻게 사용하는 것이 효율적인지도 고민해 시스템을 지속적으 로 고도화해 나가야 할 것”이라고 덧붙였다.
