[차세대 보안관제⑦] 보안 사각지대 없애는 것이 관건
상태바
[차세대 보안관제⑦] 보안 사각지대 없애는 것이 관건
  • 김선애 기자
  • 승인 2020.07.10 13:29
  • 댓글 0
이 기사를 공유합니다

AI 오탐 줄이기 위한 데이터 과학자 전문성 필수
암호화 트래픽 가시성 확보 위한 방안 마련 해야
위협 발원지에서 선제차단하는 것이 가장 이상적

[데이터넷] AI가 만능은 아니다. 잘못된 데이터, 잘못된 알고리즘으로 학습하면 전혀 다른 결과를 낳을 수 있다. 적대적 머신러닝을 이용해 공격자가 원하는 탐지 패턴을 학습하도록 할 수 있다. 관제 능력이 SOAR까지 확장되려면 자동화된 탐지· 분석·대응이 가능해야 하는데, AI 알고리즘이 최적화 되지 못하고, 양질의 학습 데이터가 충분히 축적되지 못한다면 차세대 관제 서비스로 진화하지 못한다.

비지도학습 기반 머신러닝은 학습 데이터 없이 위협을 탐지할 수 있다고 오해하기 쉽다. 비지도학습 머신러닝은 과탐이 많으며 적대적 머신러닝으로 인한 부작용을 우려하지 않을 수 없다. 도출된 결과를 보정하면서 과·오탐을 줄이고 적대적 머신러닝으로 인한 피해를 없애기 위해서는 고급 데이터 분석가가 반드시 필요하다.

벡트라는 공격자 관점에서 네트워크 트래픽을 분석하는 시스템으로, 사용자 행위를 지속적으로 감시하고 이상행위 점수를 축적해 정확도를 높인다. 6개월 이상 긴 기간 동안의 행위를 분석 하며, 트래픽의 패턴, 사용자의 행위를 지도·비지도학습 머신러닝으로 분석한다.

트래픽이 암호화돼 있어 가시성을 확보하지 못한다 해도 트래픽의 패턴과 특징을 분석해 이상행위를 찾아 낼 수 있다. 데이터 과학자 조직을 자체 고용해 운영하 면서 AI 알고리즘을 최적화하고 있으며, 고객의 사용 편의성을 개선하는데 집중 노력한다.

벡트라를 국내에 공급하는 페트로누스의 최홍준 부사장은 “AI 보안 솔루션은 개발 기업에 데이터 과학자가 있는지, 수시로 변하는 상황에 따라 AI 알고리즘을 지속적으로 개선해 나가는지 주의깊게 살펴봐야 한다. 막연히 AI를 적용했다 해서 보안 이슈가 해결되는 것은 아니기 때문”이라며 “벡트라는 각 산업군, 각 국 가 고객 환경에 맞게 AI를 개선할 수 있도록 데이터 과 학자 조직을 운영하면서 지속적으로 고도화하고 있다. 국내 금융기관 등에서 이 솔루션을 도입해 상당한 보안 개선 효과를 거뒀다”고 밝혔다.

XDR로 보안 가시성 확보

이상적인 차세대 보안관제 시스템은 네트워크, 시스템, 엔드포인트, 클라우드 전반에서 모든 로그와 패 킷, 사용자·계정 행위를 분석해 이상정황을 찾아내는 것이다.

차세대 SIEM을 표방하는 기업들은 오픈 생태계를 구축한다고 강조하면서 다른 시스템 및 위협 인텔리전스와의 연동을 강조한다. NTA 솔루션은 자동화된 지능적이고 정확한 위협 탐지를 제공한다고 강조한다. 이때 간과하기 쉬운 문제가 있다. 암호화된 트래픽은 어떻게 분석하느냐 하는 점이다.

