[데이터넷] AI를 이용한 보안 시스템이 빠르게 확장되고 있다. 그 중에서도 네트워크 위협을 AI로 자동화 분석해 대응할 수 있도록 하는 ‘NDR(Network Detection and Response)’ 솔루션이 유행하고 있다. 가장 잘 알려진 NDR 솔루션이 다크트레이스 ‘엔터프라이즈 면역 시스템(EIS)’이며, 굿어스가 국내에 공급하는 벡트라 ‘코그니토(Cognito)’도 잇달아 고객을 확보하면서 시장 확산 속도를 높이고 있다.
NDR은 IDS/IPS와 네트워크 위협 분석(NTA), 네트워크 포렌식 기술을 통합하고 위협 탐지와 대응을 지능화, 자동화 한 개념으로, SIEM, SOAR, IR 및 티케팅 시스템 등과 연계해 관제 조직의 위협 탐지와 대응 역량을 높일 수 있도록 했다. 여러 탐지·대응 시스템과 유연하게 연동해 전통적인 보안 관제 시스템이 분절된 데이터만을 제공해 전체 위협의 가시성을 확보하지 못했던 문제를 해결 할 수 있으며, 내부에서 발생하는 이상행위를 탐지하는 것은 물론이고, 외부와의 수상한 통신 시도도 막을 수 있다.
구자진 굿어스 보안사업팀 수석부장은 “시그니처, 룰 기반 보안 시스템의 한계를 해결하기 위해 최근 AI를 활용한 보안 분석 기술이 다양한 분야에 적용되고 있다. 그 중 NDR은 네트워크 트래픽을 전수조사하고, 다른 보안 및 분석 솔루션과 연계해 발견된 이벤트에 대한 심층조사를 진행해 정확하게 위협을 탐지하는 기술로 전환되고 있다”고 설명했다.
보안 투자 효과 높이는 NDR
벡트라는 네트워크 트래픽과 시스템 및 인증 로그, IOC에서 메타데이터를 추출한 후, 공격자 행위 분류와 데이터 사이언스를 적용한 AI 분석 기술로 위협을 자동으로 감지한다. 지도학습 기법의 머신러닝도 사용하지만 비지도학습 기반 분석도 제공해 학습 없이 즉시 이상행위를 탐지할 수 있다. 일례로 벡트라를 도입한 한 제조공장에서 BMT 중 제조라인 PC에서 이상행위를 감지하고 즉시 대응하도록 했다. 해외 분산된 작업환경, 내부망, 폐쇄망 등에서 코그니토를 통해 패치가 어려운 시스템까지 보안관리 할 수 있도록 했다.
AI 기반 위협 대응 시스템은 노이즈가 많고 AI에 대한 높은 전문성이 있어야 한다는 점 때문에 운영이 어려웠다. 벡트라는 전문가 없이도 쉽게 운영 가능하며, 노이즈를 줄여 보안 관리 업무를 크게 줄여준다. 또한 발견된 위협의 내용을 상세히 설명해 적절하게 대응할 수 있도록 도와준다.
또한 벡트라는 기존 구축된 보안 시스템과 연동해 탐지 성능을 높이기 때문에 보안 투자 효과를 제고할 수 있으며, 관리자 권한을 탈취해 정상 관리자 행위로 위장해 활동하는 공격까지 탐지하고 대응할 수 있다.
한편 굿어스는 벡트라 운영 효과를 극대화 할 수 있는 써드파티 솔루션도 자체 개발해 공급하고 있다. 사용자를 인식하고 제어하며 탐지된 이벤트를 관리자에게 문자 등으로 알리는 한편, 방화벽·NAC·EDR 등과 연동해 실시간으로 조치할 수 있는 ‘V100’ 서버를 제공한다. 이 제품에서 보안 오케스트레이션, 자동화, 대응(SOAR) 기능도 일부 지원해 보안관제조직의 업무를 한층 더 덜어줄 수 있다.
구자진 수석부장은 “벡트라는 공격이 일어나기 전부터 일어난 후 까지 전 과정을 탐지하고 대응할 수 있도록 하는 NDR 솔루션으로 각광받고 있다. 굿어스의 V100 서버를 연동하면 더 정확한 보안 탐지와 대응이 가능하다. V100 기능을 지속적으로 업그레이드하고 자동화 기능을 강화하면서 SOAR 역량까지 강화할 수 있도록 할 것”이라고 말했다.
