정상 행위 위장 공격 대응 위한 AI 보안 기술 제공
엔드포인트·클라우드·OT/IoT 등 모든 환경 중단없이 보호
[데이터넷] AI는 거의 대부분의 보안 솔루션에 탑재되고 있다. 쏟아지는 AI 기반 보안 솔루션 중에서 실제 보안 현장에 도움이 되는 제품은 어떻게 찾을까?
윤용관 다크트레이스 한국영업총괄 대표는 “진짜 AI 보안 솔루션은 사람을 기계의 싸움에 투입시키지 않고, 오탐·과탐을 줄이며 보안 업무를 효율화시키는 것”이라며 “코로나19로 재택·원격근무, 클라우드, 첨단 융합 기술이 접목된 OT·IoT가 확산되고 있는데, 이 같은 새로운 환경에서 대두되는 새로운 공격까지 차단할 수 있어야 ‘진정한 AI 보안 솔루션’”이라고 강조했다.
윤용관 대표는 <데이터넷TV>와 함께 진행한 ‘새해 벽두부터 ’찐‘ 사이버 AI를 통해 얻을 수 있는 것들’ 웨비나를 통해 현재 직면한 위협 뿐 아니라 가까운 미래에 일어날 새로운 업무 환경에 따른 위협까지 대응할 수 있는 AI 기술에 대해 설명했다.
다크트레이스는 진보한 AI 기반 탐지 기술과 고급 분석가의 역량을 학습한 ‘AI 분석가’, 자동 대응·차단 기능을 제공하는 ‘안티제나’를 하나의 플랫폼에 통합시켰으며, 네트워크, 엔드포인트, 클라우드, OT·IoT 모든 환경에서 위협을 탐지하고 직원과 중요자산을 보호할 수 있도록 도와준다.
윤 대표는 “실제 보안 현장에 도움이 되는 AI를 찾기 위해서는 업계 최고의 기술력을 선택하는 것이 좋다. 다크트레이스는 이미 전 세계 4000여 고객이 사용하고 있으며, 국내에서도 70개 이상 대형 기업과 기관에서 사용하면서 효과를 보고 있다”고 말했다.
엔드포인트·클라우드·OT까지 중단없는 보호
다크트레이스는 엔드포인트와 네트워크, 클라우드, OT·IoT 등 모든 환경에서 위협을 탐지하고 직원과 인프라를 보호하는 ‘다크트레이스 면역 시스템(Darktrace Immune System)’을 공급한다.
비지도학습 기반 머신러닝 기술을 이용해 선행학습 없이 자산의 정상적인 상태를 파악하고 위협을 탐지하는 ‘엔터프라이즈 면역 시스템(EIS)’, 고급 분석가 역량을 학습한 ‘사이버 AI 분석가’, 자동 대응과 차단을 지원하는 ‘안티제나’를 한 플랫폼을 통해 제공한다. 더불어 최근 심각한 문제가 되고 있는 스피어피싱 차단을 위한 ‘안티제나 이메일’과 OT·ICS 보호를 위한 ‘산업용 면역 시스템(IIS)’ 등 다양한 환경을 위한 솔루션을 제공한다.
다크트레이스의 AI 기술은 정상적인 환경에서 정상 프로세스로 위장해 진행되는 공격 탐지에 탁월한 효과를 발휘한다. AI 솔루션은 노이즈가 많아 관리 업무가 증가하며, 잘못 학습된 데이터로 인해 잘못된 결과를 도출할 수 있고, 적대적 AI로 인해 오히려 보안 위협을 높일 수 있다는 우려가 있다. 그래서 설명 가능한 AI(XAI)가 필요하다는 주장도 있는데, 잘못 설계된 XAI는 패턴 기반 탐지에 머무르게 돼 공격자가 더 쉽게 우회할 수 있다는 우려도 있다.
