자동화된 AI 보안 솔루션으로 직원·연구성과 보호
상태바
자동화된 AI 보안 솔루션으로 직원·연구성과 보호
  • 김선애 기자
  • 승인 2020.12.15 09:00
  • 댓글 0
이 기사를 공유합니다

ETRI, 다크트레이스 엔터프라이즈 면역 시스템 도입
국가기반 공격·지능형 타깃 공격 탐지·대응 위해 AI 보안 솔루션 도입
보안 업무 증가 없이·노이즈 없이 정확한 위협 대응·차단 제공

[데이터넷] 한국전자통신연구원(ETRI)은 우리나라 성장동력을 위한 첨단 기술을 개발하는 우리나라 대표 연구기관으로, 국가 경쟁력 향상을 위한 연구 성과를 만들기 위해 노력하고 있다. ETRI의 주요 성과를 탈취하기 위한 국가기반 공격·지능형 타깃 공격도 발생하고 있어 보안 고도화를 위한 노력을 지속적으로 단행하고 있다. 특히 ETRI는 2019년 위협 탐지·대응 고도화를 위해 다크트레이스 AI 기반 네트워크 분석 솔루션 ‘EIS’를 도입해 지능적이고 교묘하게 진행되는 타깃 공격에 대응하는 효과를 거두고 있다.

한국전자통신연구원(ETRI)은 미래사회를 만들어가는 국가 지능화 종합연구기관의 중추 역할을 담당하기 위한 핵심 연구개발에 매진하고 있다. ETRI는 인공지능연구소, 통신미디어연구소, 지능화융합연구소, ICT창의연구소를 통해 국가 성장을 지원하는 첨단 기술을 연구하고 있으며, 인간중심 초연결 지능정보사회 구현기술 확보를 목표로 자가학습형 지식융합 슈퍼브레인 핵심기술 연구, 지능형 구제역 대응 시스템을 개발, 국방 무기체계용 핵심 반도체 부품 국산화 및 플랫폼을 개발 융합연구 활동을 전개하고 있다.

국가 성장 동력을 위한 첨단 기술을 연구하는 ETRI의 주요 사업을 지원하는 정보시스템실은 연구원 통합정보시스템과 데이터센터 운영관리, 정보통신 및 정보보호, 주요정보통신기반시설보안 업무, 정책 지원 등이 업무를 맡고 있다.

ETRI 정보시스템실에서는 특히 지능화된 타깃 공격 대응을 위한 다단계 정보 보안 체계를 구축·운영하는데 많은 투자를 단행해왔다. ETRI는 우리나라 경쟁력을 지키고 업그레이드 할 중요 기술을 개발하고 있으며, 이것은 국민의 삶과 안전, 국가안보와도 연결되는 부분이다. 이 때문에 다양한 보안위협이 발생하고 있어 여러 단계의 지능화된 보안 대책이 필요하다.

한국전자통신연구원 정보시스템실 권정국 박사는 “ETRI는 우리나라 산업 경쟁력을 강화하고 새로운 시장과 가치를 신장시키기 위한 첨단 기술을 연구하는 전문기관으로, 우리나라 기술 경쟁력을 성장시키는데 중요한 역할을 하고 있다. 이 때문에 지능적인 사이버 공격이 상시 발생하고 있으며, 사이버 공격으로부터 국가 경쟁력을 지키기 위해 최선을 다하고 있다”고 말했다.

내부 직원 보호 위한 보안 시스템 마련

정보시스템실은 내·외부 위협 탐지를 위한 다단계 정보보호 체계를 구축, 운용하고 있다. 그러나 공격이 날로 지능화되면서 다단계 보안 시스템까지 우회하는 공격에 대응해야 할 필요성이 높아졌다. 특히 연구원들이 윈도우, 맥, 리눅스 등 일상적으로 많이 사용하는 기기 뿐 아니라 5G·IoT 및 융합 서비스를 위한 다양한 IoT 기기를 이용하는 연구를 다양하게 진행하고 있어 이를 보호하는 기술이 필요했다. 연구개발에 사용되는 다양한 기기들이 유·무선 네트워크에 연결되는데, 이 중에는 보안 소프트웨어나 인증서를 설치하지 못하는 경우도 있으며, 보안 취약점이 공개되고 패치가 배포된다 해도 기기 리소스 부족·테스트 및 연구 환경의 한계 등으로 인해 적용하지 못하는 기기도 있다.

