[2022 보안 키워드⑨] 보안 분석가 성장 돕는 통합·자동화

XAI 결합 통합·자동화 툴로 SOC 효율화·보안 신뢰성 제고
통합·자동화로 업무 던 초보 분석가, 실제 위협 대응 경험 쌓으며 전문가로 성장

[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>

트렌드마이크로가 보안 의사결정권자와 SOC 분석가를 대상으로 실시한 설문조사에 따르면 응답자의 51%가 보안 경보가 너무 많아 부담을 느낀다고 답했으며, 오탐에 대응하고 관리하는데 업무 시간의 27%를 낭비하고 있다고 밝혔다. 또 55%는 경보의 우선순위를 정하고 대응하는 능력을 확신하지 못한다고 답했다.

임퍼바 조사에서는 응답자 55%가 매일 1만건 이상 경보를 받고 있으며, 27%는 100만건 이상 경보를 받고 있고 53%는 어떤 보안 사고가 심각한 것인지, 혹은 오탐인지 구분하기 어렵다고 밝혔다.

이 두 조사 외에도 보안 담당자가 너무 많은 보안 경보와 오탐으로 인해 어려움을 겪고 있다는 분석 보고서는 매우 많다. 디지서트 ‘2022년 사이버 보안 전망’에서는 기업이 손익을 중시하기 때문에 효율성이 높은 보안 기술을 요구하게 될 것이고, 보안 조직은 적은 자원으로 더 많은 업무를 수행해야 할 것”이라고 설명했다.

기업이 SOC의 효율성을 높여야 한다고 압박하면 보안 조직은 반발할 수밖에 없다. 보안 시스템이 쏟아내는 경보의 10%도 분석하지 못하고 있는데, 더 많은 예산과 인력을 투입하지도 못하는 상황을 해결하기 위한 특단의 대책이 필요하다.

XAI로 보안 탐지 신뢰성 높여야

통합과 자동화는 SOC가 직면한 문제를 해결할 수 있는 유일한 방법이라고 할 수 있다. 수많은 이종 보안 솔루션을 통합해 보안 이벤트를 연계 분석하고 대응하는 모든 과정을 자동화 해 SOC 인력이 직접 수행하는 업무를 대폭 줄여야 한다. 분석가는 자동화 시스템이 판단하지 못하는 극소수의 그레이 영역에 대한 의사결정을 내려 지능적으로 진행되는 공격을 찾아내며, 이를 시스템에 학습시켜 추가공격에 즉시 대응할 수 있도록 한다.

자동화는 AI를 접목시켜야 하는데, AI는 결론을 도출한 과정을 정확하게 보여주지 않기 때문에 신뢰성에 의문을 제기할 수 있다. 그래서 설명가능한 AI(XAI)가 필요하다. XAI는 분석가가 별도로 분석하지 않아도 AI가 탐지한 위협의 근거를 제시하기 때문에 오탐·노이즈의 우려를 덜 수 있다.

XAI가 필요한 또 다른 이유는 공격자도 AI를 사용하기 때문이다. 공격자는 대규모 오염된 데이터를 발생시켜 AI 학습 모델을 변경시키고, 쿼리를 수정해 모델 오분류를 유발한다. 공격자가 보안 시스템의 AI를 분석해 탐지모델을 알아내고 이를 우회하는 방법을 사용할 수 있다. 따라서 보안에 XAI를 접목해 공격자에 의해 잘못된 분석 결과를 내놓지 않는지 확인할 필요가 있다.

▲공격자가 머신러닝을 이용하는 방법(자료: 마이크로소프트 디지털 디펜스 리포트 2021)

인력 전문성 높이기 위해 통합·자동화 도입

AI를 접목한 보안 통합·자동화는 기업이 보안조직을 축소시키고 예산을 삭감하기 위해 사용하는 것이 아니다. 디지털 트랜스포메이션이 진행될수록 공격표면이 넓어지고 공격자가 악용할 수 있는 취약점이 늘어난다. 공격자들은 성실하게 침투를 시도하고, 보안 탐지를 우회하면서 중요 시스템과 데이터를 노린다.

비즈니스의 최대 위협이 되는 사이버 위협을 방어하기 위해 SOC를 효율화 해야 하는데, 예산과 인력을 줄이는 것이 아니라 인력의 전문성을 높이고 예산을 효과적으로 사용하는 것이 필요하다. 새로운 공격 유형에 따라 새로운 보안 솔루션을 도입하는 것이 아니라 기존 보안 솔루션을 잘 관리해서 어떤 유형의 신종 공격이 발생한다 해도 즉시 탐지하고 대응할 수 있도록 해야 한다. 이를 위한 통합·자동화 툴이 필요하다. XDR과 SOAR가 그 대표적인 도구라고 할 수 있다.

통합과 자동화는 SOC 인력의 성숙도를 높이는데 도움이 된다. 통합·자동화 툴이 일정수준 이상의 위협 경고를 처리하기 때문에 경험이 부족한 분석가도 단순하고 반복적인 보안 분석 업무를 탈피하고 높은 수준의 위협을 분석하고 대응하는 역량을 쌓는 시간을 가질 수 있다. 초급 분석가가 고급 분석가로 성장하는데 필요한 경험을 더 짧은 시간 안에 쌓을 수 있기 때문에 고급 분석가로 성장해 전문가로서의 커리어를 확보하는데 도움이 될 수 있다.

기업은 단기간에 고급 분석가로 성장시킬 수 있기 때문에 보안인력을 확보하고 유지할 수 있어 보안 수준을 효과적으로 강화할 수 있다.

통합과 자동화는 보안인력의 수준을 향상시켜 전문가로 성장할 수 있도록 도와주며, 기업의 보안 운영을 효율화하는 지름길이 될 수 있다.

김선애 기자 다른기사 보기