2023년 상반기 보안위협 총결산, 하반기 주목되는 보안위협 전망
[인터뷰] 국가정보자원관리원 사이버안전과 고광선 과장, 한국과학기술정보연구원 과학기술보안연구센터 송중석 센터장, 한국사회보장정보원 의료정보보호센터 이성훈 센터장
[설문조사] ‘AI 보안관제 서비스 및 솔루션의 인식과 선택 기준’ 결과
국내외 AI 보안관제 대표솔루션 분석 : 시큐리온, 제이슨, 이테크시스템, 이글루코퍼레이션, 윈스, LG CNS
[보안뉴스 김경애 기자] “AI는 인조인간을 만드는 과학이 아니다. 인간의 지능을 이해하는 과학도 아니다. 인간의 행동을 모방해서 기계가 인간이라고 믿게끔 가상물을 만들려는 과학도 아니다. AI는 인간이 할 수 있거나 하려고 하는 일을 기계가 하게 만드는 과학이다.” - James F. Allen -
[이미지=gettyimagesbank]
요즘 대세 챗GPT의 핵심기술 AI ‘주목’
요즘 대세 중의 대세는 단연 챗GPT다. 챗GPT가 쏘아 올린 공은 전 세계 파란을 일으켜 기술과 상품개발의 경쟁을 부추겼고, 관련 산업을 본격화했다. 챗GPT의 핵심기술은 누가 뭐래도 AI 기술이다. AI 기술이 최대 경쟁력인 만큼 전 산업 분야가 AI 기술에 주목하고 있다.
보안 분야 역시 마찬가지다. 지난 4월 말 사이버보안 콘퍼런스 ‘RSAC 2023’에서는 AI의 보안위협과 AI를 활용한 보안강화 전략이 화두로 떠올랐다. AI 기술을 활용한 보안기술 트렌드는 Zero Trust Architecture, Cloud Security Posture Management, User and Entity Behavior Analytics(UEBA), DevSecOps 등으로 보안 기업에서 너나 할 것 없이 적극적으로 AI 기술을 활용하고 있다.
AI 기술을 이용한 보안시장도 성장하고 있다. 마켓앤마켓에 따르면, AI 보안 시장규모는 2019년 88억 달러에서 연평균 23.3% 성장했다. 전 세계적으로 AI 보안이 차지하는 비중은 점점 늘어나 2026년에는 382억 달러 규모를 형성할 것으로 전망되고 있다.
그중 AI 보안관제 시장이 전 세계적으로 성장하고 있다. 국내외 많은 기업들이 빅데이터를 기반으로 지도 및 비지도 학습과 머신러닝 등의 기술을 활용하고 있다. 해당 기술은 보안관제 인력을 보완하거나, 단순 반복성 업무를 대체하기 위한 목적으로 활용되고 있다.
국내에서 활동하고 있는 대표 보안관제 회사는 이글루코퍼레이션, 윈스, LG CNS 등으로 원격·파견 관제 서비스 제공 중심에서 현재는 SIEM(Security Information and Event Management), SOAR(Security Orchestration, Automation and Response) 등 자동화 기능이 포함된 관제 솔루션과 서비스, 플랫폼, 클라우드 보안관제로 확대해 다양하게 제공하고 있다.
보안관제 단일 솔루션은 AI 기술 등장 이후 기존의 방화벽, IPS 등에서 확대되어 다양한 보안 솔루션으로 뻗어 나가고 있다. 탐지 및 관리 방식도 확장됐다. 기존에 보안장비에서 탐지하는 보안위협 관리와 대응 방식에서 이제는 기업에서 발생하는 모든 자원의 정보와 보안이벤트를 통합관리하는 방식으로 확장됐다.
시큐리온은 AI 기술을 접목해 모바일, IoT 등 단말기에 특화한 관제 솔루션을, 제이슨은 빅데이터와 인공지능 기반의 All In One 통합 이상징후 시스템을 제공한다. 이테크시스템은 DLP 솔루션에 AI 기술을 적용해 솔루션에 관제 기능을 갖추고 있다.
이에 <보안뉴스>에서는 AI 보안관제에 대해 집중 분석하고자 한다. 보안관제 전문기업과의 인터뷰를 통해 올해 상·하반기 주요 보안위협, 보안관제의 문제점, 보안이슈에 대해 들어봤다. 이어 공공·민간기관의 보안관제에 AI 기술을 적용한 사례를 살펴보고, ‘AI 보안관제 서비스 및 솔루션의 인식과 선택 기준’ 설문조사 결과를 통해 보안관제의 현황과 문제점을 짚어봤다.
보안관제, 보안성과 효율성 위한 ‘필수 요소’
보안관제는 일반적으로 외부로부터의 보안위협을 모니터링해 탐지·분석·대응함으로써 내부 정보보안을 강화하는 것을 말한다. 기업과 기관에서는 정보보호 조직이 운영하는 보안 운영센터(SOC: Security Operation Center)에서 보안관제 업무를 수행한다.
최근 보안관제 업무는 갈수록 어려워지고 있다. 보안위협이 정교하게 진화하면서 대응해야 할 업무와 컴플라이언스가 증가하고 있기 때문이다. 보안 운영 환경은 감당하기 힘든 수준으로 복잡해지고 분석할 데이터가 증가해 분석할 보안관제 인력은 한계에 다다랐다. 그렇다 보니 AI 보안관제는 조직의 보안성과 효율성을 높이기 위한 필수 요소로 자리 잡고 있다.