정보시스템실이 보안 고도화를 위해 가장 중요하게 고려한 점은 ‘직원 보호’였다. ETRI가 국가의 핵심 기술을 연구하는 만큼, 국가기반 공격으로 인한 피해 발생 가능성을 항상 주의해야 했다. 이러한 공격자는 국가로부터 전폭적인 지지를 받으면서 오랜 기간 은밀하고 교묘하게 공격을 이어간다.

공격자들은 타깃 기관의 시스템을 장기간 파악하면서 관리되지 않은 취약점을 이용하거나 사람들이 실수나 고의에 의해 보안 정책을 어기도록 만들어 지능적으로 침투한다. 그리고 내부 네트워크에서 정상 프로세스를 이용해 중요 시스템 접근권한 계정을 탈취하고 더 높은 수준의 권한을 이용해 공격을 이어간다.

실제로 ETRI 전산망과 직원 이메일로 국가기반 공격자로 추정되는 침입 시도가 지속적으로 탐지되고 있으며, 제로데이 공격, 스파이웨어, 스피어 피싱 등을 통한 정보유출 가능성을 제거하지 못한다는 우려가 있었다. 특히 이러한 공격은 정상적인 업무 내용으로 위장한 메일, 웹사이트를 이용하기 때문에 사용자의 주의 만으로 피해를 막을 수 없다.

권 박사는 “ETRI 연구원들이 해외 사이트에서 논문 등 관련 자료를 검색하거나, 연구 관련 내용을 담은 메일을 받았을 때, 신뢰할 수 있는 사이트나 메일인지 정확하게 구분하는 것이 쉽지 않다. 특히 해외는 우리나라 보다 보안이 취약한 곳이 많기 때문에 정상 사이트라 해도 악성링크가 숨어있을 수 있으며, 신뢰할 수 있는 정상 사용자로부터 발송된 메일이라 해도 악성코드가 함께 첨부돼 있을 수 있다”고 설명했다.

그는 “정교하게 위장된 사이트와 업무 메일, 신뢰할 수 있는 사이트나 메일 발신인을 통해 전달받은 자료에 숨은 악성코드 등으로부터 ETRI 직원들을 보호해야 한다. 자신도 모르게 감염돼 공격의 숙주가 됐다 해도, 고의나 실수에 의한 사고가 아니라는 것을 입증하기가 매우 어렵기 때문”이라며 “정교한 위장술로 침투하는 공격자를 막을 수 있는 새로운 대안을 마련해야 했다”고 말했다.

연구 활동 영향 없이 지능형 공격 대응

정보시스템실은 지능적이고 정교한 공격에 대응하면서 임직원의 업무에 영향을 미치지 않는 보안 대책을 마련해야 한다는 요구에 직면해있었다. 또 소수의 정보보안 담당자들이 ETRI 전체 시스템과 직원을 보호해야 한다는 점, 복잡한 보안 시스템을 효과적으로 관리해야 한다는 것도 중요하게 고려한 점이었다.

ETRI는 2018년 보안 시스템 고도화를 전개하면서 ▲사전방어 ▲제로데이 공격 방어 ▲랜섬웨어·피싱·파밍·스파이웨어 차단 ▲망분리 환경에 유연하게 적용되고 ▲기존 환경에 영향을 미치지 말 것 ▲사용자의 업무에 영향을 미치지 않으면서 위협 탐지 정확도를 높일 것 ▲모든 기기, OS 및 서비스를 분석할 수 있을 것 ▲SOAR·EDR 등 보안 탐지·오케스트레이션·자동화 역할을 수행할 것 등의 목표를 세웠다.

