현재 보안관제센터의 문제점은 특화된 솔루션의 난립
왓슨 베타테스트 해봤더니...속도와 깊이 모두 월등해
[보안뉴스 문가용 기자] 정보보안 업계에서 인공지능이나 머신 러닝, 자동화처럼 뭔가를 알아서 해주는 기술이 기대주로 떠오르는 이유는 딱 하나 사람이 모자라기 때문이다. 더 정확히 말하면 공격자에 비해서 방어자가 터무니없이 부족한 상황인 것. 사람이 모자라니 분석가들이 경보 한 건 당 20분밖에 쓰지 못하고, 그러니 상황 파악이 안 되고, 오탐이 일어나고, 잘못된 솔루션에 돈을 쓰게 되고, 보안전문가들이 공격자들보다 못하다고 손가락질 받는다.
.jpg)
이런 상황이 적나라하게 드러나는 게 바로 SOC, 즉 보안관제센터에서다. IBM의 글로벌 보안 부사장인 안소니 오리게마(Anthony Aurigemma)는 “특정 기능에 특화된 솔루션들이 잔뜩 비치되어 있어 통합적으로 관리하기가 어려운 상태”라고 오늘날의 보안관제센터들이 직면한 문제를 짚어낸다(이 때문에 최근 보안 업계에서 간간히 이야기 되는 것이 ‘오케스트레이션(orchestration)’이라는 개념이기도 하다).
왓슨의 목적지, CogniSOC?
이 난국을 헤쳐가려면 누군가 관제센터의 머리에 앉아 모든 솔루션, 장비, 분석가들로부터 정보를 알알이 모아 꿰어내야 한다. 좀 더 이상적인 그림이라면, “사람이 일일이 데이터를 입력하지 않아도 스스로 검색, 조사를 통해 배울 수 있는 기능에 더해 수집하거나 배운 것들을 꿰어 맞춰(correlate) 추론(reason)할 수 있고, 그렇게 나온 결과물을 자연어로 사람과 소통할 수 있는 관제센터”이다. 첩보도 알아서 수집하고, 그걸로 의미도 도출하고, 그것을 사람이 이해하기 쉽게 표현해내는 이상적인 관제센터, 이를 IBM에서는 인지 보안관제센터, 혹은 코그니삭(CogniSOC)이라고 부른다.
이런 이상적인 관제센터의 현실화에 있어서 가장 중요한 요소가 바로 IBM의 인공지능 솔루션인 왓슨 포 사이버 시큐리티(Watson for Cyber Security, 이하 왓슨)이다. IBM은 작년 2월부터 자사 고객사들 중 40개 업체와 함께 왓슨의 베타테스트를 진행했다. “최종 사용자에게 봇넷 공격이 발생했다는 가상의 경보를 놓고 인간 분석가 그룹과 왓슨을 대동한 인간 분석가 그룹이 분석을 진행했습니다. 왓슨은 보안 분석가들보다 평균적으로 60배가 빠른 속도로 인터넷 검색을 할 수 있었고, 정확도는 10배나 높았습니다.”
왓슨은 목적지에 도달할 만한 깜냥이 되는가?
속도만 해도 크나큰 무기가 될 수 있는데, 왓슨과 함께한 분석가들의 분석 자료는 더 심오하기까지 했다. “분석가들로만 구성된 그룹은 공격의 지표(indicator)들을 발견하는 데에 그쳤습니다만, 왓슨과 함께한 그룹은 여러 주변 정보들을 조합해 실제적으로 위협이 되는 요소(threat)들을 발견해 좀 더 구체적이고 즉각적인 대응이 가능하도록 했습니다.”
예를 들어 네트워크 내 한 사용자가 단 한 번도 접속해본 적이 없는 웹사이트에 갑자기 들어가기 시작했고, 마침 그 사이트가 여러 모로 수상한 점이 있는 곳이라면, 이는 위험의 지표(indicator)라고 볼 수 있다. “습관의 동물인 사람이 전에 한 번도 간 적이 없는 사이트를 접속한다는 것도 수상한데, 해당 도메인이 합법적이거나 잘 알려지지 않은 것이라면 사고가 발생할 가능성이 생깁니다.”