윤용관 대표는 “정상 시스템에서 비정상 행위를 찾는 것 보다, 정상 행위로 위장한 위협을 찾아내는 것이 훨씬 더 중요하다. 예를 들어 최근 공격자들은 탈취한 계정을 이용해 정상 사용자로 위장해 침투하는데, 이 같은 정상 행위에 숨은 위협을 어떻게 찾아내는지가 관건이다. 보안 정책을 너무 타이트하게 설계하면 정상 업무에 지장이 생기고, 그렇지 않으면 보안 정책을 우회하는 공격에 무너지게 된다”고 지적하며 정확하고 지능적인 AI의 필요성을 역설했다.
윤 대표는 “만일 공격자가 도용한 계정을 통해 중요 정보가 유출되거나 파트너·관계사 시스템 해킹으로 이어지게 됐다면 누가 책임을 져야 하나. 정상 행위로 위장한 공격을 차단하고 직원을 보호하기 위해서는 고급 AI를 이용한 공격에 지능적으로 대응해야 한다”고 강조했다.
정상 행위로 위장한 공격 대응 기술 제공
윤 대표는 정상 계정을 이용한 공격에 대응한 사례로, 한 기업에서 불만을 품은 IT 관리자에 의한 데이터 탈취 시도를 차단한 것을 예로 들었다. 이 관리자는 해고된 후 자신의 SaaS 계정에서 민감 정보를 다운로드 한 후 전송하려고 했는데, 이 과정에서 사용한 프로세스는 모두 업무 상 일어나는 프로세스였다. 다크트레이스는 단 몇 초 만에 정상 계정에서 비정상적으로 대량의 데이터가 다운로드되고 전송하는 행위가 비정상이라고 판단하고 차단했다.
다크트레이스의 신속한 위협 차단은 클라우드·OT·재택 및 원격근무 등 새로운 업무 환경에서도 동일하게 작동한다. 위협 이벤트가 발생할 때 분석하고 추적하기 때문에,정상 시스템 모니터링을 위한 장기간 로그 수집·저장 필요가 없으며, 고용량 스토리지를 구입·관리하는 등의 복잡한 문제를 고민할 필요가 없다.
OT 네트워크의 특수한 프로토콜이나 비표준 IoT 기기 식별, 암호화된 트래픽에 숨은 위협, 허가되지 않은 클라우드 접속, VPN 계정 탈취로 접속하는 공격자도 찾아낼 수 있다.
해외 한 정유 생산업체의 경우, 데스크톱이 내부 프록시 서버를 통해 외부와 연결을 시도하고 의심되는 파일을 다운로드하려는 시도를 다크트레이스가 발견했다. 다크트레이스 AI 기술은 모든 프로토콜과 패킷을 100% 분석하지 않고도, 정상행위로 위장해서 침투를 시도한다 해도 공격 행위로 의심되는 정황을 즉시 파악하고 대응할 수 있다.
보안 전문가와 예산이 충분하지 않은 중소·중견기업도 다크트레이스의 고급 AI 분석 기술을 이용할 수 있다. 최근 중소·중견기업에 대한 공격이 집중되고 있어 보안 전문성을 충분히 갖추지 못한 기업들이 막대한 피해를 입고 있다. 다크트레이스는 구독옵션을 통해 연중무휴, 24시간 지원되는 관제서비스를 제공한다. 중소·중견기업에서도 실시간으로 전문가에게 질문도 가능해 위협에 대한 대을 보다 효율화 할 수 있다.
윤용관 대표는 “공격이 AI를 이용하는데, 이를 사람이 대응할 수 없다. 기계의 싸움에 사람을 이용해서는 안된다. AI의 공격은 AI에게 맡기고, 사람은 더 높은 수준의 위협에 대응하는데 집중하도록 해야 한다”며 “다크트레이스 POV를 통해 다크트레이스의 실제 침해 대응 역량을 충분히 경험할 수 있을 것”이라고 강조했다.
