[데이터넷] 세계적인 바둑기사 이세돌이 은퇴 이유로 “AI 때문”이라고 밝히면서 AI가 전문가를 가르치는 상황까지 이르게 됐다는 사실을 알린 바 있다. AI는 현재 작곡을 하고, 소설을 쓰며, 통·번역을 하고, 의학적인 진단을 하며, 투자 자문에 고객상담까지 한다. 전문가의 능력을 넘어서 전문가의 일자리를 뺏는다는 경고도 나온다.

그러나 실제 업무에 적용되는 사례를 살펴보면 아직 AI가 전문가를 대체할만한 수준은 아니라고 보는 것이 정확하다. AI는 대량의 정보를 학습해 상호 연관성을 찾아 패턴을 찾으며, 새롭게 입력되는 이벤트에 대한 분석 정보를 도출할 수 있다. 그러나 ‘알고리즘’을 넘어서는 광범위한 영역을 이해할 수 있는 통찰력까지 갖지 못했다.

보안 분야에서는 AI 활용 범위가 더 제한적이다. 대규모 이벤트를 연계분석해 위협으로 의심되는 것을 찾아낼 수 있으며, 이를 위협 우선순위대로 분류해 대응 조직의 업무를 단순화 할 수 있다. 그러나 이전에 발견된 적 없는 완전히 새로운 위협을 찾아내지는 못하며, 과도한 노이즈를 줄이는 것도 쉬운 일은 아니다.

김준섭 이스트시큐리티 부사장은 “마치 AI가 모든 보안 문제를 해결할 수 있는 ‘만능 해결사’ 처럼 인식하는 것은 바람직하지 않다. 보안에서 AI의 역할이 매우 중요하며 활용 범위가 넓어지고 있는 것은 사실이지만, 전문가의 개입 없이 AI만으로 위협에 대응할 수는 없다”고 지적했다.

그는 “공격자들도 AI를 사용한다는 사실을 반드시 고려해야 한다. 딥페이크와 같은 가짜 영상은 날이 갈수록 정밀도가 높아져 진짜 영상과 구분하기 매우 어렵다. 악성코드도 가짜로 만들어 AI가 잘못 학습하게 한 후 은밀하게 다른 방법으로 공격하면, AI만을 이용한 위협 탐지 기술로는 막을 수 없다”며 “기존의 시그니처 방식 대응과 AI 활용 탐지와 대응, 그리고 전문가의 역량을 기반으로 한 인텔리전스가 결합돼야 정확한 위협 탐지와 대응이 가능하다”고 강조했다.

AI·시그니처·전문가 역량 통합 제공

AI만으로 위협을 탐지하는 솔루션이 경쟁적으로 출시되고 있지만, 실제 현장에서 활용되는 사례를 보면, 시그니처 기반 솔루션과 위협 인텔리전스, 전문가 지원이 함께 제공되는 형태를 갖추고 있다. 완전한 비지도학습 기반 머신러닝을 사용해 학습기간 없이 위협을 탐지한다는 솔루션도 인기를 끌고 있지만, 성공적으로 운영하는 현장을 찾아보면, 대부분 침해대응과 위협분석 전문조직을 갖추고 있는 조직이다. 전문가의 통찰력이 없으면 AI만으로 위협 탐지와 대응이 어렵다는 것을 방증한다.

김준섭 부사장은 “단순히 AI 알고리즘을 적용했다는 것만으로 위협 대응 능력을 높일 수 없다. 이벤트가 많으면 통제할 수 없기 때문에 오히려 보안 불감증이 생기고 위협 대응 능력이 약화된다”며 “시그니처 기반 탐지 역량을 높이고, 고급 위협 인텔리전스를 확보해 AI의 노이즈를 줄이면서 알고리즘을 최적화해 나가는 것이 필요하다”고 말했다.

이스트시큐리티는 차세대 백신 ‘알약’과 EDR 솔루션 ‘알약 EDR’, 그리고 AI를 적용한 위협 인텔리전스 ‘쓰렛 인사이드(TI)’, 시큐리티대응센터(ESRC)를 통한 전문가 대응을 결합한 통합 위협 대응 전략이 AI를 가장 잘 활용하는 방법이라고 강조한다.