보안관제의 발전은 FW, IDS, ETC 등 단위보안 솔루션을 통한 모니터링 시대를 거쳐, 트래픽, 취약점, 웹, ESM(Enterprise Security Management) 기반으로 관제범위가 확대돼 통합보안관제로 발전했다. 이후 빅데이터 기반의 시나리오, SIEM 기반의 빅데이터 보안관제로 발전했다. 이제는 AI 기반의 이상행위 탐지, 위협정보 관제연동(TI, Threat Intelligence), SOAR 등 제로트러스트의 차세대 보안관제로 업그레이드 됐다. 보안관제의 발전은 보안장비의 이기종 간 상관분석, 빅데이터 분석을 통한 보안위협 예측, 관제 프로세스 자동화 등 효율적으로 진화하고 있다.
AI 기술은 다량의 데이터에서 위협 증적을 찾아 분석·조치·대응을 자동화해 사람 중심의 관제기술 수준을 한 단계 더 끌어올렸다. 수동분석 중심에서 프로파일과 AI 알고리즘을 적용한 자동분석으로 발전했다. 관제요원은 AI 보안관제 솔루션을 활용해 분석 정보를 얻어 위협대응의 정책 수립과 선제적 대응을 할 수 있다.
AI 보안관제 솔루션은 다양한 환경의 정보시스템에서 많은 데이터를 수집한 후 AI 알고리즘을 이용해 분석의 정확도를 높여준다. 또 업무 자동화를 통해 신속하게 대응·전파·조치하는 협업 플랫폼으로 변화하고 있다.
1. 2023년 상반기, 보안관제에서 주목해야 할 보안위협
AI 보안관제가 주목되는 배경에는 고도화된 보안위협이 깔려 있다. 최근 보안위협은 악성코드 은닉, 보안장비 우회 등으로 고도화되고 있다. 여기에 AI를 악용한 자동화 공격까지 더해져 공격 양상은 갈수록 다양화되고 있다. 본지는 AI 보안 전문기업과의 인터뷰를 통해 상반기에 발생한 주요 보안위협을 정리해 봤다.
윈스, 오픈소스 취약점·APT 공격과 랜섬웨어·글로벌 해킹
윈스는 상반기 주요 보안위협 3가지로 △오픈소스 취약점을 이용한 공격 증가 △APT 공격과 랜섬웨어 공격의 진화 △글로벌 해킹 조직의 공격 증가를 꼽았다.
첫째, 오픈소스 취약점을 이용한 공격 증가다. 오픈소스는 개발의 편의성으로 다양한 SW 제품에서 광범위하게 사용되고 있다. 보안 측면에서 안전하지 않은 미흡한 관리는 결국 공격 대상이 된다. Log4Shell, Spring4Shell, Text4Shell 등 2021년 하반기부터 다양하게 발견된 오픈소스의 취약점은 사이버 공격자들의 공격대상이라는 걸 보여주는 대표 사례다.
둘째, APT 공격과 랜섬웨어 공격의 진화다. 공격자는 메일, 웹서버 취약점, 인증관리 서버, 원격 접근 등을 이용해 다방면으로 공격하고 있다. 오픈소스를 활용하거나 상용 도구를 활용해 인증정보를 탈취하고 권한상승을 시도하는 등 공격 양상이 변화하고 있다. 공격자는 금전적 수익을 극대화하기 위해 암호화 파일 복구, 유출 데이터 공개, 디도스 공격과 함께 기업의 고객도 직접 협박하는 등의 다중 협박(Multi Extortion) 형태로 진화하고 있다. 공격자는 피해 기업들이 브랜드 이미지 손상을 우려하는 점을 노린다. 금전을 요구하면서 협박수단으로 민감 정보를 일부 공개하는 사례가 늘고 있다.
다음으로 국가 사이버안보를 위협하는 글로벌 해킹 조직의 공격 증가다. 글로벌 해킹그룹들은 정치·경제적인 목적으로 사이버 공격 활동을 꾸준히 감행해왔다. 작년 국내 위협 사례를 보면 데이터센터 화재로 인한 카카오 장애 발생 이후 카카오톡 업데이트 파일로 위장한 악성코드가 발견된 바 있다. 또한, 이태원 사고와 관련된 공문서 위장 공격 등과 같이 관심이 집중되는 이슈를 사이버 공격에 악용했다.
이테크시스템, 챗GPT와 섀도우 IT의 보안위협
이테크시스템은 상반기 보안이슈로 챗GPT 등을 통한 내부정보 유출과 섀도우 IT, 그리고 제로데이 공격을 꼽았다.
첫째, 챗GPT를 통한 내부정보 유출은 공격자의 창의적인 악용에 따라 이중, 삼중으로 피해가 커질 수 있다. 공격자는 생성형 인공지능 모델인 챗GPT를 활용해 악성코드를 개발하고, 가짜 정보를 생성한 후 이를 활용해 공격한다. 특히, 이러한 보안위협의 위험도는 보안이 미흡한 기업일수록 큰데, 사전에 미리 적절한 보안을 준비하지 않아 유출 자체를 인지하지 못하는 기업이 수두룩하다. 특히 제조, 의료, 중소기업 등 기본적인 보안 시스템 구축도 안 되어 있는 곳이 부지기수다.
둘째, 섀도우 IT에 대한 보안위협이다. 현재 보안 장비는 AI, 클라우드, HTTP/3 등 신규 기술을 따라가지 못하고 있다. 이로 인해 생기는 섀도우 IT에 대한 보안위협은 갈수록 커지고 있다.
셋째, 제로데이 공격은 발견되지 않은 취약점을 이용한 공격이다. 네트워크와 보안 장비가 사용하는 서버 취약점을 악용한다. 따라서 최신 패치와 화이트리스트 정책 운용이 요구된다.