권 박사는 “ETRI에는 3000여명의 직원이 근무하고 있으며, 각종 시험장비, IoT 단말 등 직원 수보다 더 많은 다양한 장비가 사용되고 있다. 이 기기의 OS·서비스·소프트웨어도 다양하기 때문에 보안 관리가 매우 복잡하다”며 “연구원들의 연구에 영향을 미치지 않도록 보안 정책을 유연하게 유지하면서도 강력한 보호 수준으로 연구 과정과 성과를 보호해야 했다. 이를 위해서는 엔드포인트부터 인터넷 관문까지 모든 구간에서 발생하는 이상행위를 스스로 학습해 지능적으로 탐지하는 솔루션이 필요했다”고 밝혔다.

ETRI는 이와 같은 요구를 만족시킬 수 있는 시스템을 다양하게 검토한 후, 인공지능(AI)을 활용한 네트워크 트래픽 분석(NTA) 솔루션을 도입하기로 했다. NTA는 포렌식 기술을 적용한 네트워크 트래픽 분석 기술로 전체 네트워크에서의 이상행위를 찾아낸다. 네트워크에 연결된 기기의 이상행위도 분석해 엔드포인트부터 네트워크까지 전체를 통합하는 보안 탐지가 가능하다.

권 박사는 “국내외 대형 사이트에서 공격을 당해 거액의 피해보상을 하라는 소장을 받는다고 가정해 보자. 직원이 업무와 관련된 사이트인 줄 알고 접속했다가 악성코드에 감염됐고, 이로 인해 공격 숙주가 되어 공격에 가담해 진행된 것이라면, 누가 책임을 져야 할까. 또한 직원 기기를 통해 가상화폐 채굴이 발생하거나 다크웹 접속 통로로 이용돼 수사를 받게 된다면, 직원을 어떻게 보호해야 하나. 이러한 문제를 해결하기 위해 엔드포인트부터 인터넷 관문까지, 내·외부 트래픽을 모두 분석해 침입을 탐지하고 차단하는 기술이 필요하다”고 밝혔다.

비지도학습으로 편견 없이 이상징후 탐지

권 박사는 국내에 공급되는 NTA 솔루션을 다각도로 검토하고, POV와 POC를 진행한 결과 다크트레이스의 ‘엔터프라이즈 면역 시스템(EIS)’이 최적의 솔루션이라고 판단했다. EIS는 비지도학습 머신러닝 기술을 가진 NTA 솔루션으로, 아무것도 학습하지 않고, 편견 없이 이상징후를 찾아낼 수 있으며, 시시각각 변화하는 공격자의 행위도 즉시 찾아낼 수 있다.

국가기반 공격자나 세계적으로 악명을 떨치는 공격그룹, 지능화된 공격도구와 전술·전략을 사용하는 공격자들은 매번 다른 공격 방식을 사용하며, 따로 다른 공격그룹의 소행으로 위장하기도 한다. 목표로 하는 기업·기관의 네트워크를 오랫동안 탐색하기 때문에 이 기업·기관의 취약점이나 위협 탐지 룰도 파악하고 있는 경우가 있다.

EIS는 고급 머신러닝 기반 탐지 기술을 이용해 시시각각 달라지는 공격 전술·전략도 정확하게 탐지하고 대응할 수 있다. 초기 위협 탐지·대응 정확도 향상을 위해 산업별 공격 탐지 룰을 제공하며, 고객이 구축한 탐지 룰을 적용할 수 있으며, 외부 위협 대응 시나리오도 이용해 탐지 정확도를 높일 수 있다.

AI 기반 보안 솔루션이 갖고 있는 문제는 너무 많은 이벤트를 발생시켜 보안조직의 업무를 증가시킨다는 것이다. EIS는 자동차단 기능을 가진 ‘안티제나’와 보안 분석가의 역량을 자동화한 ‘사이버 AI 분석가’ 모듈을 옵션으로 제공하고 있어 보안 분석가를 충분히 고용하지 않은 조직도 쉽게 운영할 수 있게 한다.

