[데이터넷] 정상적인 거래대상으로 위장하고, 업무 관련 내용을 사칭하는 공격을 완벽하게 차단하는 것은 불가능하다. 공격자들은 보안 시스템의 작 동 원리와 패턴을 파악해 교묘하게 이를 우회한다. 업무 프로세스 내에 자연스럽게 끼어들기 때문에 피해자는 자신이 공격에 가담하고 있다는 사실조차 모른채 업무를 이어간다.

따라서 엔드포인트나 네트워크 내에서 사용자의 행 위를 정밀하게 분석하고 추적하면서 이상행위를 찾아 내는 사용자 행위 분석(UEBA) 솔루션이 필요하다. UEBA는 고의를 가진 내부자의 소행이나 감염된 사용자 계정에서 발생하는 이상행위를 탐지하는 솔루션으로, 초기에는 SIEM의 탐지를 도와주는 기술로 시작했으며, 최근에는 단독 솔루션으로도 주목받고 있다.

SIEM 솔루션 기업들은 대부분 UEBA를 출시하고 내 부위협 탐지 능력을 고도화하고 있다. 스플렁크 UBA의 경우, 머신러닝을 적용해 SIEM을 진화시키는 역할을 한다. 사용자 계정 감염, 데이터 유출, 계정 도용 방지 등의 기능을 제공한다.

스플렁크 SIEM 솔루션 ‘엔터프라이즈 시큐리티(ES)’는 실행 가능한 인텔리전스를 활용해 사고의 우선 순위를 지정하고 머신의 속도로 조치를 취할 수 있다. 보안 모니터링, 고급 위협 및 공격 탐지, 규제 준수, 사 고 조사 및 대응 등을 포함해 다양한 보안 활용 사례를 해결할 수 있다.

파이어아이는 ‘힐릭스 플랫폼(Helix Platform)’에 UEBA를 결합한 SIEM 기능을 탑재했으며, 이를 SOAR로 활용할 수 있는 통합 플랫폼으로 확대했다. 힐릭스는 전 세계 전문가의 인텔리전스와 전 세계에서 수 집한 위협 인텔리전스를 이용해 보안분석을 진행하고, 사고 대응자가 사용하는 플레이북에 따라 분석가에게 위협 대응 단계를 안내한다. 스마트 규칙과 분석 엔진 을 제공해 보안 대응 업무를 신속하게 처리할 수 있도록 하며, UEBA를 이용해 내부 이동과 제로데이·비실행파 일 기반 공격에 대응할 수 있게 한다.

AI로 위협 탐지 효과 높여

SIEM과 UEBA는 AI를 이용해 더 신속하고 정확하게 위협을 탐지한다. AI는 반복적으로 발생하는 위협 행위를 차단하고, 이 일련의 과정을 학습해 공격자의 진화 속도에 맞춰 대응 전략을 변화시킬 수 있다. 전문가의 개입 없이 공격을 차단하기 때문에 일상적인 위협 뿐 아니라 지능화된 공격까지 대응할 수 있다. 이를 통해 보안 담당자는 분석 업무를 크게 줄여 AI가 판단하지 못하는 고급 위협에만 집중 대응할 수 있다.

AI를 활용하는 보안 모니터링 솔루션의 대표주자는 다크트레이스다. 완벽한 지도학습 기술로 네트워크 상 에서 발생하는 알려진·알려지지 않은 위협을 찾아내며, 위험 정도에 따른 스코어링으로 SOC가 효과적으로 대 응할 수 있도록 돕는다.

포티넷은 내부 구축형 ‘포티AI’를 출시하고 클라우드 분석에 제약이 있는 폐쇄망 환경에서도 AI 활용 분석과 대응이 가능토록 하고 있다. 포티AI는 셀프러닝 심 층신경망(DNN) 기술을 활용해 사이버 위협 교정 속도를 높인다. 운영 기술(OT), 정부기관, 일부 대규모 기 업 중 인터넷 연결이 제한된 환경에서도 작동하는 포티 AI는 전체 위협 이동 경로를 식별하고, 빠르게 최초 감 염자와 후속 감염을 파악한다.

과학적으로 사이버 위협의 특성을 분석하고 위협 대 응을 가속화하는 정확한 의사결정을 내림으로써 조직이 위협에 노출되는 시간을 크게 줄인다. 또한 맞춤형 위 협 인텔리전스로 오탐을 제거한다.

플랫폼 중심 보안 전략 필요

SIEM과 UEBA는 시스템 로그 분석에만 의존하기 때 문에 가시성이 떨어진다. RSA ‘넷위트니스’의 경우, 로그, 패킷, 엔드포인트, UEBA, 클라우드까지 통합 분 석해 모든 환경에서 최적화된 위협 탐지 기술을 제공할 수 있다. 넷위트니스 통합 분석 플랫폼은 SOC 효율성 을 높이고 관제 인력 운영을 효율화하는 차세대 SIEM으로 인정받는다.

차세대 SIEM은 XDR이라는 용어로도 사용된다. 엔드포인트와 네트워크, 클라우드 위협을 연계 분석해 전사 위협 가시성을 확보할 수 있다. XDR은 SOAR에 대응하는 보안 운영과 분석 플랫폼 아키텍처(SOAPA)라 고 부르기도 하며 각각의 용어가 중점을 두는 지점은 상이하다. 그러나 이러한 용어가 추구하는 것은 포인트 솔루션 중심 접근에서 벗어나 단일 플랫폼 중심 접근을 통해 위협 대응을 단순화, 효율화하는 것을 목표로 한 다는 것은 공통된 것이다.