여기까지가 인간 분석가들로만 구성된 그룹이 찾아낸 것이라면 왓슨과 함께 연구를 진행한 분석가들은 해당 도메인과 관련된 사용자 접속 기록, 메타데이터, 관련된 사고 이력 등을 다양한 각도로 검토해 해당 지표(indicator)가 조직에 실제적인 위협이 되는지, 즉, 경보를 발령해도 될 만 한지까지 파악했다. “즉 위협의 유효성(validity of threat)까지도 판단할 수 있었던 것입니다.”
안소니 부사장에 따르면 베타테스트를 진행했던 40개 업체들 중 일부는 왓슨의 도입을 진지하게 검토 중에 있다고 한다. 현재 베타테스트는 완료된 상태이며 2월 28일부터 정식 버전이 출시되었다. 30일간 무료 시험 버전을 설치하는 것도 가능하다. “인공지능 솔루션이라고 하면 어마어마한 컴퓨팅 파워를 통상 필요로 하기 때문에 부담스러워하시기도 하는데, 왓슨은 클라우드를 기반으로 하기 때문에 그런 걱정이 없습니다. 다만 현재까지는 기존 IBM의 보안 솔루션인 큐레이더(QRadar)에 애드온 되는 개념이라, 사실상 큐레이더를 보유한 고객들만이 왓슨을 시험해볼 수 있습니다.”
여정 중 생긴 친구, 헤이븐 프로젝트
“아직까지는” 큐레이더와 분리될 수 없다는 제약사항이 있긴 하지만, 인지 보안관제센터라는 이상향을 좇기에 왓슨은 자격을 갖춘 것처럼 보인다. 데이터를 스스로 수집하고 엮어내고 배우고 추론하면서 사람을 돕는 능력 자체는 근 1년에 걸친 베타테스트를 통해 검증된 바 있기 때문이다. 하지만 인지 보안관제센터의 마지막 필요사항인 ‘인간과의 자연어 소통’은 어떨까? 왓슨이 처음부터 제오파디!(Jeopardy!)라는 퀴즈쇼에 참가할 만큼 자연어로 질문을 받고 답할 수 있기 때문에 이미 해결된 문제일까?
“IBM은 현재 헤이븐 프로젝트(Havyn Project)라는 걸 진행하고 있습니다. 음성인식 기술이라고 볼 수 있는데 왓슨의 인공지능에 접목되어 사이버 보안과 관련된 전문적인 일처리를 하는 데 특화되어 있는 기술입니다.” 이 프로젝트를 진행하고 있는 IBM의 에반 스피삭(Evan Spisak)은 헤이븐 프로젝트를 “영화 아이언맨에 나오는 인공지능 조수인 자비스(Jarvis)에 비교하고 싶지만, 사실은 아마존 알렉사(Alexa)의 전문화된 버전에 가깝다”고 설명한다.
하지만 헤이븐 프로젝트가 완결되지 않았다고 해서 왓슨마저 미완성 상태인 것은 아니다. “왓슨은 현재 보안 분석가들을 돕는 툴로서 기능을 다하고 있고, 관제센터에서 분석가들과 주고받는 정보는 IP 주소나 도메인 이름 등으로, 자연어 구사력과는 크게 상관이 없습니다.” 참고로 왓슨은 현재 한국어를 학습하고 있으며, 이 과정도 거의 끝나가고 있다고 한다.
여행은 정체성의 성장으로 이어지는데
여행자들은 일상에서 느낄 수 없던 것들을 여행지에서 하나 둘 건져온다. 영화나 소설 속 주인공들의 여행은 성장의 메타포가 되는 게 보통이다. 퀴즈쇼로부터 시작해 보안의 관제에까지 가고자 하는 왓슨의 여정 역시 예외는 아닐 것이다. 이미 퀴즈쇼용 인공지능이 몸값 비싼 분석 전문가들의 파트너로서 역할을 하고 있는 것만 봐도 말이다. 그렇다면 왓슨의 정체성은 어떻게 자랄까? 고급 분석 툴로 남을까? 결국엔 오케스트레이션을 위한 통합 관리 툴이 될까?
