[데이터넷] 지난 4월 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스 2023’의 주제는 ‘함께하면 더 강해진다(Stronger Together)’였다. 각각의 보안 솔루션에서 나오는 정보 통합해 관리하고, 각 기업 및 기관에서 나오는 보안이벤트 정보들을 통합해 관리한다면 더 강력한 보안시스템을 구축할 수 있다.

많은 기업에서 보안 위협에 대비하기 위해 방화벽, 침입탐지시스템, 안티바이러스, 웹 보안 등 여러 보안 솔루션을 도입·운영하고 있다. 그러나 이러한 보안 솔루션은 각각 독립적으로 운영한다면 관리 및 운영 어려움뿐 아니라 세밀한 공격 탐지가 힘들다.

팔로알토 네트웍스의 ‘2023년 클라우드 네이티브 보안현황 보고서’에 따르면 한 기업당 평균 30개 이상 보안 솔루션을 활용하고 있다고 하며, 응답자의 76%가 여러 보안 솔루션을 활용해 사각지대가 발생하고 이로 인해 위험의 우선순위를 파악하고 공격을 차단하는데 영향을 미친다고 답했다.

따라서 많은 솔루션에서 나오는 다양한 이벤트 정보들을 한곳으로 모아 이를 분석해 위협에 대한 효과적인 관리가 필요하며, 이를 통해 위험의 우선순위를 파악하고 대응할 수 있는 통합보안관리 시스템이 필요하다.

AI 적용 SIEM으로 보안 업무 줄여

SIEM은 여러 보안 솔루션에서 발생하는 로그와 이벤트 데이터를 수집하고, 이를 실시간으로 분석해 보안 위협을 탐지함으로써 실시간 보안 종합 모니터링과 함께 보안위협에 대한 대응 능력을 향상시키는데 중요하며, 통합 분석된 데이터를 시각화해 보고서 형태로 제공함으로써 보안 전문가들이 신속하게 대응할 수 있도록 한다.

하지만 분석과 대응, 조치과정에서 많은 수작업, 시간이 필요하며 경보가 반복되기 때문에 많은 보안 전문가가 필요하다. 실제로 DMZ 존 IPS 한 대에서 일일 탐지 건수가 평균 7만~50만 건이다. 탐지 유형을 세부적으로 살펴보면 60% 이상은 플러딩, 스캔 Scan 성 비정상 행위 공격이며, 40%는 시그니처 공격으로 인력을 통한 모든 인시던트에 대한 수동분석은 불가능하다. 그렇기 때문에 수많은 경고와 인시던트를 전부 조사할 수 없기 때문에 미처 파악하지 못한 공격에 취약한 상태로 노출될 가능성이 높다.

하지만 대부분의 경고와 인시던트는 특정되고 정의된 수정작업으로 해결할 수 있는 반복된 패턴을 따른다. 이러한 부분은 AI 기술을 활용하면 보안 조직의 업무를 상당부분 줄일 수 있다. AI를 보안업무에 활용하면 다음과 같은 장점이 있다

• 빠른 대응 속도: AI 보안관제는 실시간으로 대량의 로그 데이터와 네트워크 트래픽 데이터를 분석하고 이상 현상을 신속하게 감지할 수 있다. 이에 따라 보안사고에 대한 대응 속도가 빨라진다.
• 정확한 이상 징후 감지: AI 보안관제는 정밀하고 복잡한 패턴 분석을 통해 이상 징후를 감지할 수 있다.
• 효율적인 대응: AI 보안관제는 보안사고 대응 시 필요한 자원과 인력을 최적으로 활용해 효율적으로 대응할 수 있다.
• 학습 능력: AI 보안관제는 데이터를 수집하고 분석해 학습하며, 보안 위협의 패턴을 지속적으로 개선하고 업데이트할 수 있다.

SOAR, 보안 전략 적절성 평가 지원

SOAR는 2018년 가트너가 정의했으며, 보안 오케스트레이션과 자동화(SOA), 보안 인시던트 대응 플랫폼(SIRP), 위협 인텔리전스 플랫폼(TIP)을 폭넓게 포함하는 개념이다. 보안 운영에 있어 유입되는 위협에 대해 대응 레벨을 자동으로 분류하고(Playbook), 표준화된 업무 프로세스(Work Route)에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원한다.

SOAR를 활용하면 수집된 모든 로그와 이벤트를 바탕으로 위협 인텔리전스와 능동적 탐지를 통해 침해정보와 영향도를 도출하고 이를 개선하기 위한 시스템 제어 및 위협차단을 자동화할 수 있다. SOAR는 여러 소스에서 추출한 데이터를 수집하고 분석해 IT 시스템에서 보안 사건을 확인할 수 있도록 하는 보안 솔루션으로, 자동화된 플레이북을 통해 이슈에 대한 관리와 대응까지 사람의 개입을 거치지 않고 진행할 수 있다.

