국내 보안기업 간 위협정보 공유 플랫폼 ‘주목’
AI 알고리즘 지속 개선해 보안관제 사용 가능한 기술로 발전
[데이터넷] AI 보안관제를 위한 필수 요소는 정제된 학습 데이터이며, 이를 위해서는 신뢰할 수 있는 위협 인텔리전스가 필요하다. 보안 기업들이 자사 서비스와 함께 제공하는 위협 인텔리전스도 있으며, 레코디드 퓨쳐와 같은 전문 서비스 기업도 있다.
국내 보안 기업들이 국내 환경에 최적화된 위협 인텔리전스를 만들고 있기도 하다. 과학기술정보통신부가 이글루시큐리티, 시큐아이, 윈스 등 국내 주요 보안 기업을 모아 올해 초 완료한 코사인(KOSIGN) 프로젝트는 STIX를 기반으로 수많은 보안 장비에서 생성되는 보안 이벤트를 자동 수집·분석하고 이를 토대로 위협에 대한 대응 방안을 공유한다.
이 프로젝트의 핵심은 이글루시큐리티, 윈스, 시큐아이가 제공하는 위협정보 공유 플랫폼이다. 윈스는 연동된 보안 장비에서 수집된 위협 정보를 분류하고 이에 부합하는 위협 모델 정보를 배포·공유하는 ‘사이버 위협 인텔리전스(CTI)’ 플랫폼, 시큐아이를 비롯한 8개 보안 기업은 엔드포인트 보안 장비의 이벤트· 상태 정보를 전달하는 ‘엔드포인트 위협 탐지·대응’ 플랫폼, 이글루시큐리티는 양 플랫폼 중간에 위치한 ‘멀티 레이어 시큐리티 인텔리전스(MSI)’ 구축을 담 당했다.
MSI는 이기종 보안 장비와 에이전트에서 생성되는 실시간 보안 이벤트를 표준화된 표현(STIX)과 전달 프로토콜(TAXII)을 이용해 수집하고, CTI와 연동된 위협 정보를 STIX/TAXII에 맞춰 생성/변환한 뒤 이기종 보안 장비에 다시 공유하는 역할이다. 연동되는 보안 장비들이 JAVA, C++, 파이썬 등 다양한 언어로 개 발된 만큼, 각 제품의 운영환경에 부합하는 라이브러리를 개발했다.
정확한 관제 서비스 위해 AI 알고리즘 개선
이글루시큐리티는 코사인 프로젝트를 통해 수집한 위협정보를 자사의 AI 기반 보안관제 시스테에 적용해 관제 서비스를 고도화하고 있다. 이글루시큐리티는 2015년부터 AI를 SIEM에 접목시킨 지능형 SIEM을 개발해왔으며, 2018년 ‘대구 AI 기반 지능형 보안관제 체계(D-Security)’ 구축을 완료하며 AI 보안관제의 효율 성을 증명했다. 지난해 AI 보안관제 솔루션 ‘스파이더 티엠 AI 에디션’을 출시하고 국내 주요 공공기관·기업 에 공급했다.
이글루시큐리티는 AI 보안관제 정확도를 높이기 위해 지속적으로 알고리즘을 개선하면서 관련 기술의 특 허를 획득하고 있다. 학습 데이터 품질을 개선하고, 데 이터 과학자의 특징을 추출해 보안관제에 최적화된 알 고리즘을 만들고 있다. 또한 ‘설명 가능한 AI’를 통해 탐지 결과의 정당성을 확보하고 탐지 정확도를 높이는 근거를 만들어 갈 계획이다.
이글루시큐리티의 AI 보안관제는 지도·비지도학습을 병행하며, 엔드포인트, 웹, 네트워크에 대한 통합 분석이 가능하다. 더불어 SOAR 기술을 활용해 고도화된 공격 대응력을 높이는데 집중할 계획이다.
이글루시큐리티는 AI 기반 관제가 실제 관제 서비스에서 분명한 효과가 있다고 강조한다. ‘스파이더 티엠 AI 에디션’을 도입한 고객은 고위험 이벤트 분석에 걸리는 시간을 20%로 단축하고, 보안관제요원 1명당 처리하는 이벤 트 건수를 3배 이상 늘렸다.
또한 기업은 기존 룰 기반 보안 장비로 타지하지 못한 22개 유형의 최신 보안위협과 기업 시스템 내 오랜 시간 잠복해 있던 이상행위를 탐지할 수 있었다.
정·오탐률 개선 효과도 분명하다. ‘스파이더 티엠 AI 에디션’을 도입한 또 다른 기업은 정·오탐 판단 정확성이 81%에서 93%로 높아진 효과를 확인하기도 했다.
정일옥 이글루시큐리티 관제기술연구팀장은 “이글루시큐리티는 AI 기술을 보안에 적용하기 위한 핵심 3요소를 모두 갖추고 있다. AI 기술이 접목된 보안 솔루 션을 독자적으로 만들어낼 수 있는 개발 역량을 가지고 있고, 목적에 따라 AI 알고리즘을 개선하고 AI 학습을 위해 필수적으로 요구되는 학습 데이터를 지속적으로 만들어낼 수 있는 AI 기술 전문가를 보유하고 있다. 또 한 AI 기술을 보안관제에 가장 효과적으로 적용하기 위 한 보안관제방법론을 구축해 이를 지속적으로 개선하 고 있다”며 “AI 보안관제 솔루션-보안관제 전문가-보안관제방법론 간 지속적인 연계, 피드백, 개선 과정을 통해 AI 알고리즘의 정확성을 끌어올리고 기업의 보안 성을 강화하는데 힘쓰겠다”고 말했다.