안소니 부사장은 “굳이 말하자면 분석 툴이 맞다”고 딱 잘라 말한다. “분석가들의 역할을 대체하고자 만든 것이 아닙니다. 분석가들을 보조하고 뒷받침할 때 최대의 가치를 발휘하는 게 왓슨입니다. 또한, 현재 한국이나 세계 여러 나라에서 독특하게 사용되고 있는 수백 가지 다양한 솔루션을 전부 왓슨의 관리 하에 두겠다는 것도 우리의 목표가 아닙니다. 인지 관제센터 내에서 왓슨의 정체성이란 ‘연구 허브(research hub)’에 가까울 것이라고 생각합니다.”
▲ 왓슨, 사람을 대체하기 위해 개발한 것이 아니다.
그러나 2주전 IBM은 왓슨이 또 다른 영역에까지 확장했다는 발표를 했다. 인지 통합관제센터의 ‘머리’와는 완전히 다른 ‘모바일 엔드포인트’다. 왓슨을 이용해 엔드포인트 보안을 강화할 클라우드 플랫폼인 마스360 어드바이저(MaaS360 Advisor)가 바로 그것이다. 기존 모바일 보안 솔루션인 마스360 BYOD에 왓슨을 탑재시킨 것으로, 큐레이더와 패키지로만 제공되고 있는 왓슨이 데자뷰처럼 떠올려지는 대목이다.
하지만 미국에서만 올해 150만개의 보안 직책이 공석으로 남아 있을 것으로 예상되는 ‘극심한 인력 가뭄의 시기’에 중요한 건 “IBM이 왓슨을 앞세워서 보안관제의 생태계 전부를 장악하려는 건가?”가 아니라 “왓슨이 현재 보안관제센터들의 ‘혼돈 상태’를 깨끗하게 해결해줄 수 있을까? 그밖에 이 문제를 해결해줄 솔루션엔 뭐가 있을까?”다. 왓슨이 현재처럼 IBM 솔루션을 통해서만 제공되는 것이 불공정 거래니 뭐니 문제로 지적되는 시점은, 역설적으로 왓슨이 독보적인 성능을 입증했을 때일 것이다. 순서대로 두고 볼 일이다.
[국제부 문가용 기자(globoan@boannews.com)]
왓슨 베타테스트 해봤더니...속도와 깊이 모두 월등해
[보안뉴스 문가용 기자] 정보보안 업계에서 인공지능이나 머신 러닝, 자동화처럼 뭔가를 알아서 해주는 기술이 기대주로 떠오르는 이유는 딱 하나 사람이 모자라기 때문이다. 더 정확히 말하면 공격자에 비해서 방어자가 터무니없이 부족한 상황인 것. 사람이 모자라니 분석가들이 경보 한 건 당 20분밖에 쓰지 못하고, 그러니 상황 파악이 안 되고, 오탐이 일어나고, 잘못된 솔루션에 돈을 쓰게 되고, 보안전문가들이 공격자들보다 못하다고 손가락질 받는다.
이런 상황이 적나라하게 드러나는 게 바로 SOC, 즉 보안관제센터에서다. IBM의 글로벌 보안 부사장인 안소니 오리게마(Anthony Aurigemma)는 “특정 기능에 특화된 솔루션들이 잔뜩 비치되어 있어 통합적으로 관리하기가 어려운 상태”라고 오늘날의 보안관제센터들이 직면한 문제를 짚어낸다(이 때문에 최근 보안 업계에서 간간히 이야기 되는 것이 ‘오케스트레이션(orchestration)’이라는 개념이기도 하다).
왓슨의 목적지, CogniSOC?
이 난국을 헤쳐가려면 누군가 관제센터의 머리에 앉아 모든 솔루션, 장비, 분석가들로부터 정보를 알알이 모아 꿰어내야 한다. 좀 더 이상적인 그림이라면, “사람이 일일이 데이터를 입력하지 않아도 스스로 검색, 조사를 통해 배울 수 있는 기능에 더해 수집하거나 배운 것들을 꿰어 맞춰(correlate) 추론(reason)할 수 있고, 그렇게 나온 결과물을 자연어로 사람과 소통할 수 있는 관제센터”이다. 첩보도 알아서 수집하고, 그걸로 의미도 도출하고, 그것을 사람이 이해하기 쉽게 표현해내는 이상적인 관제센터, 이를 IBM에서는 인지 보안관제센터, 혹은 코그니삭(CogniSOC)이라고 부른다.