SOAR는 대량의 보안 이벤트 및 위협으로 인해 보안 전문가가 대응에 어려움을 겪게 되면서 시작됐다. 기존의 수동적인 대응 방식은 이러한 보안 이벤트 및 위협에 효과적으로 대응하기 어려웠기 때문에 SOAR는 대량의 보안 이벤트를 자동화된 방식으로 처리하고, 빠르게 대응하기 위해 등장했다.

SOAR는 여러 보안 도구, 시스템과 통합해 보안 이벤트를 처리하고, 대응 전략을 수립한다. 이를 통해 조직 내에서 보안 위협에 대한 빠른 대응을 가능하게 하며, 조직의 보안 운영을 효율적으로 개선할 수 있다.

SOAR는 대부분의 보안 이벤트에 대해 자동화된 대응 기능을 제공하므로 보안 전문가의 역할은 대응 전략을 수립하고, 대응 과정을 검증 및 감독하는 등 보안 전략의 적절성을 평가하는 역할로 변화하게 된다.

초급 보안 인력도 전문가 역량 갖게 하는 AI SOAR

휴네시온 자회사 시큐어시스템즈의 AI 기반 ‘시큐어 오케스트라(Secure Orchestra)’는 ‘시큐어SIEM AI 에디션(SecureSIEM AI Edition)’의 차세대 보안모델로, SOAR 프레임워크 기반으로 개발됐다.

국내 대표적인 1세대 화이트해커 손동식 대표의 네트워크 포렌식, 실시간 분석 기술을 이용한 AI 모델링을 통해 침입탐지 이벤트의 오탐률(False Positive Ratio)을 현격하게 줄이고 과대적합·과소적합을 제어하기 위한 하이퍼 파라메터의 최적값을 찾아 탐지 이벤트와 탐지 데이터(Payload)를 함께 연동 분석한다.

데이터의 2차, 3차 연계분석을 이용해 탐지 정확도를 높이고, 고객 네트워크의 실질적인 침해와 위협으로부터 빠른 의사결정과 대응을 지원하는 시스템이다. 시큐어오케스트라는 초급인력도 자동화 대응기능을 통해 일정수준 이상의 업무성과를 유지할 수 있도록 돕기 위해 자동화 분석과정에 자체 개발된 AI 엔진인 ‘리차드’를 적용하고 있다.

시큐어오케스트라는 자체 설계한 보안관제 방법론을 기반으로 T세션 모니터링 기법을 적용했다. T세션 모니터링 기법은 사전탐지 및 분석 차단을 실시간으로 모니터링해 조직의 위협상황을 단순화 관리하는 관제 기법이며, 탐지 및 분석 후 반드시 정·오탐 분석을 시행해 T-1사전대응이 가능하도록 사전 대응하며, T+1은 이미 침투된 내부자원에서 외부로 나가는 흔적들을 추적 관리한다.

사이버 킬체인기반의 모니터링으로 다양한 공격 유입 경로별 최적화된 대응 방안을 제공하는 지능형 위협대응을 지원하고 있다. 또한 마이터 어택(MITRE ATT&CK) 모니터링 분석으로 조직이 자신들의 보안 태세를 파악하고 방어 취약점을 발견할 수 있도록 지원하고 있다.

마이터 어택은 MITRE 코퍼레이션에서 개발한 프레임워크와 일련의 데이터 매트릭스, 평가 툴로서 공격자 행동에 관한 지식 및 교정 툴 모두에 대한 업계 표준으로 이를 통해 실제 상황에서 발생한 내용들을 토대로 그들이 더 이상의 공격 전술을 펼치지 못하도록 적극적으로 탐지하고 대응할 수 있다.

시큐어오케스트라는 3D 대시보드를 적용해 보안시스템 운영자가 실시간 보안정보에 대한 가시성을 쉽게 확보할 수 있도록 했다. 3D 대시보드에서는 사이버 위협 경보단계, 동적 3D 공격 정보, 사이버킬체인, 마이터 어택, T세션, 실시간 탐지 이벤트, 버스트(Burst) 추이 그래프 우려지점 상관분석, NMS 등의 정보를 한눈에 확인해 일일 사이버 보안 기상도로 활용될 수 있다.

여러 보안 솔루션 협력해 자동 대응 지원

시큐어시스템즈는 자사의 보안관제서비스에 시큐어오케스트라를 활용하고 있으며 씨엠티정보통신과 손잡고 보안관제서비스의 플랫폼으로 많은 기업에 서비스되고 있다.

이를 통해 지속적으로 실시간 보안위협정보를 수집하고, 대응함으로써 사이버 위협정보와 대응하는 전반적인 데이터를 자사의 플랫폼에 반영함으로써 지속적으로 플랫폼을 고도화해 나가고 있다. 또한 NAC, 이기종 방화벽정책관리 솔루션 등 많은 보안벤더와 협업을 통해 자동 대응 정책을 내려줄 수 있도록 노력하고 있다.