ETRI의 경우, 다양한 분야의 연구를 진행하고 있는 만큼, 세계 여러 나라로부터 자료를 수집하거나 학회 등록과 결제 등의 활동도 한다. 따라서 이전에 접속하지 않았던 국가의 사이트에 접속해 거액의 송금을 한다고 해서 무조건 이상행위라고 판단하고 차단해서는 안 되며, 전후 정황상 정상·비정상 상황을 판단해야 한다. 안티제나, 사이버 AI 분석가 모듈을 이용해 보안조직의 개입을 최소화하면서 정확하게 이상행위를 걸러내고 자동 차단함으로써 정상 업무에 영향을 주지 않고 비정상 활동을 제어할 수 있다.

권 박사는 “정보시스템실은 ETRI의 연구인력이 자유롭게 연구활동을 하고 연구에 몰입할 수 있도록 적극 지원해야 하며, 보안 문제로 연구에 지장을 주지 않아야 한다. 그러면서도 지속적으로 진행되는 고도화된 공격에 대응해야 한다는 어려움을 겪어왔다”며 “다크트레이스 EIS는 연구활동에 영향을 주지 않으면서 이상행위를 정확하게 탐지한다. 확실하지 않은 위협은 AI 분석가 모듈을 통해 정밀 분석하고 확실한 위협을 자동 차단한다. 보안 조직의 업무를 크게 줄이면서 연구활동에 영향 없이 위협에 효과적으로 대응할 수 있게 한다”고 밝혔다.

인·아웃바운드 위협 대응 효과 높여야

ETRI는 EIS를 2019년 초에 구축 완료하고, 6개월의 시범운영을 거친 후 자동탐지·차단 모듈까지 활성화해 운영하고 있다. 1년 이상 AI 분석과 위협 자동 탐지·대응 기능을 사용하면서 오·미탐으로 인한 불편을 느끼지 않았으며, 지속적이고 지능적인 APT 공격에 대응하는데 상당한 효과를 얻었다. 특히 국가기반 공격 차단 효과가 높다는 것에 만족하고 있으며, 가상화폐 채굴 등 피해 사실도 알지 못하고 진행되는 은밀한 공격까지 탐지할 수 있었다.

권 박사는 “대부분의 기업·기관은 외부에서 내부로 공격을 탐지하고 대응하는 시스템은 어느 정도 갖추고 있다. 그러나 내부 직원이 자신도 모르게 감염돼 공격에 악용되는 것을 해결하는데 한계를 갖고 있다. 내·외부 공격 위협으로부터 자산과 직원을 보호하는 방법을 마련하는 것이 필요하다. 특히 아무도 인지 못하는 상태에서 내부의 정보자원이 외부로 행하는 비정상 악성행위를 탐지하고 차단하는데 더욱 심혈을 기울여야 한다”며 “AI 기반 보안 시스템을 도입·운영해 본 결과, 인·아웃바운드 위협 대응에 상당한 효과를 보고 있다”고 말했다.

그는 이어 “그러나 AI 보안 시스템만으로 모든 공격을 막을 수는 없다. 기존 보안 시스템과 연동을 통해 모든 유형의 공격에 유연하고 민첩하게 대응할 수 있도록 복합적인 보안 환경을 마련해야 한다”며 “ETRI는 앞으로도 엔드포인트에 대한 정밀한 행위 분석과 다양한 OS에 대한 패치 자동화, 인터넷·클라우드의 다양한 서비스 사용량과 위협 분석 등 진보된 기술을 사용해 보안 대응을 지속적으로 고도화해 나갈 것”이라고 말했다.

Interview / 한국전자통신연구원 정보시스템실 권정국 박사

“ETRI 핵심 자산 ‘연구원·연구 성과’, AI 기술로 보호”

Q. 보안 고도화 프로젝트를 진행한 배경은 무엇입니까.

ETRI는 국가 핵심 성장 동력을 위한 첨단 기술 연구에 매진하고 있는 기관으로, 다양한 분야 연구에 필요한 자료 수집과 테스트를 진행하고 있다. 세계 여러 나라 연구기관으로부터 자료를 공유하고, 여러 종류의 IoT 기기를 이용해 시험과 테스트를 진행한다. 이 때문에 신뢰할 수 있는 사이트와 메일로 위장한 공격 위협에 상시 노출돼 있으며, 보안이 보장되지 않은 IoT 기기가 유무선 네트워크에 연결돼 침투 경로로 사용될 수 있다.