이런 이상적인 관제센터의 현실화에 있어서 가장 중요한 요소가 바로 IBM의 인공지능 솔루션인 왓슨 포 사이버 시큐리티(Watson for Cyber Security, 이하 왓슨)이다. IBM은 작년 2월부터 자사 고객사들 중 40개 업체와 함께 왓슨의 베타테스트를 진행했다. “최종 사용자에게 봇넷 공격이 발생했다는 가상의 경보를 놓고 인간 분석가 그룹과 왓슨을 대동한 인간 분석가 그룹이 분석을 진행했습니다. 왓슨은 보안 분석가들보다 평균적으로 60배가 빠른 속도로 인터넷 검색을 할 수 있었고, 정확도는 10배나 높았습니다.”
왓슨은 목적지에 도달할 만한 깜냥이 되는가?
속도만 해도 크나큰 무기가 될 수 있는데, 왓슨과 함께한 분석가들의 분석 자료는 더 심오하기까지 했다. “분석가들로만 구성된 그룹은 공격의 지표(indicator)들을 발견하는 데에 그쳤습니다만, 왓슨과 함께한 그룹은 여러 주변 정보들을 조합해 실제적으로 위협이 되는 요소(threat)들을 발견해 좀 더 구체적이고 즉각적인 대응이 가능하도록 했습니다.”
예를 들어 네트워크 내 한 사용자가 단 한 번도 접속해본 적이 없는 웹사이트에 갑자기 들어가기 시작했고, 마침 그 사이트가 여러 모로 수상한 점이 있는 곳이라면, 이는 위험의 지표(indicator)라고 볼 수 있다. “습관의 동물인 사람이 전에 한 번도 간 적이 없는 사이트를 접속한다는 것도 수상한데, 해당 도메인이 합법적이거나 잘 알려지지 않은 것이라면 사고가 발생할 가능성이 생깁니다.”
여기까지가 인간 분석가들로만 구성된 그룹이 찾아낸 것이라면 왓슨과 함께 연구를 진행한 분석가들은 해당 도메인과 관련된 사용자 접속 기록, 메타데이터, 관련된 사고 이력 등을 다양한 각도로 검토해 해당 지표(indicator)가 조직에 실제적인 위협이 되는지, 즉, 경보를 발령해도 될 만 한지까지 파악했다. “즉 위협의 유효성(validity of threat)까지도 판단할 수 있었던 것입니다.”
안소니 부사장에 따르면 베타테스트를 진행했던 40개 업체들 중 일부는 왓슨의 도입을 진지하게 검토 중에 있다고 한다. 현재 베타테스트는 완료된 상태이며 2월 28일부터 정식 버전이 출시되었다. 30일간 무료 시험 버전을 설치하는 것도 가능하다. “인공지능 솔루션이라고 하면 어마어마한 컴퓨팅 파워를 통상 필요로 하기 때문에 부담스러워하시기도 하는데, 왓슨은 클라우드를 기반으로 하기 때문에 그런 걱정이 없습니다. 다만 현재까지는 기존 IBM의 보안 솔루션인 큐레이더(QRadar)에 애드온 되는 개념이라, 사실상 큐레이더를 보유한 고객들만이 왓슨을 시험해볼 수 있습니다.”
여정 중 생긴 친구, 헤이븐 프로젝트
“아직까지는” 큐레이더와 분리될 수 없다는 제약사항이 있긴 하지만, 인지 보안관제센터라는 이상향을 좇기에 왓슨은 자격을 갖춘 것처럼 보인다. 데이터를 스스로 수집하고 엮어내고 배우고 추론하면서 사람을 돕는 능력 자체는 근 1년에 걸친 베타테스트를 통해 검증된 바 있기 때문이다. 하지만 인지 보안관제센터의 마지막 필요사항인 ‘인간과의 자연어 소통’은 어떨까? 왓슨이 처음부터 제오파디!(Jeopardy!)라는 퀴즈쇼에 참가할 만큼 자연어로 질문을 받고 답할 수 있기 때문에 이미 해결된 문제일까?