2. 2023년 하반기, 보안관제에서 주목해야 할 보안위협
그렇다면 하반기 보안관제에서 주목해야 할 보안위협은 무엇일까. 제로데이 공격, IoT 보안위협, 시스템 취약점 이용 등 고도화된 보안위협은 하반기에도 활개를 칠 모양새다. 본지는 시큐리온, 이글루코퍼레이션과의 인터뷰를 통해 하반기 주목해야 할 보안위협에 대해 들어봤다.
시큐리온, 원격제어 앱·제로데이 공격·IoT 보안위협
시큐리온은 2023년 하반기 주목해야 할 보안이슈로 △원격제어 앱 △제로데이 공격 △IoT 보안위협을 꼽았다.
첫째, 원격제어 앱을 활용한 악성 공격이 기승을 부리고 있다. 원격제어는 보이스피싱 등의 공격에서 해커가 사용자의 단말기를 장악하기 위해 사용된다. 최근 비대면 금융 서비스 등이 늘면서 원격제어 앱으로 권한을 탈취해 대출을 실행하는 등의 사기 수법이 확산되고 있다. 원격제어 악성코드에 감염되면 순식간에 해커가 단말기를 장악해 내부 중요 정보탈취는 물론 해커 맘대로 악성 행위를 할 수 있다.
둘째, 제로데이 공격은 패치가 나오지 않은 상태라 무방비로 보안위협에 노출되면 치명적인 피해를 입을 수 있다. 한 번 공격을 당하면 시스템 전체가 장악되거나 돌이킬 수 없는 피해를 입을 수 있다. 그만큼 피해규모와 손실 등에 따른 파장이 크다는 것이다. 2021년 세계적으로 화제가 된 ‘페가수스(Pegasus)’는 OS 취약점을 악용해 설치된 후 정보탈취 등의 악성 행위를 수행하는 스파이웨어다. 특히, 각국 정상들과 CEO 등 주요 인사를 타깃으로 해 더욱 유명해진 공격이다. PC와 마찬가지로, 모바일·IoT 기기를 대상으로 한 스파이웨어와 제로데이 공격 탐지는 중요한 과제다.
셋째, IoT 보안위협은 스마트 월패드 해킹 사건과 같이 IoT 기기의 영상 유출과 도감청 위협 등으로 사생활 침해를 당할 수 있다. 개인정보는 물론 신체정보, 민감정보가 그대로 유·노출돼 심각한 피해를 당할 수 있다. 하지만 아직까지 모바일 기기나 IoT 기기를 대상으로 한 보안 관제 시스템은 보편화 되지 않았다.
이글루코퍼레이션, AI 악용한 사이버 공격 ‘폭증’
최근 AI 기술 발전에 따라 AI를 악용하는 사이버 공격이 폭발적으로 증가했다. 각 사이트에 따라 발생하는 위협에 차이가 있지만 시스템·웹 취약점을 악용한 정보 수집 및 침투 목적의 공격 시도는 지속 탐지되고 있다.
특히, 랜섬웨어 공격은 작년에 이어 올해도 압도적인 비율을 차지하고 있다. 록빗(LockBit), 블랙캣(BlackCat), 콘티(Conti) 등이 기승을 부리고 있다. 랜섬웨어를 활용한 공격전략은 갈수록 고도화되고 있고, 운영체제도 조직화되고 있다. 랜섬웨어 기능도 목적에 따라 세분화되고 있다.
올 하반기도 랜섬웨어 공격은 변함없이 기승을 부릴 전망이다. 록빗, 블랙캣, 귀신(GWISIN), 포보스(Phobos) 등의 대규모 타깃형 랜섬웨어 그룹들은 더 많은 수익 창출을 위해 공격 방식을 다양화하고 있다. 데이터 복호화에서 더 나아가 주요 데이터를 탈취한 후 데이터 공개 협박으로 금전을 요구하는 다중 협박(Multi Extortion) 공격을 빈번히 시도하고 있다. 블랙마켓을 통한 사이버 공격의 서비스화 역시 랜섬웨어 공격에 영향을 미치는 요소다. 기술 숙련도가 낮은 공격자들은 랜섬웨어를 제작하고 유포해 주는 ‘서비스형 랜섬웨어(RaaS)’를 통해 공격의 스펙트럼을 확장하며 이익을 챙기고 있다.
따라서 기업은 랜섬웨어 공격방식과 기법의 지속적인 모니터링이 필요하다. 보안위협 대응을 위해 기관과 기업은 자동화된 보안 분석 및 예방 시스템을 구축함으로써 보안관제의 부족한 점을 보완해야 한다.
3. 보안관제, 주요 문제점 및 보안이슈
제이슨, 기존 정보유출 탐지 정책의 한계성
제이슨은 보안관제에서 주목해야 할 주요 보안이슈로 △기존 정보유출 탐지 시나리오(정책)의 한계성 △다양해진 내부정보 유출경로 △네트워크 보안장비의 오탐에서 놓치는 다량의 보안위협을 지목했다.
첫째, 정보유출 탐지 정책 한계의 경우 빅데이터 기반의 탐지 시나리오는 ‘사전 정의된 유출행위만’을 제한적으로 탐지한다. 또 ‘단순한 패턴과 임계치로 판단’하고 이를 보안 담당자에게 알려준다. 그러나 이 방식은 또 다른 다량의 오탐 이벤트를 양산한다. 특히, 특정한 정보유출 행위를 시나리오로 구성하기 때문에 유출행위를 조금만 바꿔도 탐지되지 않는다.