현재 80% 이상 웹트래픽은 암호화돼 있다. 암호화 트래픽은 웹서버 등에서 인증서를 이용해 복호화하거나 복호화 전용장비가 대신 복호화한 후 NTA 등에서 분석할 수 있다. 엔터프라이즈 규모의 대형 사이트에서는 복호화 전용장비를 많이 사용하는 편이지만, 인증서 관리, 성능문제, 고가 복호화 장비 도입과 운영의 문제를 겪고 있다. 사고를 많이 당하는 중견규모 이하 기업들은 비용과 운영 전문 인력 부족으로 복호화 장비 도입을 검토하지 않는다.

암호화된 트래픽을 분석하지 않으면 NTA는 사용 할 수 없다. 그래서 ‘NTA는 죽었다’는 분석이 나오기도 한다. 사실 ‘~는 죽었다’는 표현은 식상한 면이 있다. 이미 ‘SIEM은 죽었다’, ‘IDS/IPS는 죽었다’, ‘EDR은 죽었다’등의 기사와 분석 보고서가 다수 발표됐지만, SIEM과 IDS/IPS, EDR은 여전히 건재하다. NTA도 마찬가지로 계속 사용될 것이다. 다만 NTA가 분석하지 못한는 부분에 대한 대책을 추가로 마련해야 위협에 대응이 가능하다.

위협 발원지에서 빠르게 탐지·대응해야

_ 황원섭 마이크로포커스 부장

물고기를 잡을 때 물의 발원지에서 가까운 산속이나 시냇물에서 잡는 것과 바다에서 잡는 것, 어느 것이 가장 빠르고 효율적일지 생각해보자. 이 물고기가 보안위협이라고 가정한다면, 어떤 방법으로, 어느 지점에서 보안위협을 식별하고 대응하는 것이 가장 쉽고 빠르고 효율적일까.

2000년대 초 등장한 엔터프라이즈 보안 관리(ESM) 시스템은 기업의 필수 보안 솔루션으로 자리잡았지만, 기술의 한계로 보안장비의 가용성을 확인하는 관리 서버로만 쓰이게 됐다. 그 이후 SIEM의 일부 기능으로 편입돼 시장에서 사라지게 됐다.

ESM, SIEM과 같은 솔루션이 등장하는 이유는 보안 사고가 발생한 후 인지하게 되기 때문에 이 시간을 단축 시켜 피해를 최소화하기 위한 것이다. 보안사고 동향 보고서를 살펴보면, 공격 노출 지속시간은 평균 30일이며, 30일 동안 침해사고가 있었는지 조차 파악하지 못했다는 뜻이다.

성공적인 보안운영(관제)의 목표는 사전(실시간)에 보안 위협을 인지(예측)하거나 노출되는 시간을 줄이는 것이다. 얼마나 빠르게 탐지하고 대응하는가가 핵심이다. 그래서 SOAR가 등장하게 됐는데, SOAR는 관제조직의 업무 편의성을 향상시킬 수 있지만 대응 시간을 줄이지는 못한다.

위협을 빠르게 탐지해 쉽고 효율적으로 대응할 수 있는 방법은 로그 수집·저장 전 정규화해 필드를 표준화시켜서, 룰 엔진에 실시간 매핑되도록 해야 한다. 이때 로그를 디스크에 저장한 후 쿼리(검색)하는 방식은 실시간 탐지에 적합하지 않다. 이렇게 빠르게 탐지해야 대응도 가능하며 전체 노출시간 또는 공격 지속시간을 줄일 수 있다.

차세대 SIEM 솔루션의 핵심 기능은 아래와 같다.

- 수집 단계에서의 실시간 로그 정규화(Normalization)와 범주화(Categorization) 처리

- 인메모리 기반 실시간 룰 엔진(vs. 스케줄 쿼리 방식)과 시나리오 룰 편집기(필드·산술식)

- 오픈소스 위협공유 플랫폼의 자동 연동(예. MISP)

- 공격 탐지 콘텐츠 내장(예. MITRE ATT&CK 프레임워크)


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.