포레스터웨이브는 위협 대응을 위해 반드시 필요한 보안 플랫폼으로 AI 기반 네트워크 위협 탐지(NTA 혹은 NDR), UEBA, SIEM, SOAR 등을 꼽고 있으며, 이러한 요구를 플랫폼으로 통합한 관점으로 XDR을 소개한다. XDR은 팔로알토네트웍스, 트렌드마이크로가 가장 적극적으로 강조하는데, 자사가 보유한 네 트워크·엔드포인트·클라우드 보안 기능에 SOAR 역량까지 통합해 XDR의 이상을 완성할 수 있다고 주장 한다.

멀티테넌트 머신러닝으로 지능적인 탐지·대응

스텔라사이버는 ‘오픈 XDR 플랫폼’의 강점을 드러 내면서 시장 공략에 나선다. 스텔라사이버는 클라우 드·컨테이너·가상머신, 엔드포인트의 사용자 정보·호스트 네임·지역 데이터, 시스템의 서비스 로그·네트워 그 트래픽·파일·프로세스 등 13개 소스에서 정보를 수집하며, 지도학습·비지도학습 기반 머신러닝으로 분석한다. 멀티테넌트 머신러닝을 적용해 각각의 상황이 나 업무 특성에 맞는 지도학습-비지도학습 방식을 선택해 사용할 수 있도록 하며 오픈 API 생태계를 통해 모든 보안 장비와 연동해 효율성을 극대화할 수 있도 록 한다.

또한 클라우드 트래픽까지 전수조사해 클라우드 연계 시스템이나 원격 근무자의 클라우드 직접 접속 환경 까지 제한없는 가시성을 제공해 위협을 빠르게 탐지한다. 스텔라사이버는 국내에서 클라우드를 많이 사용하 는 통신사, 포털 등에서 특히 주목하고 있으며, 원격보 안관제 서비스 기업과도 협력해 클라우드 보안을 강화 한다.

왕정석 스텔라사이버 한국지사장은 “최근 몇 년간 AI 기반 위협 탐지 시스템 도입 열풍이 불면서 다수의 기업과 기관이 고가의 AI NTA·NDR 솔루션을 구입했다. AI가 전문가를 대체할 수 있다는 과도한 기대로 인해 솔루션 운영에 실패하고 있다”고 지적했다.

이어 “스텔라사이버는 AI에 대한 거품을 걷어내고 현장에 맞는 머신러닝 기술을 적용하면서 실무 담당자의 업무를 실제적으로 줄이고 보안 솔루션을 효율적으로 운영할 수 있도록 도와준다. 업무 특성에 맞는 머신러 닝 알고리즘을 제공하며, 오픈 API로 모든 보안 시스템 과 연동해 위협을 사전에 제거함으로써 해당 보안 시스템이 분석해야하는 위협만을 제공하는 방법으로 보안 시스템의 리소스를 최적화한다”고 설명했다.

AI 기반 보안관제로 위협 탐지 대응 역량 높여

내부 시스템의 위협을 탐지하고 대응하는 것은 보안 관제 시스템 내에서 일어나는 것이다. SOC가 운영하는 보안관제 솔루션은 정확하게 ‘실제 위협’만을 탐지하고 자동으로 대응하며, 추가 분석이나 대응이 필요한 것만 보안 관제 요원에게 전달하는 과정을 지원한다. 그래서 최근 관제 솔루션에도 AI를 적용하고 있는데, AI에 대 해 과도하게 기대해 모든 위협을 AI가 탐지하고 분석한다면 너무 많은 오탐과 이벤트가 발생해 관제인력의 업무가 폭증하는 결과를 낳게 된다.

이글루시큐리티는 AI 보안관제 솔루션 ‘스파이더 티엠 AI 에디션(SPiDER TM AI Edition)’에 정제된 AI 기술을 탑재하면서 보안관제 효율성을 높인다. 보안관제 서비스를 제공하면서 축적한 전문 역량을 바탕으로 플 레이북을 만들어 적용하는 한편, 데이터 사이언스 팀을 별도로 운영하면서 양질의 학습 데이터를 수집하고 이를 이용해 위협 탐지 알고리즘을 최적화한다.

이글루시큐리티는 AI 보안관제 효과를 높이기 위해 지속적으로 신기술을 개발하는 한편 이를 특허 등록하고 스파이더 티엠에 적용하면서 솔루션 경쟁력도 높이고 있다. 특허 취득한 ‘이벤트 기반 보안정책 실시간 최적화 시스템 및 그 방법’은 기계학습 알고리즘을 활용해 실시간으로 최적화된 보안 정책을 생성 및 적용 함으로써, 보안 담당자가 환경 분석을 통해 보안 정책 별 최적의 필터 값을 일일이 갱신해야 하는 어려움을 해소하고 보안 이벤트 오탐을 최소화하는 데 중점을 둔다.

특허 등록을 완료한 기술 중에는 보안 장비에서 수집한 로그 데이터의 연관관계과 빈발하는 패턴을 찾아 내는 것, 정보자산 위협 정도를 지표화하는 것, 지도 학습·비지도학습을 병행해 경보 예측 정확성을 높이는 것, 준지도학습을 통해 이벤트 레이블링 작업을 최소화 하는 것, 비지도학습을 이용해 이상탐지 모델의 학습 결과를 예측·평가하는 것 등이 있다.