둘째, 내부정보 유출경로가 다양해졌다. 하지만 기업에선 매출과 성과를 위해 무조건 차단하지 못하는 게 현실이다. 이러한 상황에서 아마존(Amazon), 애저(Azure)와 같은 퍼블릭클라우드(Public Cloud), 챗GPT 등은 새로운 정보유출 경로로 악용되고 있다. 더욱이 이러한 경로는 SSL과 같은 암호화 통신 채널을 사용한다. 이 때문에 보안 담당자가 IPS 등 네트워크 보안시스템으로 관리, 통신내용을 모니터링하는 것으로는 정보유출 확인이 어렵고 복잡하다.
셋째, 네트워크 보안 장비에서 대량으로 놓치는 오탐의 보안위협이다. 보안장비는 하루에도 수십만개의 오탐 이벤트를 만들어낸다. 엄청난 오탐 이벤트 속에서 정탐 이벤트를 걸러낸다는 것은 ‘백사장에서 모래알 찾기’다. 특히, 다량의 탐지 이벤트를 AI가 기계 학습하고 이렇게 학습된 AI가 새로 발생하는 이벤트를 보고 정탐만을 자동으로 찾아주는 게 AI 보안관제의 현주소다.
LG CNS, 내·외부 환경과 업무환경의 변화
LG CNS는 보안관제의 주요 문제점과 보안이슈로 내·외부 환경과 업무환경의 변화를 지목했다. 첫째, 외부환경 변화는 코로나19 영향이 크다. 기업의 업무환경도 빠르게 변화해 재택근무, 협업 등 ‘Ontact’ 업무환경 변화로 새로운 위협 요인이 지속 증가했다.
둘째, 내부환경 변화다. 내부환경 변화에서 기존에 단순 패턴 기반의 보안 솔루션은 보안위협을 일으킨다. 제한적인 보안 모니터링과 일괄적인 임계치 적용은 과탐, 미탐, 오탐을 대량으로 발생시킨다.
셋째 업무환경의 변화는 스마트워크 도입과 개방형 업무환경 요구에 따라 업무 편의성과 보안 기능 제고를 위한 새로운 보안체계를 요구한다. 기업은 보안 업무의 자동화를 위해 전수조사, 24시간 예측탐지, 실시간 대응, 인력 Effort 절감 등을 위한 자동화 기반 확보가 필요하다.
따라서 업무환경 변화에 대응하고 대량의 로그 분석 대응, 패턴 탐지의 한계 극복을 위한 모니터링 생산성 개선이 필요하다. 보안관제는 AI 전문가의 데이터 분석을 활용해 최적화하고, AI 활용기반의 정량적 성과가 제공돼야 한다.
그렇다면 기관과 기업에선 AI 기술을 보안관제에 어떻게 적용해 활용하고 있을까? 본지는 AI 기술 적용사례를 들어보기 위해 중앙행정기관과 공공기관의 정보보안을 책임지고 있는 국가정보자원관리원, 과학기술 분야 연구·공공기관의 정보보안 업무를 수행하는 한국과학기술정보연구원, 민간 의료기관의 정보보안을 맡고 있는 한국사회보장정보원 담당자와 인터뷰를 통해 AI 기술을 접목한보안관제와 보안위협에 대해 들어봤다.
=====================================================================
[인터뷰-1] 국가정보자원관리원 사이버안전과 고광선 과장
AI 보안관제, 공격 식별 트래픽·비정상 트래픽 분석에 AI 기술 적용
최종 사이버 공격 이벤트, 최대 30초 이내로 대응
▲ 국가정보자원관리원 사이버안전과 고광선 과장 [사진=국가정보자원관리원 제공]
국가정보자원관리원의 보안관제에 대한 소개 부탁드립니다.
국가정보자원관리원(이하 관리원)은 관리원에 입주한 중앙행정기관(이하 ‘입주기관’)의 정보시스템과 입주기관, 지방자치단체 및 공공기관 등이 이용하는 국가정보통신망(이하 ‘국통망’)의 안정적인 운영, 사이버위협에 대한 보안 업무 등을 수행합니다.
보안관제 업무는 국가통신망과 입주기관 정보시스템의 사이버위협에 대해 사람이 수행하는 인적 보안관제와 인공지능 기술을 활용한 AI 보안관제 두 가지로 병행해 수행하고 있습니다. 인적 보안관제의 경우 DDoS 대응장비, IDS, IPS, 방화벽 등 보안 장비를 통해 확인되는 보안위협 이벤트를 실시간으로 모니터링합니다. 모니터링에선 정상 여부 확인 후, 공격일 경우 공격 IP 차단 및 상황전파, 사고 정황 기록 등의 초동대응을 사람이 직접 처리해 업무를 수행하고 있습니다. 2023년 상반기 기준 대전·광주센터에서 근무하는 보안관제 인력은 총 42명이고, 4조 2교대로 보안관제 업무를 수행하고 있습니다.
AI 보안관제는 기존에 알려진 공격과 알려지지 않은 신·변종 위협에 대해 사람의 관여 없이 AI 모듈이 공격 여부를 판단합니다. 공격으로 판단될 때 보안 장비에서 해당 공격 IP가 차단될 수 있도록 보안규칙 자동 생성과 보안 장비에 실시간으로 반영해 사이버 공격을 대응하고 있습니다.
