데이터 과학자 통한 데이터 정제·목적 맞는 AI 알고리즘 필수
[데이터넷] 최근 보안관제 분야에서 가장 뜨거운 이슈로 달아오른 것은 ‘AI’와 ‘AI 무용론’이다. AI를 이용한 위협 탐지·대응 시스템이 처음 등장했을 때 AI가 보안관제 조직의 모든 어려움을 해결해 줄 수 있을 것이라는 기대가 높았다. 그러나 AI 기반 관제 시스템을 도입·운영해 본 기업들은 AI가 모든 것을 해결해 줄 수 없을 뿐 아니라 AI로 인해 분석 업무가 더 많아졌다고 어려움을 토로한다.
지도학습이든 비지도학습이든 상관없이, AI는 결과를 도출하는 과정을 설명해주지 않는다. 어떤 정황 때문에 AI가 높은 위험군의 이벤트로 분류했는지 알려주지 않기 때문에 이를 분석하는데 시간을 소요해야 한다. 또한 AI는 너무 많은 이상정황을 찾아내기 때문에 과도한 노이즈로 인해 분석가의 업무를 증폭시키기도 한다.
예를 들어 어떤 직원이 카페에서 고객을 만나 자사의 상품을 소개하기 위해 업무 시스템에 접근한다면, AI 보안 시스템은 평소와 다른 장소에서의 접근을 시도했다며 모든 접근에 대해 이벤트를 발생시킨다.
사람에 의해 통제되는 환경이라면, 이 사람이 어느 장소에서 고객을 만나 어떤 시스템에 접근해 설명할 것이라는 사실을 파악하고 허용했을 것이다. AI는 모든 행위에 다 알람을 띄워 보안경고의 홍수를 일으킨다.
보안 이벤트 홍수, AI로 해결해야
AI가 완벽하지 않다고 해서 AI 도입을 반대하는 것도 옳지 않은 태도다. 보안관제팀은 너무나 많은 이종 장비에서 발생하는 이벤트, 카페·가정·원격지 사무소 등에 분산돼 있는 임·직원의 접근 통제시 발생하는 이벤트, 멀티 클라우드로 확산된 비즈니스 영역에서 발생하는 수많은 이벤트를 처리해야 한다.
파이어아이 테스트에 따르면 공격이 내부망 내로 이 동하는 것을 탐지하지 못한 것이 54%에 이르렀으며, 실행된 행동의 96%는 SIEM에 해당 경보가 생성되지 않았다. SIEM 등 전통적인 보안 솔루션과 이미 알려진 보안 정책을 우회해 진입하는 공격을 방어하기 위한 방법이 필요하며, 그 대안이 ‘AI’다.
정일옥 이글루시큐리티 관제기술연구팀장은 “고도화된 잠복형, 신·변종 위협이 기하급수적으로 증가한 반면, 수많은 경보를 빈틈없이 처리하고 복합적인 보안 정보를 신속 정확하게 분석할 수 있는 보안관제 요원의 수는 한정돼있다. 그래서 탐지한 보안 이벤트도 분석하지 못하는 보안 공백이 생기고, 너무 많은 이벤트로 인한 보안 피로도도 상당하다”며 “이러한 문제를 해결 하는데 AI가 대안이 될 수 있다”고 설명했다.
양질의 학습 데이터 확보가 관건
AI는 보안관제 요원을 대신하거나 보안운영센터(SOC)를 대체하는 기술은 아니다. AI는 기계가 스스로 학습하지만, 정확한 학습을 위해 정제된 데이터를 지속적으로 제공해야 하며, 탐지된 결과가 정확한지 확인하면서 알고리즘을 보정해나가야 한다.
특히 정제된 양질의 데이터를 위해 좋은 피처(Feature)를 선정하고 이에 맞게 데이터를 변환 처리하는 것이 중요하다. 피처는 학습·탐지 시 사용할 데이터의 특성을 정의해 놓은 것으로, 데이터 과학자, 보안 분석가, 알고리즘 전문가 등에 의해 정의된다.
보안관제에 AI를 적용했다 해도 지속적으로 위협 정보와 분석 전문가의 노하우를 주입시키며 학습시켜야 한다. 공격자의 흔적을 추적·제거하는 과정에서 얻은 경험, 다양한 경로에서 수집된 최신 위협 정보를 연계 해 복합 분석해야 한다. 머신러닝 시스템이 더 많은 노하우와 정보를 흡수하고 학습할수록, 해당 시스템은 보안 전문가 수준의 정확한 판단을 내릴 수 있게 된다.
AI를 이용하면 보안탐지의 정확도를 높이고 관제요원의 숙련도에 따라 위협 탐지 성공률이 달라지는 것을 막을 수 있다. 주니어 분석가는 AI가 탐지한 이벤트를 분석하면서 고급 분석 노하우를 얻을 수 있으며, 초보자도 중급 이상 분석가의 역량을 수행할 수 있다. 분석가가 먼저 대응해야 할 고위험군 이벤트를 분류하기 때문에 심각한 위협에 더 먼저 대처하도록 해 리스크를 관리하는데 도움을 준다.
또한 분석가가 분석 결과에 대한 확신이 없을 때 비 교할 수 있는 기준을 제공한다는 의미도 있다. 예를 들어 소수의 인력으로 운영되는 야간관제 시 관제요원이 발견한 위협 이벤트에 대해 조언을 구하고자 할 때, 바쁜 동료에게 물어보기 어려운 경우도 있다. AI가 분석한 것과 자신의 분석을 비교하면서 결과의 정확성을 확인할 수도 있다.
