“고급 상황인지 기술로 더 완벽한 AI 보안관제 제공”
상태바
“고급 상황인지 기술로 더 완벽한 AI 보안관제 제공”
  • 김선애 기자
  • 승인 2018.09.12 15:14
  • 댓글 0
이 기사를 공유합니다

SK인포섹 ‘시큐디움’, 고급 AI 알고리즘으로 진화하는 위협 대응…IT·물리보안 통합 플랫폼으로 진화

보안 위협 대응을 위해 인공지능(AI) 기술을 접목하는 사례가 늘고 있다. 특히 보안 위협 탐지·모니터링 분야에서 수많은 이벤트 중 실제 위협을 찾아내기 위해 AI 기술을 접목하는 흐름이 두드러지게 나타난다.

그러나 아직 AI는 완벽하지 않다. 여전히 오탐·미탐이 많고, 이벤트가 발생한 이유를 직관적으로 설명해주지 않으며, 고급 보안 분석 전문가를 필요로 한다. 충분한 위협 데이터를 축적하지 못한 경우 탐지 오류가 발생하고 오탐·미탐의 문제를 겪게 된다는 문제도 있다.

채영우 SK인포섹 SW 개발센터장은 “AI를 이용하는 보안 관제 솔루션이 다수 출시돼있지만, 정탐률은 만족할만한 수준이 아니다. 특히 글로벌 솔루션은 국내 상황을 충분히 인지하지 못한다는 한계도 보이고 있다”며 “AI 기반 보안 관제 시스템은 상황인지 기술을 접목해 실제로 위협만을 찾아내야 한다. 그렇지 않으면 고급 보안 인력이 단순하게 반복되는 분석에 매달리게 된다”고 지적했다.

▲채영우 SK인포섹 SW 개발센터장은 “현재 머신러닝은 과포장 시기를 지나 설득력 있는 시도가 출현되고 있는 상황”이라며 “SK인포섹은 시큐디움의 실제 효과를 증명할 수 있는 분야부터 활발하게 적용하고 있다”고 말했다.

전문가 역량 자동화·고도화한 보안관제 플랫폼 제공

보안 관제시스템에서 사용되는 AI 기술인 머신러닝은 주로 지도학습 기법을 사용하며, 학습된 데이터를 기반으로 새롭게 발생하는 이벤트가 실제 위협인지 아닌지 판단한다. 학습 기간이 길수록, 학습 데이터가 많을수록 탐지 결과의 정확도가 높아진다. 국내 뿐 아니라 전 세계에서 발생하는 데이터를 수집해 분석하는 것이 더 효과를 높일 수 있다.

그러나 위협 데이터를 수집하는데 한계가 있기 때문에 지도학습 기반 머신러닝은 한계를 갖는다. 거의 대부분의 기업/기관들이 위협 데이터를 공유하는데 소극적이며, 개인정보보호법 등 컴플라이언스로 인해 데이터 수집에 제한이 있기 때문이다. 또한 위협 인텔리전스로 공유되는 데이터의 포맷이 달라 분석에도 어려움을 겪게 된다.

글로벌 AI 기반 탐지 솔루션은 전 세계에서 발생하는 위협을 포괄적으로 분석하는데 탁월하지만, 특정 지역이나 국가, 특정 언어를 사용하는 집단을 타깃으로 하는 공격을 탐지할 때에는 수집할 수 있는 정보가 상대적으로 적기 때문에 위협 탐지 정확도를 높이는데 어려움을 겪는다.

채영우 센터장은 “AI 기반 보안관제는 아직 완성된 단계라고 할 수 없으며, 지속적으로 진화하는 상황이라고 봐야 한다”며 “보안 이벤트가 발생했을 때 관제조직은 공격에 사용된 도구와 방법, 공격자, 타깃이 된 사용자의 주요 업무와 업무상 나타나는 특징 등을 수집·분석해 대응한다. 이는 분석가의 전문 역량으로 자동화하거나 패턴화하기 어렵다”고 지적했다.

그러면서 그는 “SK인포섹은 이러한 전문가 역량을 자동화하고 검증해 차세대 보안 관제 플랫폼 ‘시큐디움’을 만들어가고 있다. 시큐디움은 보안 이벤트의 정탐률을 높이고 자동으로 이상행위를 판단한다. 현재 이 기술을 더욱 고도화해 내년 6월 완성도 높은 새로운 버전이 발표될 것”이라고 말했다.

10억건 보안 이상징후 분석해 위협 대응

‘시큐디움’은 AI 기반 네트워크 트래픽 분석(NTA), 위협 인텔리전스(TI)를 연계한 위협 헌팅, 보안 자동화와 오케스트레이션(SA&O) 기술을 도입해 정탐률을 높이고 있다. 비지도학습 방식의 머신러닝을 이용해 설제 학습 데이터나 학습 기간 없이 정확하게 공격을 탐지할 수 있도록 한다.

채 센터장은 “현재 머신러닝은 과포장 시기를 지나 설득력 있는 시도가 출현되고 있는 상황”이라며 “SK인포섹은 시큐디움의 실제 효과를 증명할 수 있는 분야부터 활발하게 적용하고 있다”고 말했다.

시큐디움은 국내외 2000여 고객, 8000대 이상 보안 시스템에서 탐지한 이상징후를 수집·분석해 공격 여부를 판별한다. SK인포섹 보안관제센터에서 하루 수집하는 이상징후와 보안 로그는 10억건 이상이다. SK인포섹은 자체적으로 보유한 위협 정보와 보안 분석가의 분석 논리를 만들고, 글로벌 보안 기업과 공유하는 위협 인텔리전스를 활용해 머신러닝 분석 알고리즘을 개발했다.

또한 서울대학교와 산학협력을 통해 알려지지 않은 지능형 공격을 탐지하는 머신러닝 알고리즘을 개발했으며, 위협을 자동으로 판단하는 머신러닝 기술로 보안관제 역량을 한 차원 더 높였다.

SK인포섹은 인공지능 보안관제 시대를 열어가기 위해 사람(Expert), 프로세스, 기술의 세 요소를 고도화하며, 위협 인텔리전스와 머신러닝을 통해 위협을 분석하고, 보안 전문가들은 위협을 학습할 데이터셋 구축 등의 고난이도 업무에 집중할 계획이다.

도지헌 SK인포섹 전략사업부문장은 “현재 단계에서 글로벌 경쟁력을 갖추기 위해 인공지능을활용해 위협 분석 효율을 높이고 관제 범위를 확대하는데 집중하고 있다. 정보 뿐 아니라 물리 영역까지 넘나드는 복합 위협이 현실화되고 있는 상황에서 사회와 산업을 보호하고 기술을 선도하는 글로벌 보안회사로 거듭날 것”이라고 말했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.