한 가지 인지해야 할 점은 AI 모듈 구축 후 운영에 사람의 관여가 전혀 필요 없지는 않습니다. 보안위협이 계속 동일한 형태로만 발생한다는 보장도 없고 디지털정부 서비스에 따라 지능화·다양화·고도화되기 때문에 AI 모듈을 지속 학습해줘야 하는데, 여기에는 전문인력이 필요합니다. 대전센터에선 총 9명이 근무하면서 AI 모듈에서의 실제 공격 여부의 식별 정확도 개선, 사이버 공격 대응 자동화 등의 업무를 수행하고 있습니다. 저희 관리원은 인적 보안관제를 보완하는 목적으로 AI 보안관제를 활용하고 있는데요. 향후 두 가지 보안관제 방식을 융합한 새로운 보안관제 모델을 구축·운영하고자 노력하고 있습니다.
보안관제에 AI 기술을 어떻게 접목 및 활용하고 있나요?
사이버 공격은 나날이 지능화·다양화·고도화되고 속도 또한 빠르게 진행되고 있습니다. 반면, 기존 인력 중심의 인적 보안관제에서는 신·변종 사이버 공격 대응이 미흡하고, 사이버 공격 속도에 보조를 맞춘 일관된 대응이 어렵습니다.
관리원에서는 신·변종 사이버 공격에 대한 대응, 사이버 공격 대응속도의 물리적인 한계를 극복하고자 인공지능 기반의 AI 보안관제를 구축했습니다. AI 기술이 적용된 영역은 ①네트워크를 통해 이미 공격으로 식별한 트래픽 ②정상 트래픽을 비정상으로 판단한 것에 대한 분석기술을 AI 모듈에 적용했습니다. 1일 기준으로 약 20억건의 트래픽(이벤트)이 처리되고 있습니다.
관리원의 AI 보안관제는 AI 모듈의 판단 결과에 따라 적응형 보안관리시스템(SOAR)을 통해 대응 절차가 진행되고 최종 사이버 공격으로 판단된 이벤트에 대해서는 최대 30초 이내로 대응할 수 있도록 운영되고 있습니다.
국가정보자원관리원만의 보안위협 대응 노하우는 무엇인가요?
다양한 정보 활용과 다수의 경험 축적입니다. 관리원은 한국인터넷진흥원(KISA), 사이버작전사령부 등 다양한 전문기관 및 유관기관과 사이버위협 정보를 공유하고 있습니다. 이를 통해 다양한 보안위협에 대한 사전예방 조치를 하고 있습니다. 또한, 입주기관과 모의훈련(DDoS, 해킹 등) 수행을 통해 관리원만의 사이버 공격 대응능력이 강화됐고, 다양한 공격 유형 대응으로 여러 경험이 축적되었습니다.
국가정보자원관리원의 최근 고민은 무엇인가요?
국가정보자원관리원은 △AI 보안관제와 관련한 보안이슈 △지능화·다양화·고도화된 사이버위협 대응에 대한 이슈 △AI 보안관제 운영 시 발생하는이슈 등을 고민하고 있습니다.
구체적으론 첫째, 챗GPT 등 인공지능 기술이 접목된 사이버 공격이 급속히 증가할 것으로 예상됩니다. 현재도 DDoS 공격이 빈번히 발생하고 있어요. 게다가 새로운 기술이 접목돼 사이버 공격은 다양화·고도화·대형화되고 있습니다. 디지털정부 서비스를 안정적으로 운영할 수 있도록 AI 보안관제의 능력 고도화가 필요합니다. 이는 사이버 공격 여부를 판단하는 AI 모듈의 버전업을 의미합니다. 지금의 AI 모듈은 2017년도에 실시한 기본 설계를 바탕으로 구성되어있는데요. 이후 지속 발전한 SW 기술 및 HW 사양을 토대로 더 업그레이드해야 합니다.
둘째, 사이버 공격 대응 정보, 입주기관의 디지털 정부 서비스가 확장됨에 따라 AI 보안관제에서 학습하고 처리하는 정보의 규모 또한 늘어날 수밖에 없습니다. 이에 대해 AI 모듈이 신속히 처리할 수 있도록 인프라를 계속 확장하고, 전문인력과 예산 투입이 지속돼야 합니다.
셋째, AI 모듈의 사이버 공격 여부를 판단하는 정확성을 일정수준 이상으로 지속 유지 시켜야 합니다. 챗GPT도 정확한 정보를 제공하지 못하거든요. AI 보안관제가 처리하는 식별 정확도가 99% 이상 보장되지 못한다면, 이는 오히려 AI 보안관제의 필요성이 부정되는 상황이 될 수 있습니다. 따라서 제한된 전문인력과 예산 범위 내에서 지속적인 학습을 통해 AI 보안관제의 식별 정확도를 높이는 작업을 해야 합니다.
국가정보자원관리원은 보안관제 고도화를 위해 어떤 노력을 하고 있나요?
2021년 AI 보안관제 기본 체계가 완성되어 기존의 인적 보안 관제와 병행해 운영하고 있습니다. 향후 인적 보안관제가 처리하던 정보를 AI 보안관제에서 중점 처리하는 방식으로 상호 융합하는 작업을 추진하고 있습니다. 또한, AI 보안관제에서 챗GPT 등 인공지능 기술이 활용된 신·변종유형의 사이버 공격을 식별하고 대응할 수 있는 AI 모듈의 식별 정확도 향상을 위한 알고리즘 개발이 필요합니다.
대구·공주 센터 설립으로 4개 센터(대전·광주·대구·공주) 체제로 확대돼 학습데이터, 보안장비 추가 연계 등 업무 범위가 대폭 증가할 것입니다. AI 보안관제의 인프라 확충 등 인적· 물적 자원 확보를 위해 다방면으로 노력을 기울이는 중입니다.
