[데이터넷] AI는 핵보다 위험할까? AI는 진실을 왜곡하고 편향된 가치관을 고착화시킬 수 있으며, 지능적이고 교묘한 사기범죄를 자동화할 수 있다. AI로 인한 부작용이 많다고 해서 AI 사용을 중단시킬 수 없다. AI로 인해 인류의 삶을 개선시키고, 더 안전한 사회를 만들 수도 있다. AI로 보안을 강화하는 방법을 살펴본다.<편집자>

AI 보안관제가 등장한 것은 상당히 오래됐지만, 아직 성숙된 수준의 서비스 사례는 많지 않다. AI는 오염되기 쉽고, 정확하지 않아 신뢰할 수 없기 때문이다. AI를 이용해 보안 문제 해결에 도움을 주는 ‘AI 보안비서’도 여러 기업에서 출시해 서비스하고 있지만, 신뢰할 수 있는 사례를 찾기 어려우며, TI 서비스와 유사하다는 점에서 도입 이유를 찾기 어렵다.

AI 보안비서가 제공하는 데이터의 정확도를 높이기 위해 여러 고객으로부터 위협정보를 수집·분석할 수 있어야 한다. 그런데 민감한 데이터는 조직이나 국가 밖으로 나가지 못하기 때문에 AI 보안비서가 수집할 수 있는 데이터의 범위가 한정돼 있어 기존 보안분석 솔루션과 큰 차이를 보이지 못한다.

AI의 신뢰를 높이기 위해 XAI가 제안되는데, XAI 역시 한계가 있기는 마찬가지다. XAI를 이용해 인간이 이해할 수 있는 수준의 분석 내용을 보여준다면, 공격자가 AI 알고리즘을 파악하고 역으로 공격할 수 있다. XAI가 설명하는 내용이 기존의 패턴기반 분석 기술과 다를바 없다면 AI를 사용할 이유가 없어진다. 더불어 챗GPT처럼 XAI가 교묘하게 거짓말을 하거나 근거가 희박한 탐지 결과를 내놓는다면 AI 탐지·분석 모델 자체에 불신이 생길 수 있다.

이글루코퍼레이션은 XAI와 생성형 AI를 활용해 AI의 신뢰를 높이는 온라인 AI 탐지모델 서비스로 ‘이글루XAI’를 제공한다. 이 서비스는 특정 보안 데이터에 대해 AI 모델이 판단한 근거를 안내하는 온라인 서비스다.

사용자는 자연어 형태의 설명으로 AI 답변의 이해를 높이며, 신뢰를 평가한다. 보안담당자는 AI 탐지 모델의 판단 근거와 빅데이터 분석 결과, 자연어 답변을 비교해 보안조직의 분석역량을 상향평준화 한다.

AI·SIEM·SOAR·TI 통합해 보안 효율성 높여

이글루코퍼레이션은 국내에서 가장 먼저 AI 기반 보안관제 모델을 만들어 제공해왔다. 이글루코퍼레이션의 AI 보안관제는 고객의 비즈니스를 정확하게 파악해 실제 위협을 식별하고, 식별된 위협이 왜 리스크가 높은지에 대한 이유도 설명한다.

이를 통해 중급 이상 보안관제 요원 수준을 갖는 위협 식별과 대응이 가능하게 한다. 고객의 산업과 보안환경에 맞는 좋은 데이터를 학습시키기 위해 KISA 등의 데이터셋 구축 사업을 진행하면서 양질의 데이터를 확보할 수 있도록 노력하고 있다.

정일옥 이글루코퍼레이션 전문위원은 “조직 특성마다, 공격이 진행되는 상황과 환경마다 위협의 수준을 판단하는 근거가 다르다. 그래서 풍부한 컨텍스트를 기반으로 위협을 식별할 수 있어야 한다. AI를 이용하면 대규모 위협 정보에서 실제 위협을 식별하고 대응할 수 있지만, AI가 언제나 정확한 것은 아니라는 점도 염두에 두어야 한다”고 말했다.

그는 “이글루코퍼레이션은 국내에서 가장 먼저 AI를 보안관제에 적용해 국내외 여러 고객에게 공급했다. AI 학습 데이터를 충분히 획득할 수 있도록 데이터셋 연구 사업에 적극 참여하는 한편 업계 최고의 데이터 사이언티스트를 고용해 정제된 데이터를 만들어 학습시키고 AI 알고리즘을 지속적으로 개선하고 있다”고 말했다.

한편 이글루코퍼레이션은 ‘확장형 탐지 조사 대응(XDIR)’ 서비스를 공개하고 SIEM, SOAR, AI, TI를 유기적으로 통합시킨다고 발표했다. 종합적인 분석, 위협 탐지, 조사, 대응 워크플로우를 자동화해 보안 효율성을 높인다.

대규모 사이트부터 소규모 고객까지 상황에 맞춘 플레이북 최적화를 지원하며, OT 환경에 최적화된 보안 대책 마련에도 힘을 쏟는다. 관계사인 파이오링크와 물리보안, OT 보안 기업과 협업해 스마트선박·스마트팩토리·스마트빌딩을 운영하는 해양·제조·건설 분야의 고객에게 산업 영역별로 특화된 OT 보안 전략을 제시하는 데 주력한다. 다양한 OT 프로토콜과 운영체제, OT 시스템에 대한 폭넓은 가시성을 확보하고, 이를 정밀하게 제어·감시할 수 있도록 지원한다.

