이미 해킹공격에 인공지능이 사용되는 만큼 사이버 보안의 최전선인 보안관제 분야에서 인공지능 활용은 필연적이다

전 산업에 걸쳐 인공지능(AI) 활용이 늘어나고 있다. 최근 사이버 보안업계에서도 인공지능을 활용한 보안 제품과 서비스가 선보이고 있는 추세다. 이런 가운데 국내 보안관제 분야를 선도하고 있는 SK인포섹이 본격적인 인공지능 보안관제 시대를 열겠다고 나섰다.    

SK인포섹(www.skinfosec.com, 대표 안희철) 12일 서울 종로 마이크임팩트 빌딩에서 도지헌 전략사업부문장, 채영우 소프트웨어개발센터장, SK인포섹 관계자들이 참석한 가운데 출입기자 간담회를 열고, ‘인공지능을 활용한 보안관제서비스(MSS) 고도화에 대해 발표하는 자리를 가졌다.

 

지능형 공격과 수집 데이터 증가로 위협을 탐지하는데 어려움 있어

사이버 보안 분야에서 인공지능이 사용되는 경우는 크게 △ 네트워크에서 일어나는 비정상적, 혹은 악성행위의 탐지 및 차단 △ 제로데이(Zero-Day) 등 신규 악성코드 분석 △ 소프트웨어 취약점 분석 등으로 구분할 수 있다. 대부분 빅데이터 수준의 위협 정보를 학습하는 머신러닝(Machine Learning) 기술을 활용해 지능형 위협의 분석 효율을 높이거나, 분석 결과를 보강하는데 쓰이고 있다.  

이날 발표를 맡은 채영우 SK인포섹 소프트웨어개발센터장은 특히 국내외 유수의 보안기업들 대부분이 네트워크나 시스템에서 일어나는 비정상적 행위, 또는 공격행위를 빠르고 정확하게 찾아내기 위해 머신러닝 도입을 서두르고 있다면서 이는 보안관제 워크플로우(Workflow)와도 매우 밀접한 관계가 있다고 말했다.

보안관제는 기업의 각종 보안시스템에서 탐지한 이상징후를 한 곳으로 수집해 공격 여부를 가려내고, 조치하는 것을 말한다. SK인포섹도 국내외 2,000여 곳, 8,000대 이상의 보안시스템에서 탐지한 이상징후를 보안관제시스템 시큐디움(Secudium)’으로 수집하여 다양한 분석 규칙(Rule)을 통해 공격 여부를 판별한다.

이를 보안관제에서 탐지단계라고 하는데, 실제 공격으로 판정된 것을 정탐’, 이상징후이나 공격과 무관한 것으로 판정된 것을 오탐이라고 한다. 그런데 지능형 공격이 증가하고, 다양한 시스템에서 수집되는 데이터가 날로 폭증하면서 위협을 정확하게 탐지하는데 어려움을 겪고 있다. SK인포섹 보안관제센터에서 하루에 수집분석하는 이상징후와 보안로그만 해도 최소 10억건 이상이다.


 

머신러닝 이용해 검증 가능한 위협여부 자동 판정

SK인포섹은 보유하고 있는 위협 정보, 소속 보안 전문가(CERT)의 분석 논리, 글로벌 보안기업과 공유하는 위협 인텔리전스 등 양질의 정보를 학습하는 머신러닝 분석 알고리즘을 개발했다. 이를 탐지 단계를 거친 결과를 재차 자동 판정할 수 있도록 적용시켰다.

채영우 센터장은 머신러닝 적용 이전에는 탐지 결과를 재차 분석하고, 대응까지 하는 것까지 리소스가 과도하게 사용되었다면서 머신러닝을 적용시킨 후에는 이 같은 건 수가 70%나 줄였다고 말했다. 그러면서 그만큼 줄어든 리소스를 위협 가능성이 높은 탐지 이벤트 분석에 집중시킨 결과, 전체적으로 관제서비스 품질을 개선하는 효과를 얻었다고 말했다.  

SK인포섹은 작년 초 서울대학교와 산학협력을 체결하며, 알려지지 않은 지능형 공격을 탐지 단계에서 찾아내는 머신러닝 알고리즘 개발에 나서기도 했다. 그러나 탐지 단계에서 머신러닝을 적용하는 대신에 탐지 결과의 효과 검증이 가능한 자동 판정에 우선 집중했다는 설명이다.   

채영우 센터장은 알파고가 두는 바둑수의 의미는 대국 후에 증명해도 되지만, 보안에서 인공지능이 찾아낸 위협은 대응 조치 이전에 그 이유를 알 수 있어야 한다면서 인공지능이 실제 보안관제서비스에 적용되기 위해서는 효과성은 물론, 위협 탐지 결과에 대한 설명과 검증이 가능해야 한다고 말했다.

더불어 채 센터장은 탐지 단계에서 지능형 공격을 찾아내기 위한 머신러닝 적용 역시 앞으로 계속해서 연구 개발할 계획이다면서 서울대와 산학협력을 통해 축적한 기술과 앞으로 자동 판정 단계의 머신러닝을 통해 생산되는 데이터를 활용한다면 충분히 만들어 낼 수 있을 것이라고 말했다.

 

인공지능 보안관제는 이제 시작! 글로벌 경쟁력 갖출 것

SK인포섹은 인공지능 보안관제 시대를 열어가기 위해 중장기 전략을 추진 중이라고 밝혔다. 보안관제를 구성하는 사람(Expert), 프로세스(Process), 기술(Technology) 세 가지 요소를 고도화한다는 방침이다.

우선, 인공지능 보안관제가 성공적으로 자리잡기 위해서는 다수의 보안 전문가들이 필요할 것으로 내다봤다. 위협 분석은 위협 인텔리전스와 머신러닝으로 점차 대체하고, 그 일에 투입되었던 보안 전문가들은 학습할 데이터셋(Data Set)을 구축하는 고난이도 업무에 집중시킨다는 계획이다.

그리고 위협 정보를 수집하고, 탐지, 분석, 대응 과정에 이르는 관제 프로세스를 자동화시키기 위한 기술개발에도 힘쓰고 있다. 간담회에 참석한 도지헌 전략사업부문장은 현재 단계에서는 글로벌 경쟁력을 갖추기 위해 인공지능을 활용해 위협 분석 효율을 높이고, 관제 범위를 확대하는데 집중하고 있다면서 정보 뿐만 아니라, 물리 영역까지 넘나드는 복합 위협이 현실화되고 있는 상황에서 사회와 산업을 보호하고, 기술을 선도하는 글로벌 보안회사로 거듭날 것이라고 말했다.



티스토리 툴바