======================================================================
[인터뷰-2] 한국과학기술정보연구원 과학기술보안연구센터 송중석 센터장
‘보안관제 전용 AI 모델’ 자체 개발·적용
사이버 공격 기반 ‘고품질 보안관제 전용 AI 데이터셋’ 구축·활용
▲ 한국과학기술정보연구원 과학기술보안연구센터 송중석 센터장 [사진=한국과학기술정보연구원 제공]
한국과학기술정보연구원의 보안관제에 대한 소개 부탁드립니다.
한국과학기술정보연구원(KISTI)은 1989년 인터넷 침해사고 대응팀(CERT-KR) 관련 협의체인 보안워크샵(NETSEC-KR) 개최를 시작으로 1996년 한국정보보호진흥원(현 한국인터넷진흥원) 설립시 관련업무를 이관했습니다.
2003년 1월 25일, 2004년 3월 20일 발생한 대규모 네트워크 마비사건을 계기로 공공부문 정보보호를 위해 2005년 KISTI의 과학기술정보보호센터가 개소했습니다. 과학기술정보보호센터 명칭은 2010년 과학기술사이버안전센터로 변경됐고, 개소 이후 지금까지 약 18년 동안 61개의 과학기술 분야 연구·공공기관을 대상으로 정보보호 컨트롤타워 역할을 수행하고 있습니다.
현재 KISTI의 보안관제 인력은 총 38명이 근무하고 있습니다. 주요 업무로는 차세대 보안관제 및 침해대응 원천기술 연구·개발, 사이버 공격 실시간 보안관제, 침해사고 발생 시 원인분석, 피해복구 및 재발방지 대책 등 침해대응, 정보시스템 보안취약점 점검·분석, 사이버 위기대응 모의훈련 등 침해 예방 활동을 중점적으로 수행하고 있습니다.
AI 보안관제가 필요한 이유는 무엇인가요?
현재, 보안관제요원은 24시간 365일 해킹 공격에 대응하고 있는데요. 디지털화로 사이버 공격이 급증함에 따라 보안관제 요원이 모든 사이버 위협정보를 분석하는 것은 현실적으로 불가능합니다. 따라서, KISTI는 기존 인력 중심의 수동분석 한계를 극복하는 자동분석 기반의 보안관제 패러다임 전환을 위해, AI 기반의 보안관제 자동화 체계 구축을 추진하고 있습니다. 이를 통해 대규모 사이버 공격 정보에 대한 자동분석 대응 역량을 확보해 보안관제 신속도·정확도를 높이고 보안관제 전문요원 업무를 경감해 신·변종 사이버 공격 대응을 강화할 수 있습니다.
한국과학기술정보연구원의 최근 보안이슈는 무엇인가요?
KISTI가 보안관제 과정에서 체감하는 보안이슈는 암호화 통신 트래픽의 증가 문제입니다. 현재 보안관제는 평문 통신 트래픽에 대해 정형화된 탐지규칙으로 매핑된 사이버 위협정보를 수집·분석하는 방식입니다. 암호화 통신 트래픽에 대해서는 적용이 불가능한 상황으로 이에 대 한 해결 방안 마련이 시급합니다.
보안관제에 AI 기술을 어떻게 접목해 활용하고 있나요?
KISTI는 과학기술사이버안전센터를 통해 확보한 대규모 사이버 공격 실데이터를 기반으로 ‘고품질 보안관제 전용 AI 데이터셋’을 구축하고 이를 활용한 ‘보안관제 전용 AI 모델’을 자체 개발해 적용했습니다. AI 모델은 공격 유형별로 침해위협 탐지 모델을 생성한 후, 실제 보안관제 환경에서 검증·평가 단계를 거쳐 탐지 정확도가 가장 뛰어난 고성능 AI 모델만을 선별했습니다. 특히, 사고처리 빈도가 높은 상위공격 이벤트를 선정해 이를 보안관제에 적용하고 있습니다. 앞으로도 다양한 AI 모델생성 및 적용을 통해 보안관제 자동대응 범위를 확대해 보안관제 탐지 정확도와 대응 신속도를 더욱 향상시킬 계획입니다.
AI 보안관제 도입 이후 업무프로세스와 보안강화 역량에 어떤 변화가 있나요?
알려진 사이버 공격에 대해서는 AI가 자동분석·판별을 수행하고 보안관제 요원은 업무 경감을 통해 신·변종 공격 분석 역량 강화에 시간을 할애해 보안관제 신속도 및 정확도를 획기적으로 향상시킬 수 있었습니다. 향후에는 사이버 공격 요소에 대한 핵심적인 침해위협 특징을 추출하고 XAI 기법을 활용한 AI모델 정·오탐 근거분석 등의 연구개발을 수행해 신속한 보안관제 대응 역량을 확보할 계획입니다.
현재 보안관제의 어려운 점은 어떻게 극복해가고 있나요?
보안관제 과정에서 습득한 분석 노하우를 정형화해 시스템이 자동으로 분석할 수 있는 원천기술을 연구·개발해 통합보안정보분석시스템(SMARTer)에 탑재해 운영하고 있습니다. 이를 통해 처리 이력이 있는 유사한 사이버 위협정보는 자동으로 정탐과 오탐을 분석하고, 보안관제 요원들은 새로운 사이버 위협정보 분석에 집중하도록 문제를 극복해 나가고 있습니다.
앞으로 보안관제에 적용할 주목하고 있는 보안기술은 무엇인가요?
전통적인 유·무선 통신을 포함해 IoT, 5G 및 기간 통신망 등 초연결 기반 서비스·인프라의 통신환경이 평문에서 암호문으로 급변하고 있습니다. 암호화 통신을 악용해 탐지를 어렵게 하는 사례가 폭증하고 있습니다. 반면, 암호화 사이버 공격 대응을 위한 보안기술은 매우 미흡한 실정입니다.
