AI 기반 보안관제로 탐지 정확도·인력 운영 효율성 제고
[데이터넷] AI를 적용해 효과를 볼 수 있는 영역 중 하나가 사용자 계정 행위 분석(UEBA)이다. 사용자의 평소 업무 습관과 업무 범위를 학습해 이와 다른 행동을 했다면 경고하는 방식이다.
단순히 사용자가 평소와 다른 장소에서, 다른 시간 에 접속했다는 것만으로 높은 수준의 보안 경보를 울리는 것은 아니다. 서울에서 접속한 지 5분 후 베이징에서 같은 계정으로 접속한다면 이상정황으로 분류돼 보안조직이 분석해야 한다. 평소 사무실에서만 접속하던 직원이 외부 공공기관에서 접속했다면 업무에 필요한 외근일 수도 있으므로 비정상 행위로 분류하지는 않지만 그 이후 행위에서 이상한 정황이 나오는지 확인해야 한다.
UEBA에서 ‘E(Entity)’는 매우 중요한 비교 요소이 다. 후자의 예처럼 UBA가 사용자가 평소에 접속하지 않았다는 행위를 이상행위라고 본다면, UEBA는 계정을 기반으로 사용자에게 주어진 업무에 외근의 가능성이 있는지, 있다면 어떤 지역, 어떤 기관인지, 외근 시 어떤 시스템까지 접근 가능한지 종합적으로 모니터링 한다. 또한 동료 그룹과의 비교 분석도 가능해 동일한 권한을 가진 계정과 비교 시 이상행위를 하거나 허가되지 않은 시스템 접근을 모니터링하고 경고하는 역할까 지 하게 된다.
완성도 높은 UEBA로 침해탐지
마이크로포커스는 지난해 비지도학습 기반 머신러닝 기술을 가진 내부위협 탐지 기업 ‘인터 셋(Interset)’을 인수하고 이 회사의 UEBA 솔루션을 아크사이트와 연계해 차세대 SIEM을 완성했다. 아크사이트 SIEM과 UEBA, 써드파티를 통해 연계되는 EDR·NDR·위협 인텔리전스, 위협 헌팅으로 지능적인 보안위협을 탐지할 수 있다.
황원섭 마이크로포커스코리아 부장은 “AI 기반 보안관제에서 핵심적으로 봐야 할 것이 ‘계정(Entity)’이다. 사람이나 엔드포인트 기기, 수많은 시스템, 프린터 등의 행위를 방대한 컨텍스트 정보와 함께 분석해 정확하게 이상행위를 찾아내야 한다. 완전히 자동화된 비지도학습 기반 UEBA의 분석 결과를 SIEM에 적용해 이상행위를 탐지하는 프로세스를 갖추는 것이 중요하다”고 말했다.
SIEM과 UEBA를 연계하는 시도는 이미 몇 년 전부 터 있었으며, 마이크로포커스는 가장 완성도가 높은 UEBA를 인수해 차세대 SIEM의 요건을 만족시킬 수 있다고 강조한다. 인터셋은 여러 IT 솔루션에 OEM으로 공급된 유명한 UEBA 엔진으로, 데이터 과학자를 통해 AI 기반 행위분석 알고리즘을 보정하고 정확도를 높인다.
실시간 빠른 탐지로 SIEM 기능 충실
마이크로포커스는 아크사이트가 SIEM의 기능을 가장 충실히 제공하는 솔루션이라고 강조한다. 올해 출시 20주년을 맞는 아크사이트는 ‘단순함, 개방성, 인텔리전트(Simple, Open, Intelligent)’라는 3가지 테마를 지향한다. 강력한 상관분석 엔진을 통해 여러 이기 종 시스템에서 발생하는 위협을 관리할 수 있으며, 사용하기 쉽고 편리하며 완전한 차세대 SOC를 구현한다.
보안 오픈 데이터 플랫폼(SODP)을 지향하며, 가장 광범위한 파트너 생태계를 갖추고 있다. 오래 전 개발 된 전통적인 시스템부터 가장 최근 개발된 시스템까지 다양한 솔루션 연동이 가능하다.
실시간 상관분석 룰은 1000개 이상을 동시에 실행 할 수 있으며, 룰에 의해 탐지되는 이벤트는 1~2초 이 내에 표시된다. 또한 사이버 보안 프레임워크 MITRE, 오픈소스 위협 인텔리전스 플랫폼 MISP를 연동해 탐지 된 위협에 대한 자동 대응도 가능하다.
황원섭 부장은 “차세대 SIEM에 대한 논의가 본격화 되면서 다양한 기술을 기반으로 한 보안관제 솔루션이 등장하고 있는데, 많은 솔루션이 검색 엔진 기반으로 위협 탐지에 최적화돼 있지 않다”며 “아크사이트는 인메모리 기반 위협 정보를 처리하기 때문에 실시간 스트 리밍 위협에 최적화된 대응이 가능하다. 아크사이트는 대규모 관제에 최적화된 고성능 시스템으로, 오랜 기간 국내 다수의 그룹사, 금융사, 공공기관, 관제 서비 스 기업에서 사용되면서 입증됐다”고 말했다.
AI로 관제 업무 효율화
AI는 탐지 이벤트를 정제해 관제인력의 업무를 줄인다는 확실한 효과가 있다. 그래서 기업·기관의 SOC 뿐 아니라 보안관제 서비스 기업들도 적극적으로 도입해 사용한다.
시큐아이는 IBM의 AI 엔진 ‘왓슨’을 적용한 보안관제 서비스를 제공한다. 공격 이벤트를 탐지하면 ‘왓슨 포 시큐리티’에 축적된 인텔리전스와 비교해 대응함으 로써 분석가의 업무를 줄인다.
SK인포섹도 보안관제에 최적화된 AI 알고리즘을 개발해 시큐디움 서비스에 적용했다. 20여년 관제 서비스 전문성을 적용한 AI 알고리즘으로 정확하게 공격을 분류하고 분석해 대응할 수 있도록 한다.
파이오링크는 AI 기반 차세대 SIEM을 제공하는 시큐레이어의 보안관제 솔루션을 자사 서비스에 적용했다. 시큐레이어는 파이오링크가 투자한 보안 스타트업으로, 국내에서 가장 완성도 높은 AI SIEM으로 인정받는다.
파이오링크는 전체 인원의 50%를 보안 관제와 보안 컨설팅 등 보안서비스 사업에 투입하면서 보안사업에 집중 투자하고 있으며, 보안관제 인력의 수준을 상향 평준화해 지능형 위협으로부터 고객을 보호한다.
파이오링크 보안관제 서비스는 NHN 관계사를 비롯, 공공·금융·대기업·발전소 등에 원격·파견 관제를 제공한다. 더불어 클라우드 보안관제 서비스도 제공해 NHN 토스트, 구글 GCP, KT, LG 유플러스 등을 통해 서비스하고 있다.