“하나의 기술만으로 위협 대응 못해”

알약이 국내외 방대한 위협 이벤트를 수집하면 이를 TI가 분석한다. 이 때 ESRC의 전문가 역량을 적용해 위협의 특징과 공격 그룹, 공격 목적, 진행 방법 등을 구분하고 분류한다. 분류된 내용을 바탕으로 대응 방안을 만들어 알약으로 보내 자동으로 위협을 차단한다. 이 과정에서 걸러지지 않은 위협은 EDR을 통해 감시하고 분석한다. 위협 흐름, 공격 기법 등에 대한 정확한 식별로 위협을 탐지하고 공격이 발생하기 전에 조치를 취할 수 있도록 한다.

AI 기반 엔드포인트 보안 솔루션 중 커널을 보지 않고 사용자 인터페이스를 모니터링해 위험 상황을 식별하고 대응하는 제품이 활발한 영업 활동을 하는데, 이러한 솔루션은 커널 레벨 위협을 식별할 수 없기 때문에 위협 탐지가 제한적이다.

김 부사장은 이 같은 점을 강조하며 “발생 가능한 모든 위협에 대응해야 위협으로부터 비즈니스를 보호할 수 있다. 단 한가지 솔루션, 단 한 가지 기술만으로 위협을 차단할 수 없으며, 여러 기술을 결합하고 연동해 공격면을 줄여가는 것이 중요하다”고 강조했다.

그는 이어 “최근 EDR 시장이 본격적인 성장 가도에 오르면서 많은 경쟁사들이 시장에 뛰어들고 있지만, EDR만으로 복잡한 위협 상황에 대응하지 못한다는 사실을 강조하는 곳은 많지 않다. EDR을 제대로 운영하기 위해서는 백신, 위협 인텔리전스와 반드시 결합해야 한다”고 거듭 강조했다.

보안 수준 향상 위한 대안 제시할 것

한편 이스트시큐리티는 올해 EDR 시장 성장을 견인하는 리더로 자리잡기 위해 나설 계획이다. 특히 알약·알약 EDR·쓰렛 인사이드를 결합한 3단계 통합 솔루션을 적극 알리며 다양한 산업군에서 성공사례를 확보할 계획이다. 이스트시큐리티는 신세계조선호텔, 인천종합에너지에 알약 EDR 대규모 공급사례를 완성했으며, 경찰청에 쓰렛 인사이드 분석 시스템 IMAS도 공급해 안정적으로 운영하고 있다.

또한 이 역량을 운영기술(OT)과 IoT 환경까지 확대할 계획도 갖고 시장조사를 진행하고 있다. 기존 OT·IoT 엔드포인트 보안을 위해 화이트리스트 기반 솔루션이 사용되어왔지만, OT와 IoT 단말의 연결성이 넓어지고 다양한 서비스와 결합되면서 복합적인 위협이 발생하고 있어 오래된 화이트리스트로는 대응하기 어렵다. EDR과 위협 인텔리전스를 활용해 엔드포인트에서 일어나는 위협을 정밀하게 분석하되, 엔드포인트와 OT·IoT 운영에 영향을 주지 않는 기술이 필요하다.

또한 OT와 IoT 운영조직이 사이버 보안에 대한 인식 수준이 높아져야 하므로 지속적으로 시장 동향을 살펴보면서 기술을 준비해 시장이 열렸을 때 공급할 수 있도록 할 계획이다.

김준섭 부사장은 “보안은 예산이 투입되어야 하는 일이다. 제한된 예산을 이용해 보안 수준을 올리기 위해 고객이 어떤 점에 우선순위를 두어야 하는지 혼란을 겪고 있다. 현재와 미래 위협에 효과적으로 대응할 수 있는 통합 솔루션과 전문가 역량을 제공하기 위해 노력해 나갈 것”이라고 말했다.

김선애 기자 다른기사 보기