KISTI는 암호화된 사이버 위협에 선제적 대응을 위한 부처 협력 사업을 2021년 제안한 바 있는데요. 해당 연구는 과학기술정보통신부, 국토교통부, 해양수산부 등 주요 부처가 참여하는 대규모 국가 R&D 사업으로 올해부터 오는 2027년까지 추진됩니다. KISTI는 다부처 공동연구사업 총괄 주관기관으로써 차세대 ICT 융합 분야, 스마트 교통, 스마트 선박 등 대국민 공공서비스·인프라의 사이버안전 확보를 위한 연구개발을 추진해 국가 사이버안보 역량을 강화할 것입니다.
====================================================================
[인터뷰-3] 한국사회보장정보원 의료정보보호센터 이성훈 센터장
SIEM과 외부 인텔리전스 데이터 연계, 분석기술 고도화
한국인터넷진흥원과 ‘사이버보안 AI 데이터셋 실증 연구’ 및 기술 개발
▲ 한국사회보장정보원 의료정보보호센터 이성훈 센터장 [사진=한국사회보장정보원 제공]
한국사회보장정보원 소개와 보안관제 주요 업무는 무엇인가요?
한국사회보장정보원은 지난 2009년 ‘사회보장급여의 이용·제공 및 수급권자 발굴에 관한 법률’에 근거해 설립됐습니다. 그중 의료정보보호센터(이하 센터)는 한국사회보장정보원 클라우드 운영본부 소속으로 2018년 11월부터 ‘의료법’ 제3조(의료기관), 제52조(의료기관단체 설립)에 따라 의료기관을 대상으로 회원 참가 신청을 받아 보안관제 서비스를 제공하고 있습니다. 여러 기관에서 수집한 사이버 위해 정보를 분석·공유하고 의료기관을 노린 사이버 공격에 선제적 대응을 위한 공동 대응체계를 운영하고 있습니다.
2019년 8월 진료 정보유출 등의 사고 발생 시 보건복지부 장관에게 즉시 통지하도록 ‘의료법’이 개정되었는데요. 센터는 침해사고 발생 시 사고접수, 침해사고 대응 및 복구지원, 보안 교육·훈련 등의 업무를 수행하고 있습니다.
센터의 보안 인력은 총 14명으로 보안관제 8명, 분석 2명, 침해대응 4명으로 구성돼 있습니다. 보안관제는 4조로 구성해 2교대로 상시(24시간×365일) 모니터링을 수행, 분석담당자는 위협탐지를 위해 정책(Rule)을 개발하는 보안이벤트 분석업무를, 사이버침해대응 조직은 침해사고 발생 시 사고접수, 침해사고 대응 및 복구지원, 보안 교육 등을 맡고 있습니다.
최근 한국사회보장정보원이 가장 주목하는 보안위협은 무엇인가요?
의료기관은 보건의료 패러다임 변화와 함께 여러 보안위협에 직면해 있습니다. 해커는 환자의 의료정보 및 의료정보시스템을 노리는데요. 취약점을 이용해 악성코드를 실행한 후 랜섬웨어 감염을 통해 의료정보를 암호화하고 의료정보시스템을 이용할 수 없게 만들어 금전을 요구합니다. 또 환자의 의료정보를 유출해 환자와 의료기관을 협박하는 사례도 발생하고 있습니다.
보안관제에 AI 기술 활용은 어떻게 하고 있나요?
AI 보안관제를 완성하기 위해서는 오케스트레이션 및 자동화 대응이 필수입니다. 다양한 위협정보 및 이벤트를 수집하는 SIEM과 공격에 대한 단계를 예측하고 분석하는 머신러닝, 분석 결과에 대응할 수 있는 자동화 대응(SOAR)이 조화를 이뤄야 완성될 수 있습니다.
현재 의료정보보호센터는 SIEM과 외부 인텔리전스 데이터를 연계해 보안관제에 적용하고 분석 기술을 고도화하는 중입니다. 또한, 한국인터넷진흥원과 협업해 ‘사이버보안 AI 데이터셋 실증 연구’ 및 기술 개발에 동참하고 있습니다. 센터는 향후 데이터 분석 기술과 양질의 데이터가 축적되면 분석을 담당할 ML까지 도입할 계획입니다.
보안관제에 있어 어려운 점은 무엇인가요?
의료기관의 보안관제 어려움은 크게 두 가지로 첫째, 보안관제 서비스를 받기 위한 초기진입 장벽이 높다는 점입니다. 보안관제 서비스에 필요한 장비 도입을 위한 예산(기관당 초기 구축비 평균 7천만 원 수준)이 필요한데요. 센터에서 탐지한 위협상황을 전달하면 처리할 수 있는 정보보안 전담 인력이 있어야 하나 의료기관에서는 인력 확보가 어렵습니다.
둘째, 의료기관이 조직에 정보보안 및 사이버보안 정책을 마련하고 실천할 수 있는 기준이 없습니다. 금융 분야는 ‘전자금융감독규정’(금융위원회 고시)을 마련해 금융 기관의 정보기술 부문 안정성 확보 등을 위해 필요한 사항을 규정해 금융 기관들이 따르도록 법제화하고 있습니다. 공공 의료분야는 국가사이버안보 체계를 기본으로 관련 규정을 준수하도록 법제화되어 있습니다. 하지만 민간 의료분야는 아니예요. 진료정보 및 의료정보시스템의 안정성 확보 등의 법·제도 기준이 명확하지 않기 때문이죠. 법·제도 개선의 효과가 의료기관의 기대에 미치도록 센터의 노력이 필요합니다.
