전문가 역량 민주화하는 ‘AI’, 보안 분야 접목 시도 빨라져
상태바
전문가 역량 민주화하는 ‘AI’, 보안 분야 접목 시도 빨라져
  • 김선애 기자
  • 승인 2017.01.13 09:54
  • 댓글 0
이 기사를 공유합니다

기계가 보안 전문가 통찰력 학습해 지능형 공격 탐지 … 관제·모니터링 시스템 접목 시도 늘어

2016년 3월 알파고 이후 인공지능(AI) 열풍이 휘몰아치기 시작했으며, 모든 분야에 AI를 적용하려는 노력이 시작됐다. AI는 전문가의 역량을 ‘민주화’ 하는 것이라는 주장이 이어졌는데, 전문가를 고용하기 어려운 환경에서 전문가의 통찰력을 학습한 AI 기술이 적용돼 보다 높은 수준의 의사결정이 가능해진다는 뜻이다.

보안 분야에서도 AI를 이용한 보안역량 강화 노력이 이어지고 있다. 보안 기술을 개발할 때 가장 어려운 부분이 정상 프로세스와 공격 프로세스를 구분하는 것이다.

예를 들면 악성코드가 C&C 서버와 통신하고 페이로드를 받는 과정은 소프트웨어 업데이트 패치를 받는 것과 동일한 프로세스를 거친다. 새로운 파일이 시스템에 실행된 후 외부 서버와 통신을 하고 새로운 파일을 다운받아 시스템의 여러곳을 실행시킨다. 윈도우와 같은 일부 업데이트는 관리자 권한으로 실행돼 악질적인 멀웨어로 의심받을 수 있다.

사람이라면 정상 업데이트인지, 악성파일이 실행되고 있는 것인지 쉽게 판단할 수 있지만, 기계는 프로세스만으로 정상 여부를 판단할 수 없다. 상황인지 기술, 평판기술, 화이트리스트/블랙리스트, 코드서명 인증 등의 여러 기술을 적용해 정상 프로세스를 구분하고 악성 프로세스를 차단해야 한다. 여기에 AI를 적용하면 보다 정확하게 정상/악성 프로세스를 구분할 수 있게 된다.

과다한 보안 이벤트, AI 이용해 지능적으로 관리
보안에 AI를 적용하려는 노력은 꽤 오래 전 부터 진행돼 왔다. 안티바이러스(AV) 기업들은 AI의 일종인 머신러닝을 이용해 악성코드의 행위를 파악하고 자동으로 시그니처를 만드는 방법을 발전시켜왔다.

하루에도 수십만개의 악성코드가 생성되는 상황에서는 악성코드 전문가를 아무리 많이 고용해도 모든 의심 파일의 악성 여부를 파악하고 시그니처로 만드는 것은 불가능한 일이다. 머신러닝은 기계 스스로 악성코드 행위를 학습하고 차단하기 때문에 사람의 개입 없이 자동으로 악성코드를 판단하고 대응 방법을 만들어주게 된다.

AI 기술 적용에 가장 적극적으로 나서는 분야는 보안관제와 모니터링이다. 이 분야는 오탐·미탐을 줄이는 것이 가장 핵심적인 역량이다. 오탐이 많으면 업무 생산성에 영향을 미치며, 미탐이 많으면 보안위협이 높아진다.

공격을 차단하기 위해서는 미탐보다 오탐이 많은 쪽을 택해야 하지만, 너무 많은 오탐도 위협을 높이는 원인이 된다. 보안 이벤트가 과다하게 발생해 관리할 수 없는 상황이 되면, 보안팀은 발견된 공격조차 대응하지 못하는 상황을 겪게 된다.

보안 이벤트가 실제 위협인지, 위협의 수준은 어느 정도인지, 어떤 이벤트에 먼저 대응해야 하는지를 정하기 위해서는 오랜 기간 쌓인 전문가의 통찰력이 필요하다. 그러나 거의 대부분의 조직은 보안 전문가를 충분히 확보하지 못했다. 보안 전문가는 수요에 비해 공급이 절대적으로 부족한 상황이다.

상황 인지 역량 갖춘 지능적인 모니터링 시스템 발전
AI는 모든 보안 시스템과 보안 조직이 전문가의 역량을 갖게 해 주는 구원투수가 될 것이라는 기대를 받고 있다. 그 증거가, 관제·모니터링 시스템에 AI를 적용한 상용화된 제품이 2016년 상당히 주목을 받았다는 사실이다. 관제 시스템과 서비스는 보안 전문가의 역량에 따라 크게 좌우되는 만큼, AI를 적용해 효과적으로 보안위협을 찾아내려고 시도한다.

삼성이 투자해 관심을 받은 미국의 보안업체 다크트레이스는 인간의 면역체계와 같은 방식으로, 시스템이 건강한 상태를 학습해 건강하지 않은 프로세스에 대응할 수 있도록 한다. 미국의 네트워크 모니터링 시스템 벡트라 역시 머신러닝 기술을 적용해 네트워크에서 일어나는 이상행위를 찾아내 대응하도록 한다.

수많은 로그를 분석해 위협을 정황을 파악하는 보안정보이벤트관리(SIEM) 시스템은 AI 기술을 적용했을 때 가장 효과를 발휘할 수 있는 시스템으로 평가된다. IT 시스템에서 발생하는 모든 보안 이벤트를 연계분석하고, 전문가의 역량으로 보안위협 수준을 평가해 우선순위와 위협 수준을 보안팀에 알려주는 SIEM은 보안위협을 크게 낮출 수 있을 것으로 기대된다.

사용자 행위분석(UBA) 시스템에도 AI가 적용된다. 다양한 환경과 상황에서 발생하는 사용자의 행위를 지능적으로 분석하는 UBA에 AI가 접목돼 이상행위를 보다 정확하게 찾아낼 수 있다. UBA의 탐지 능력을 더욱 개선하기 위해 사용자 계정 정보, 동료 및 동일한 업무를 수행하는 조직의 평균적인 행위, 그리고 근태 및 BYOD 등 사용하는 단말과 네트워크 정보를 연계시키면 더욱 정확하게 이상행위 정황을 파악할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.