클라우드 보안 강화에도 힘을 싣는다. 애저 마켓플레이스에 등록된 SaaS SIEM을 다른 마켓플레이스에 등록하고, SOAR 등 다른 솔루션도 SaaS 형태로 제공할 예정이다. 또한 클라우드 전환 계획 수립, 컨설팅, 보안관제를 아우르는 통합 보안 서비스를 제공하며 공공 분야의 디지털 전환을 지원할 방침이다. 클라우드 서비스 보안 인증(CSAP) 획득도 계획하고 있다.

해외 수익 비중을 높이는 데도 힘을 기울인다. 그간 지속적으로 성과를 내고 있는 일본시장에서 보안솔루션 및 보안관제·컨설팅 서비스를 확대 제공하며, 중앙아시아·중동 국가를 공략할 계획이다. 더불어 최근 정보보안 수요가 급증하고 있는 인도네시아에서도 현지 기업과 긴밀한 협력 및 교류 관계를 형성하며 새로운 사업 기회를 모색할 방침이다.

하이브리드 클라우드 위한 AI SIEM 필요

보안위협과 탐지 분야에서 SIEM에 AI를 접목하려는 시도는 오래 전부터 있었고 상당한 개선을 이뤄온 것도 사실이다. 그런데 여전히 SIEM에 대해서는 노이즈가 많고 운영이 어려우며, 위협 전반의 가시성을 확보하지 못한다는 인식이 있다.

많은 SIEM 프로젝트가 레거시 인프라에 구축되는 형태로 진행되는데, 확장되는 클라우드 지원 기능이 부족하다. 노이즈가 많아 경보피로가 높으며, 대시보드가 많아 위협을 직관적으로 파악하지 못한다.

마이크로소프트 조사에서는 60%의 조직이 SIEM에 투자하지 않아 사일로화된 모니터링과 엔드투엔드 위협 탐지 능력 제한, 비효율적인 보안운영으로 이어졌다고 답했다. SOC 도구와 프로세스가 자동화되지 않으며 관리가 복잡해 SOC 직원이 보안원격 분석을 이해하는데 많은 시간을 소비해야 한다고 답했다.

로그프레소는 온프레미스와 클라우드를 이용하는 멀티 클라우드 고객을 위한 단일 보안 분석 플랫폼을 제공한다고 강조했다. 로그프레소는 통합로그관리(LMS), 통합보안관제(SIEM), 보안운영자동화(SOAR)가 통합된 플랫폼을 하이브리드 환경에 최적화시켰으며, 글로벌 경쟁사 대비 2배 이상 데이터 처리 성능, 클라우드 인프라와 하드웨어 구입 비용 절감 효과를 제공한다고 강조했다.

또 고객 환경에 최적화된 AI 모델을 적용해 위협 탐지 기능을 개선하고, SaaS 서비스 ‘로그프레소 클라우드’를 런칭해 클라우드 지원 역량을 한층 높일 계획이다.

양봉열 로그프레소 대표는 “로그프레소는 사용자가 필요로 하는 기술을 적시에 제공하는 기업이라는 점을 인정받아 성장해왔다. 앞으로도 이 장점을 계속 유지하면서 고객의 기대에 부응하면서 복잡해지는 클라우드 환경에서도 강력한 보안과 효과적인 보안운영, 일관된 사용자 경험을 제공할 것”이라고 말했다.

SOC 분석 경고 80% 줄이는 SIEM

팔로알토 네트웍스가 새로운 개념의 차세대 SIEM ‘코어텍스 XSIAM’을 출시하고 시장 공략에 나서 주목된다. 팔로알토 네트웍스는 보안운영 솔루션 ‘코어텍스(Cortex)’ 제품군에 XDR, XSOAR, ASM 솔루션 익스팬스(Xpanse) 등을 제공하고 있으며, XSIAM을 추가하면서 보안 분석가의 역량을 향상시킬 수 있게 한다.

XSIAM은 팔로알토 SOC에서 처리하는 월 1조건 이상 이벤트를 자동으로 처리해 SOC가 분석해야 하는 경고를 80% 줄인다. 클라우드 네이티브 시스템에 고유한 클라우드 원격측정을 수집·통합하며, 차세대 자율 SOC 플랫폼으로 이전할 수 있게 한다. 팔로알토 네트웍스는 탁월한 AI 기술을 모든 제품에 접목시켜 실시간·인라인 AI 분석과 대응이 가능하도록 한다.

장성민 팔로알토 네트웍스 코리아 상무는 “고도화된 위협에 제대로 대응하기 위해서는 XDR, ASM, SOAR와 함께 SIEM이 반드시 필요하다. 팔로알토 XSIAM은 전통적인 SIEM의 한계를 벗어나 코어텍스 플랫폼에 완벽하게 통합돼 작동하면서 SOC의 업무를 크게 줄일 수 있다”며 “팔로알토는 여기에 더해 AI를 이용한 실시간 위협 탐지 기능을 제공하며, 위협 인텔리전스 조직 유닛42를 통해 실시간 새로운 인텔리전스를 결합해 제공할 수 있다”고 말했다.

한편 팔로알토 네트웍스는 MDR 서비스를 공식 제공하고 있으며, 국내 고객이 팔로알토의 글로벌 MDR 서비스를 도입해 SOC를 효율화 하고 있다.

팔로알토의 XSOAR도 국내에서 많은 성공사례를 기록하면서 성장하고 있다. 탁월한 AI 기술이 적용된 XSOAR는 위협탐지 대응의 자동화돠 사례관리, 실시간 협업과 위협 인텔리전스를 통합해 보안운영을 단순화한다. 플레이북을 통해 프로세스를 표준화하며, 위협 인텔리전스에 대한 조치를 취하고, 거의 모든 사용사례에 대한 대응 옵션을 자동화한다.