연구원과 직원들이 정상 업무를 수행하는 중 자신도 모르게 감염돼 공격의 숙주로 이용되어 심각한 공격을 일으키는 원인을 제공했다면, 그 피해를 고스란히 개인이 감당해야 할 수도 있다. ETRI는 기관의 핵심 자산인 연구원과 임직원을 보호하기 위해 이러한 지능형 공격을 선제적으로 차단하기 위해 보안 고도화 프로젝트를 진행했다.

Q. 프로젝트 진행 중 가장 중요하게 생각했던 것은 무엇입니까.

연구원의 업무 활동은 정형화되지 않기 때문에 정상 업무-비정상 업무를 명확하게 구분하기 어렵다. 이전에 방문하지 않았던 국가의 사이트에 접속하거나 잘 알려지지 않은 학회에 등록하고 거액의 비용을 송금해야 할 일도 있다. 신뢰도가 검증되지 않은 사이트에서 시험을 위한 기기를 구입해야 할 일도 있다. 정상 연구활동인지 감염된 사용자를 이용한 공격 행위인지 정확하게 판단하지 못하는 경우에도 연구활동에 지장을 주지 않으면서 정교하게 위협 여부를 판단해야 했다.

또한 소수의 보안 인력이 운영할 수 있도록 자동화된 탐지와 차단, 대응이 가능하면서 수시로 변하는 공격자의 행위를 지속적으로 학습하면서 고도화하는 보안 솔루션이 필요했다.

Q. 다크트레이스 EIS 솔루션을 선택하게 된 이유는 무엇입니까.

ETRI의 까다로운 업무 환경에서 높은 수준의 보안 요구를 만족하기 위해서는 AI 기반 보안 솔루션이 필요하다고 판단했다. AI 보안 솔루션은 노이즈가 많아 전문 분석가를 충분히 고용하지 않으면 운영이 어렵다. 노이즈를 줄이기 위해 룰·임계치 정책 비중을 높이면 이를 우회하는 공격에 당할 수 있다.

EIS는 비지도학습 머신러닝으로 우회공격까지 지능적으로 탐지하면서 자동 차단 모듈 ‘안티제나’, 자동 분석과 판단을 제공하는 ‘사이버 AI 분석가’ 모듈을 제공해 관리자의 개입을 최소화하면서 정확하게 위협을 차단하고 ETRI 연구원의 연구활동을 보호할 수 있다.

Q. EIS 솔루션 도입 효과는 무엇입니까.

EIS 솔루션을 처음 구축 후 6개월의 시범운영을 거친 후 자동 탐지·차단 기능까지 활성화 해 1년 이상 운영했다. 그 결과 오·미탐이 거의 없으며, 진화하는 국가기반 공격, 암호화폐 채굴, 제로데이 공격, 피싱 등의 위협을 탐지하고 효과적으로 차단하는 효과를 얻었다. 보안 조직의 업무 부담을 최소화하고 ETRI 연구원의 활동에 영향을 미치지 않으면서도 공격을 방어할 수 있는 결과를 얻었다.

Q. AI 보안 솔루션 도입을 검토하는 기업·기관에게 조언을 해 준다면.

AI 보안 솔루션이 위협 대응 효과를 높일 수 있다는 것은 확실하지만, 이 솔루션 하나만으로 모든 공격에 대응할 수 있는 것은 아니다. 많은 기업·기관이 외부 위협 대응에 투자하지만 내부 직원이나 정보 자산이 외부로의 공격을 차단하는 데는 상대적으로 관심이 낮다. 중요 자산을 보호하는데. 내·외부 위협에 종합적으로 대응할 수 있는 체계 마련이 필요하다. 기존에 도입한 솔루션과 연동해 운영하면서 보안 오케스트레이션과 자동화, 대응까지 유연하고 민첩하게 이어질 수 있도록 지속적으로 보안을 고도화 해야 한다. 특히 아무도 모르게 내부의 정보자원이 외부로 비정상 악성행위를 차단하는데 심혈을 기울여야 한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.