[데이터넷] 최근 보안관제 시장에서 두드러지게 나타나는 변화는 ‘데이터’에 집중한다는 것이다. 진화한 공격은 포인트 보안 솔루션에서 탐지되지 않도록 설계되지만 완전히 정상 파일로 위장하는 것은 아니며 확실히 알 수 없는 ‘그레이’ 영역에 남겨지게 된다. 그레이 영역의 데이터들은 개별 데이터만으로는 의미를 알 수 없지만, 상관관계 분석을 통하면 공격의 일부를 파악할 수 있게 된다. 따라서 그레이 영역의 데이터를 분석해 선제방어 시스템이 탐지하지 못한 공격을 가시화 할 수 있게 됐다.
하드웨어가 발달하고 분석 기술이 진화하면서 대용량 데이터 분석이 가능해졌지만, 실제 보안 현장에서는 8%의 데이터만을 분석하며, 나머지 92%는 다크데이터로 남게 된다. 다크데이터를 활용하기 위해 AI가 접목되기 시작했으며, 적대적 머신러닝 방어, 적응형 보안, 지능형 표적공격 탐지, 이용한 액티브 디렉터리 보호 등 보안 기술 전반에 AI가 활용된다.
신경호 시큐아이 관제센터장은 “공격자도 AI를 사용하는 현 시점에, 몇 가지 보안 이벤트에만 천착하는 관제는 한계가 있다. 전체 위협을 확인하면서 비즈니스에 가장 심각한 영향을 미칠 수 있는 위협을 막고 추가·변종 공격에 대응하는 체계를 갖춰야 한다”며 “AI를 이용한 위협 분석 및 대응에 전문가의 보안 역량을 결합해야 차세대 보안관제라고 할 수 있다”고 말했다.
AI 적용 악성코드 탐지하는 위협 인텔리전스
AI를 적용한 보안 모델의 대표적인 것이 위협 인텔리전스(TI)다. 여러 IT 시스템에서 생성되는 정보를 분석해 위협 DB화 하는 TI는 한 기업/기관에서 축적한 DB만을 이용하지 않으며, 정부·공공기관, 민간기업, 보안기업 등 위협 데이터를 수집할 수 있는 모든 조직에서 데이터를 모아서 분석하는 것이 가장 정확하다.
그러나 기업·기관들이 위협 데이터 공유에 아직은 소극적인 편이어서 인식을 전환시킬 필요가 있다. AI를 이용해 보안위협을 정확하게 분석하기 위해서는 방대한 양의 위협 데이터가 필요하며, 이를 위해서는 글로벌 단위로 수집한 TI가 유용하게 사용된다.
해외에서는 오래 전 부터 민·관의 광범위한 위협정보 공유 노력이 진행됐으며, 특히 민간기업들이 모여 진행하는 사이버 위협 연합(CTA)은 국내 보안 기업인 SK인포섹, 세인트시큐리티가 가입하면서 글로벌 위협 정보를 공유하고 있다.
우리나라에서는 한국인터넷진흥원(KISA)에서 국내 보안 기업들이 참여하는 C-TAS와 글로벌 기업까지 참여하는 CAMP를 운영하고 있다. 과학기술정보통신부는 여러 분야에서 수집된 위협 정보를 산·학·연에 공유하는 사이버 보안 빅데이터센터를 운영한다. 이 센터는 사이버 위협 빅데이터 분석과 활용을 통해 차세대 보안장비, 침해사고 대응 기술 등을 개발하고 침해사고 예방과 대응 능력을 강화한다.
위협 인텔리전스 공유로 위협 대응 능력 높여
국내 보안기업들이 주도하는 위협 인텔리전스 공유 모델도 있다. 윈스, 이글루시큐리티, 소만사, 지란지교시큐리티, 세인트시큐리티, 시큐아이, 닉스테크(현 한류AI센터) 등이 정보통신기술진행센터 지원으로 2017년부터 올해까지 3년간 ‘보안 분석(Security Analytics) 기반 이기종 보안솔루션 위협 분석 및 대응 기술 개발(KOSIGN)’ 사업을 진행하고 있다. 이 사업이 완료된 후 그 성과물을 기반으로 위협 인텔리전스 생태계를 전체 산업으로 확장시키기 위한 노력을 지속할 계획이다.
그 일환으로 한국정보보호산업협회(KISIA)에서 주도하는 ‘정보보호 빅데이터 플랫폼 센터 구축’ 사업이 진행된다. 이 센터에서는 보안 기업들이 분석 완료한 정제된 위협 데이터를 공유할 수 있도록 할 계획이다. 데이터 공유 기준을 마련하기 위한 평가단과 센터 운영을 위한 전담조직을 마련할 계획이다.
KISIA는 정부에서 데이터 경제 활성화를 위한 빅데이터 지원 사업을 적극 펼치고 있는 만큼, 보안 업계에서 진행하고 있는 ‘정보보호 빅데이터 플랫폼 센터 구축’ 사업도 긍정적으로 평가될 수 있을 것으로 기대하고 있다.
조학수 윈스 부사장은 “KOSIGN 과제는 분산된 관제센터의 이종 보안솔루션에서 위협정보를 수집하고 분석·대응하는 기술을 개발하기 위해 진행된 것으로, 3년간 개발한 기술을 기반으로 위협 정보 공유 플랫폼을 만들고자 한다. STIX, TAXII 등 글로벌 위협 인텔리전스로도 공개하며, API를 오픈해 원하는 기업들이 이용하도록 하고자 한다”고 말했다.
한편 윈스는 보안관제 서비스에 AI를 접목하면서 관제인력의 숙련도를 평준화하고 서비스 수준을 높이고 있다. 모든 시스템에 대한 로그 연동과 시계열 분석, 하이퍼 코릴레이션 등의 분석 기술을 이용해 탐지 효과를 높인다. 또한 KOSIGN 과제를 진행하면서 개발한 역량으로 SOAR 개념을 발전시켜 관제 서비스에 접목하고 있다.
조학수 윈스 부사장은 “윈스는 2000년대 초부터 모든 이종 장비의 로그를 연계분석하고 검색엔진을 고도화하면서 관제 서비스 수준을 높여왔다. 여기에 AI를 활용해 방어 역량을 향상시키는데 주력하고 있다”며 “또한 민간기업간 TI를 공유하는 정부과제를 수행하면서 국내로 향하는 위협에 대한 정보를 축적해 위협 대응 역량을 높이고 있다”고 설명했다.
