보안 전문가 수작업 비중 줄여…선제적이고 생산적인 보안 대응에 전념토록 자동화 수준 강화
[데이터넷] 보안관제 분야는 단일 보안 장비를 운영하던 1세대에서 출발해 정보공유분석센터(ISAC), 종합분석시스템 등이 구축된 2세대를 지나 빅데이터 기반 보안관제가 이뤄지는 3세대로 진화해왔다. 그러나 여러 보안 장비에서 많은 로그와 이벤트가 수집되다보니 모든 경보에 일일이 대응하기에 어려움이 존재한다.
신윤섭 이글루시큐리티 수석부장은 26일 <데이터넷TV>가 주최한 제20회 차세대 보안 비전 2021 온라인 컨퍼런스에서 ‘보안관제에서 활용되는 머신러닝 기술’을 주제로 최근 보안관제 현황화 보안관제에 머신러닝 기술이 적용되는 사례를 소개했다.
신윤섭 부장은 “현재 보안관제 상황을 살펴보면 발생되는 전체 경보의 56% 정도만 확인되고 있으며, 그중에서도 정탐으로 확인되는 건수 역시 절반에 미치지 못한다. 결과적으로 전체 위협 중 9%만이 해결되는 수준이다”며 “인프라 복잡성이 늘고, 공격은 점차 고도화되고 있으며, 보안 예산 및 인력이 부족한 만큼 이러한 문제가 지속 발생하면서 보안 관제 어려움은 커지고 있다”고 설명했다.
이어 “단순하고 반복적인 업무 처리에는 인공지능(AI)·머신러닝(ML) 기반 자동화 기술을 활용하고, 사이버 보안 전문가는 보다 독창적이고 전문적인 업무에 전념할 수 있도록 하는 추세가 늘어나고 있다”고 덧붙였다.
머신러닝 기술 적용으로 보안 관제사 부담 낮춰
최근 사이버 보안 리더들은 성공적인 공격 감소, 정확한 사고 탐지, 대응 품질 향상, 비용 절감에 대한 고민이 늘고 있다. 이에 보안운영센터에서는 AI 기술을 통해 미가공 데이터에 숨겨진 위협을 탐지·검증하고, 정확도를 향상시키려 하고 있으며, 보안 전문가의 수작업 비중을 줄여 더 선제적이고 생산적인 보안 대응에 전념할 수 있도록 자동화 수준을 강화하고 있다.
그 결과 보안관제는 4세대인 인공지능 보안관제로 다시 한 번 발전하고 있으며, 머신러닝과 자동화 기술 기반 SOAR, 차세대 SIEM 등의 활용도 늘어나고 있다.
머신러닝은 지도학습, 비지도학습, 강화학습 등 여러 학습방법들이 있지만, 보안 영역에서는 주로 지도학습과 비지도학습이 활용되고 있다.
지도학습은 경보 혹은 이벤트가 실제 정탐인지 오탐인지 분류하는 것에 주로 적용된다. 관제사, 보안 전문가, 업무 도메인 지식을 가진 사람들이 모여 IPS, WAF, SIEM 등에서 수집된 이벤트나 경보 데이터를 수집해 샘플링하고 라벨링한 후 학습할 수 있는 데이터를 만든다. 이를 학습한 AI 모델이 추후 새로운 데이터가 들어오게 되면 예측을 통해 정탐인지 오탐인지를 판별한다.
비지도학습은 방화벽 로그, 웹 로그, 웹 플로우 데이터 등 로그성 데이터에서 이상한 점을 찾는데 집중한다. 로그는 컴바인 모드로 변환했다 하더라도 하나의 로그로 인해 어떤 의미가 발생하지 않으며, 공격인지 아닌지 판단 역시 불가능하다. 통상적으로 관제사들은 공격이 발생했을 때 사후 분석용으로 로그를 활용했는데, 머신러닝 기술을 적용하면 해당 데이터를 전부 분석하고 이상한 점을 뽑아 관제사들의 부하를 줄일 수 있다.
명확한 도입 목표 가져야
머신러닝 기술을 적용할 때 알고리즘도 중요하지만 특징을 추출하는 과정 역시 중요하다. 머신러닝을 적용한 업체들은 대부분 데이터 사이언스 방법론을 보유하고 있으며, IT 혹은 컴퓨터 사이언스 전문가, 보안 전문가, 통계·수학 전문가들이 모여 특징을 추출하고 논의를 이어갈 경우 향후 적용될 결과에 최적의 성능을 낼 수 있다.
블랙박스 역시 극복해야 할 부분이다. 이글루시큐리티는 설명가능한 AI(XAI) 기술을 활용해 특정 이벤트에 대해 AI 모델이 왜 정탐 혹은 오탐으로 판단했는지 근거를 제공할 수 있도록 하고 있다. 이를 통해 예측 과정을 이해하고, 모델을 통해 도출된 결과를 개선할 수 있도록 하고 있다.
무엇보다 좋은 데이터가 있어야 좋은 결과가 나올 수 있다. 현재 타 분야에서는 학습 데이터를 만드는데 필요한 레이블링 등 다양한 툴들이 발전하고 있으며, 보안 분야에서도 사이버 보안 데이터를 구축하기 위한 사업들이 활발히 진행되고 있다. 데이터를 수집·정제·가공·레이블링하는 사업을 통해 악성코드와 침해사고를 탐지하는 데이터셋들이 등장하고 있다.
신윤섭 부장은 “이글루시큐리티는 지난 2016년부터 보안관제에 머신러닝 기술을 적용하는 프로젝트를 시작했고, 이후 다양한 고객사들에 적용하면서 인공지능보안관제 역량을 키워올 수 있었다”며 “향후 보안관제에 머신러닝 기술을 적용하려는 기업들은 보다 명확한 목표를 잡고, 머신러닝 전문가 및 보안 전문가들과 함께 목표에 해당하는 위협 모델을 만드는 것이 중요하다”고 당부했다.
