AMTD, 머신러닝 이용 자율적 사이버 방어 지원…복잡한 사이버 위협 환경 필수 보안 플랫폼
[데이터넷] 가트너가 신흥 기술로 주목하고 있는 ‘자동화된 이동 표적 방어(AMTD)’ 분야에 국내 기업 씨티아이랩(CTILab)이 등재됐다. 씨티아이랩은 AMTD 중 머신러닝 기반 플레이북 생성(MLPG), 머신러닝 기반 네트워크 위협 탐지(MLNTD) 기술의 우수성을 인정받았다. 이 분야에서 언급된 기업으로 오픈AI, 지스케일러, 포티넷, 시스코, 마이크로소프트, 팔로알토 네트웍스 등이 있다.
씨티아이랩은 AI 기반 사전 시뮬레이션, 테스트, 실시간 조정 등의 플레이북을 갖추고 있으며, 머신러닝 기반 네트워크 위협탐지 기술을 갖췄다. 씨티아이랩은 AI 기반 사이버 보안 플랫폼으로 IT-OT 위협을 탐지할 수 있다. 2021년 과학기술정통부 ‘우수정보보호기술’ 지정, 2022년 AI 보안 데모데이 대상 수상, 2023년 조달혁신기술 지정 등 기술력을 인정받고 있다.
조홍연 씨티아이랩 대표이사는 “이번 가트너 보고서 등재로 씨티아이랩의 AI 기반 사이버 보안 기술이 알려지지 않은 위협을 탐지하고 대응하는 데 탁월하다는 사실을 인정받게 됐다. 가트너 보고서 등재로 글로벌 혁신기업이 되는 발판을 마련했다”고 설명했다.
디셉션 기능으로 공격 파악·빠른 대응 가능케 해
한편 가트너가 소개하는 AMTD는 머신러닝이 생성하는 플레이북을 활용해 사이버 위협에 자동으로 대응할 수 있게 하는 자율 사이버 방어 솔루션을 가능하게 하는 기술이다. 위협 탐지와 대응 기술을 개선시킬 수 있는 AMTD는 군사 전략에서 파생된 개념으로, 보호해야 할 자산을 숨겨 공격에 노출되지 않도록 하고, 디셉션(Deception) 기술을 이용해 공격자를 속여 공격 방법을 알아내고 자동으로 플레이북을 생성해 빠르고 효과적으로 대응할 수 있게 한다.
AMTD에는 ▲위협이 감지되기 전에 IT 환경을 지속적으로 변경하는 사전 예방 중심 사이버 방어 메커니즘 ▲공격 표면 내에서 이동 또는 변경을 원활하게 조정하는 자동화 ▲디셉션 기술 사용 ▲사전 예방적 방어, 위협 인텔리전스 기반 의사 결정, 오케스트레이션된 자동화 등의 요소가 포함된다.
가트너는 AMTD의 성장 단계 별 포함되는 기술로 ▲시작: MLPG, 자동 디셉션과 재프로비저닝(ADR) ▲가속화: ML 기반 네트워크 위협 탐지(MLNTD), 자동 노출 식별 및 응답(AEIR), 복잡한 위협 처리(CTD) ▲성장·안정화: 스트리밍 보안 데이터 분석(SSDA), 머신 속도에서의 보안 컨텍스트(SCMS), 방어를 위한 다형성(PFD), 자동화된 적대적 위협 에뮬레이션(AATE) 등을 들었다.
AMTD 중 첫번째 단계에 해당하는 MLPG는 AI를 사용해 플레이북을 자동으로 큐레이션하고, 공격을 식별하며, 사전 시뮬레이션과 테스트, 실시간 조정, 체계적인 플레이북 제공 등의 기능을 제공한다. 또한 인텔리전스와 컨텍스트 기반 기술을 접목해 보안운영센터(SOC)를 효율화한다. MLP공급기업은 씨티아이랩, 포티넷, 이글루, 레드햇, 마이크로소프트, 오픈AI 등이다.
ADR은 자동화된 디셉션 기술을 포함하며, 자산과 환경을 시뮬레이션 해 공격자를 민감한 자산에서 자동화된 모드로 유인, 공격자의 행동을 파악하고 인텔리전스를 고도화할 수 있다. 동적이고 지속적으로 IT 자산을 할당·재할당하는 자동 재프로비저닝이 지원되며, 소프트웨어 설정, 액세스 권한 재구성, 중요 자산 구성 계획, 탐지된 위협 대응 등의 기술이 제공된다.
센티넬원이 인수한 아티보네트웍스가 이 분야의 대표 기업이며, 가트너는 ADR이 AMTD의 중요한 구성 요소가 될 것이라고 예측했다. ADR은 방어자가 주도권을 잡고 보안의 속도를 제어할 수 있게하며, 보안 도구 사용을 최소화해 보안조직의 업무를 줄일 수 있다고 설명했다.
가속 단계에 속한 MLNTD는 머신러닝(ML), 자연어 처리(NLP), 심층 신경망(DNN), 딥 러닝 기술을 이용해 이전에 특정되지 않은 위협을 찾아낸다. MLNTD 공급 기업은 아카마이, 시스코, 씨티아이랩, 다크트레이스, 포티넷, 팔로알토 네트웍스, 마이크로소프트, 지스케일러 등이다.
자동 노출 식별 및 응답(AEIR) 기술은 노출된 SaaS, 클라우드 서비스, 데이터 등을 찾아 조치할 수 있도록 하는 기술로, 사전 예방적인 보안 대응이 가능하도록 한다. CSPM, CNAPP과 연계돼 클라우드 환경에서 확장되는 공격표면과 설정오류를 제거할 수 있으며, AI 기반 패치로 취약성을 완화할 수 있다.
CTD는 크라우드스트라이크, 구글 크로니클, 델, 오픈AI, 마이터, 레코디드퓨처 등이 기술을 제공하고 있으며, 정확한 인시던트와 위협 인텔리전스를 통해 MTTD·MTTM을 줄일 수 있게 한다. AATE는 보안 취약점을 사전에 발견하기 위한 목적으로 위협 요소 동작의 실시간 에뮬레이션을 지원하는 기술로, 어택IQ, 사이뮬레이트, 마이터 등이 대표적인 업체다.
전환 단계에 속한 SSDA는 실시간 스트리밍 사전 처리와 보안 툴 내 탐지·응답 기능을 제공한다. 마이크로소프트, 포티넷, 수모로직 등이 대표 기업이며, 실시간 상황 데이터를 통해 보안 실무자의 업무를 효율화 할 수 잇다.
한편 가트너는 이 보고서에서 AMTD에 속한 기술을 단일 플랫폼이나 서비스를 통해 이용하는 것이 바람직하다고 덧붙였다.