“IBM은 현재 헤이븐 프로젝트(Havyn Project)라는 걸 진행하고 있습니다. 음성인식 기술이라고 볼 수 있는데 왓슨의 인공지능에 접목되어 사이버 보안과 관련된 전문적인 일처리를 하는 데 특화되어 있는 기술입니다.” 이 프로젝트를 진행하고 있는 IBM의 에반 스피삭(Evan Spisak)은 헤이븐 프로젝트를 “영화 아이언맨에 나오는 인공지능 조수인 자비스(Jarvis)에 비교하고 싶지만, 사실은 아마존 알렉사(Alexa)의 전문화된 버전에 가깝다”고 설명한다.
하지만 헤이븐 프로젝트가 완결되지 않았다고 해서 왓슨마저 미완성 상태인 것은 아니다. “왓슨은 현재 보안 분석가들을 돕는 툴로서 기능을 다하고 있고, 관제센터에서 분석가들과 주고받는 정보는 IP 주소나 도메인 이름 등으로, 자연어 구사력과는 크게 상관이 없습니다.” 참고로 왓슨은 현재 한국어를 학습하고 있으며, 이 과정도 거의 끝나가고 있다고 한다.
여행은 정체성의 성장으로 이어지는데
여행자들은 일상에서 느낄 수 없던 것들을 여행지에서 하나 둘 건져온다. 영화나 소설 속 주인공들의 여행은 성장의 메타포가 되는 게 보통이다. 퀴즈쇼로부터 시작해 보안의 관제에까지 가고자 하는 왓슨의 여정 역시 예외는 아닐 것이다. 이미 퀴즈쇼용 인공지능이 몸값 비싼 분석 전문가들의 파트너로서 역할을 하고 있는 것만 봐도 말이다. 그렇다면 왓슨의 정체성은 어떻게 자랄까? 고급 분석 툴로 남을까? 결국엔 오케스트레이션을 위한 통합 관리 툴이 될까?
안소니 부사장은 “굳이 말하자면 분석 툴이 맞다”고 딱 잘라 말한다. “분석가들의 역할을 대체하고자 만든 것이 아닙니다. 분석가들을 보조하고 뒷받침할 때 최대의 가치를 발휘하는 게 왓슨입니다. 또한, 현재 한국이나 세계 여러 나라에서 독특하게 사용되고 있는 수백 가지 다양한 솔루션을 전부 왓슨의 관리 하에 두겠다는 것도 우리의 목표가 아닙니다. 인지 관제센터 내에서 왓슨의 정체성이란 ‘연구 허브(research hub)’에 가까울 것이라고 생각합니다.”
▲ 왓슨, 사람을 대체하기 위해 개발한 것이 아니다.
그러나 2주전 IBM은 왓슨이 또 다른 영역에까지 확장했다는 발표를 했다. 인지 통합관제센터의 ‘머리’와는 완전히 다른 ‘모바일 엔드포인트’다. 왓슨을 이용해 엔드포인트 보안을 강화할 클라우드 플랫폼인 마스360 어드바이저(MaaS360 Advisor)가 바로 그것이다. 기존 모바일 보안 솔루션인 마스360 BYOD에 왓슨을 탑재시킨 것으로, 큐레이더와 패키지로만 제공되고 있는 왓슨이 데자뷰처럼 떠올려지는 대목이다.
하지만 미국에서만 올해 150만개의 보안 직책이 공석으로 남아 있을 것으로 예상되는 ‘극심한 인력 가뭄의 시기’에 중요한 건 “IBM이 왓슨을 앞세워서 보안관제의 생태계 전부를 장악하려는 건가?”가 아니라 “왓슨이 현재 보안관제센터들의 ‘혼돈 상태’를 깨끗하게 해결해줄 수 있을까? 그밖에 이 문제를 해결해줄 솔루션엔 뭐가 있을까?”다. 왓슨이 현재처럼 IBM 솔루션을 통해서만 제공되는 것이 불공정 거래니 뭐니 문제로 지적되는 시점은, 역설적으로 왓슨이 독보적인 성능을 입증했을 때일 것이다. 순서대로 두고 볼 일이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
