2018년 이후 가장 수요가 높을 것으로 예측되는 기술로는 인공지능(AI), 디지털 보안, 사물인터넷(IoT) 등이 꼽힌다. 특히 인공지능은 디지털 보안과 사물인터넷과 관련한 문제 해결에 핵심적인 역할을 수행할 전망으로 다양한 분야에 접목되면서 인공지능에 대한 투자가 빠르게 늘고 있다. 뿐만 아니라 소프트웨어 정의, 클라우드, 5G 등 IT 인프라의 정의를 새롭게 써내려가고 있는 상황으로 2018년은 4차 산업혁명을 위한 기반 인프라가 본격적으로 조성되는 한해가 될 전망이다. 특히 가트너는 기업의 80%가 2021년까지 혁신을 위한 경쟁에서 도태되거나 자체적 혁신에 실패함으로써 시장 점유율의 약 10%를 잃을 것으로 예상하는 등 기업의 디지털 트렌스포이션은 선택이 아닌 필수가 됐다. 기업의 디지털 경제 시대 생존법이자 성장동력으로 주목받는 새로운 기술과 트렌드를 짚어본다. <편집자>
인공지능(AI)이 범람하고 있다. 모든 IT 시스템에 AI 혹은 AI의 일종인 머신러닝을 도입하고 있으며, 마케팅 자료에 ‘AI를 탑재했다’는 문구만 넣어도 영업 효과가 크게 올라가는 실정이다.
AI에 대한 여러 시각이 존재하는 것은 사실이지만, AI가 가져오는 혜택은 분명히 있다. AI는 사람의 수작업을 줄여 업무를 단축시키고 결과의 정확성을 높이며 전문가의 역량을 보다 많은 범위에서 범용적으로 사용되도록 한다.
보안 분야에서 AI 활용 효과는 더욱 분명하게 나타났다. 하루에도 수십만 개씩 쏟아지는 신변종 악성코드는 분석 전문가가 모두 처리할 수 없다. AI를 이용해 분석하고 분류하며 시그니처를 만들어 자동 배포하는 것까지 AI가 처리할 수 있다.
폭증하는 악성코드, AI로 분석
수많은 악성코드를 찾아내야 하는 백신 솔루션 업체 거의 대부분이 머신러닝을 이용해 신변종 악성코드를 탐지하고 있다. 악성코드 패턴의 유사성을 자동으로 분류하고 공격 그룹을 추적할 수 있는 프로파일을 만들어내며, 악성코드 행위의 위험정도를 수치화 해 우선 대응할 것을 알려주는 것이 악성코드 탐지에 사용되는 머신러닝 기술이다.
EDR 솔루션은 AI를 보다 적극적으로 활용하고 있다. EDR은 시그니처 기반 탐지가 아닌 만큼 보다 정교하고 정확한 탐지 역량을 필요로 하는데, 엔드포인트에서 발생하는 수많은 이벤트에서 침해 정황을 알아내기 위해 머신러닝을 이용한다. 사일런스가 AI 기반 EDR을 제공한다고 강조하고 있으며, 카본블랙도 AI를 이용해 엔드포인트 보안 역량을 한 차원 높인다.
지니언스는 ‘지니안 인사이츠 E’에 머신러닝을 적용해 탐지 정확도를 높일 계획이다. 자체 개발한 머신러닝 기술은 1000개 이상의 특징을 추출해 정교하게 학습된 모델을 적용하는데 채 1초가 걸리지 않으며 탐지 정확도는 99% 이상이다.
이상행위 탐지 위해 AI 사용
은밀하게 진행되는 지능형 공격 탐지를 위해서도 AI가 사용된다. 네트워크와 시스템 로그를 분석해 이상행위를 탐지할 때 머신러닝을 이용하면 정확도를 높일 수 있다. 머신러닝은 방대한 규모의 데이터를 학습하고 분석하기 때문에 사람이 보지 못하는 위협까지 탐지할 수 있다.
네트워크 위협 분석(NTA) 솔루션 다크트레이스는 베이시안 수학모델을 기반으로 한 고급 머신러닝 알고리즘을 사용해 시스템의 정상 상태를 학습한 후 이상행위를 탐지하도록 했다. 시나리오, 시그니처, 위협 인텔리전스 정보를 참조하지 않고, DPI 기반 실시간 패킷 전수조사만으로 이상행위를 찾아내고 완벽한 네트워크 가시성을 제공한다.
닉스테크는 지난해 인수한 시큐플러스 기술을 이용한 UEBA솔루션 ‘ADS플러스’를 출시했다. 공공·금융기관 공급 사례를 늘려가고 있는 ADS플러스는 시스템 내의 사용자 이상행위를 머신러닝 기반 분석 기술을 이용해 탐지한다.
차세대 보안관제, AI 필수
보안관제는 머신러닝이 반드시 필요한 시스템으로 꼽힌다. 많은 보안 사고에서 공통적으로 나타나는 현상중 하나는, 관제시스템에서 여러 차례 탐지됐지만 너무 많은 이벤트에 묻혀 제대로 분석하지 않고 대응하지 못한 채 방치해 피해를 입게 되는 것이다.
머신러닝이 적용된 보안관제 시스템은 이상행위를 학습하고, 이상행위가 발생했을 때 위험 정도를 수치화 해 알려줘 대응할 수 있도록 도와준다. 이를 통해 보안조직과 관제인력의 업무를 크게 줄일 수 있으며, 중요 위협은 높은 순위로 알려주기 때문에 보안 조직이 인지하지 못해 방치하는 위협을 줄일 수 있다.
SK인포섹은 차세대 보안관제 시스템 ‘시큐디움’에 머신러닝을 적용해 한 차원 높은 보안을 제공할 예정이며, 글로벌 위협 인텔리전스와 보안 전문가 조직의 협력을 통해 보안관제 시스템 수준을 높이고 해외시장 진출 기반도 닦고 있다. 이글루시큐리티 역시 머신러닝 기반 보안관제 서비스를 제공하고 있으며, ‘스파이더 티엠’ 위협관리 시스템을 고도화한다. 더불어 머신러닝을 탑재한 SIEM 솔루션 출시를 예고하며 사업 확장 계획을 밝혔다.
SIEM과 네트워크 포렌식 기능을 동시에 수행하는 델EMC RSA ‘넷위트니스’는 전체 IT 시스템에서 로그와 패킷을 수집해 머신러닝 기술로 분석하고 지능적으로 대응할 수 있도록 지원하고 있다. 이 같은 차세대 기능을 통해 정교하게 진행되는 공격을 막을 수 있다.