챗GPT가 요즘 화두인데요. 이에 대한 보안위협 대응은 어떻게 준비하고 있나요?
챗GPT의 가장 큰 우려는 ‘진짜와 가짜를 구별하기 어렵다’는 것입니다. 생산형 AI는 진짜 사람이 만든 것처럼 그럴싸하게 설명하고 결과값의 근거(출처)도 부정확하거나 조작되었을 가능성을 배제하기 어렵습니다.
보안 전문가들은 인터넷 위협 중에 이메일을 통한 위협에 대응하는데 많은 시간과 노력을 투자하고 있습니다. 해커가 가짜 이메일을 만들어 악의적 공격 목적으로 활용하는 주요 수단이기 때문입니다. 챗GPT를 활용하면 가짜 이메일을 진짜 이메일인 것처럼 꾸미는데 한층 쉬워질 것이고 보안 전문가들은 이를 구별하는 데 어려움을 겪을 것입니다. 이로 인한 피해는 폭발적으로 증가할 것입니다.
다른 우려 사항으로는 생산형 AI의 특성상 데이터를 챗GPT에게 보내야 한다는 점입니다. 조직의 중요 데이터나 민감 정보를 그대로 보내게 되면 정보유출에 무방비로 직면하게 될 수 있습니다. 이 외에도 멀웨어를 소스코드 작성에 악용할 수 있다는 점입니다. 다크웹에 공유된 챗GPT를 활용한 악의적인 공격 수단들이 널리 퍼진다면 보안 전문가들의 노력보다 사이버 공격자들의 공격 속도가 비교할 수 없을 만큼 빨라질 것입니다. 인공지능 기술 개발 및 활용에 관한 관련된 법·제도를 정비하고 개발자와 이용자의 윤리적 양심을 찾도록 노력해야 합니다.
=========================================================================
[설문조사] AI 보안관제 인식 및 선택기준
보안관제, ‘방화벽’ 75% 사용… ‘실시간 탐지 및 신속한 대응 불가’ 어려운 점
본지는 보안관제를 위해 사용하는 보안 솔루션을 알아보기 위해 기관·기업의 보안담당자를 대상으로 지난 6월 14~18일까지 ‘AI 보안관제 인식 및 선택기준에 대한 설문조사’를 실시했다. ‘보안관제 업무를 위해 가장 많이 사용하는 보안 장비·솔루션’으론 방화벽(75%)이 1위를 차지했다. 2위 VPN 60.8%, 3위 IPS·IDS 53.9%, DDoS 38.4%, NAC 37.9%, 네트워크 보안 스위치 28%, APT 대응 시스템 26.7%, SIEM 21.1%, EDR 18.5% 순으로 집계됐다.
관제영역에 포함해야 할 ‘업무에 활용하는 모바일 기기 관리 여부’에 대해서는 39.5%가 ‘관리 안 함’으로 답해 단말기가 제대로 관리되지 않고 있는 것으로 조사됐다. 이어 34.3%가 ‘DRM, MDM, EDR, AV 등 보안 솔루션을 사용한다’고 응답했고, 16.7%가 ‘기기 반입 통제 및 보안스티커를 사용한다’고 대답했다.
‘보안관제 시스템 운영에 있어 어려운 점’으론 ‘실시간 탐지 및 신속한 대응 불가’(33%)를 꼽았다. 이어 ‘지능화 및 알려지지 않은 공격’(21.9%), ‘높은 수동 분석 의존도’(16.7%), ‘미탐·과탐·오탐 등 수집 및 분석된 데이터의 정합성’(11.2%), ‘침입탐지 및 대응을 위한 내부 정책 수립’(10.3%) 순으로 응답했다.
‘기존 보안관제 시스템에 AI 기술 적용시 기대되는 효과’에 대해선 ‘자동화 적용에 따른 효율성 증가로 보안 인력 해소’(23.6%)를 가장 많이 꼽았다. 이어 ‘고도화·지능화·알려지지 않은 보안위협 탐지 및 대응’(17.2%), ‘미탐·오탐·과탐은 줄고 정확도가 높아진 탐지율’(15.9%), ‘효율적인 데이터 분석업무’(15%) 순으로 답변했다.
========================================================================
AI 보안관제 솔루션 특장점
보안 기업에선 AI 기술을 적용해 DLP, EDR, NDR, SIEM, SOAR, TMS, XDR 등 모바일·IoT에 특화된 솔루션부터 통합 이상징후 시스템, 플랫폼, 서비스까지 다양하게 개발하고 있다. 이상 징후 감지, 네트워크 트래픽 분석, 보안 이벤트 로그 분석, 악성코드 탐지와 분석 등 실시간으로 사이버 위협을 찾아내고 대응하는 기능을 선보인다. 이에 국내 대표적인 보안관제 솔루션에 대해 살펴봤다.
이글루코퍼레이션, ‘생성형 AI’ 접목해 AI 사업 포트폴리오 확대
이글루코퍼레이션은 기존에 확보한 AI 기반 탐지 기술과 XAI 기술에 기존 콘텐츠에 대한 학습을 토대로 새로운 콘텐츠를 만들어내는 ‘생성형 AI(Generative AI)’ 기능을 접목했다. 이를 통해 AI 사업 포트폴리오를 확대할 계획이다. 이러한 전략의 일환으로 지난 3월 이글루코퍼레이션은 AI가 판단한 공격 결과에 대한 신뢰성과 이해도를 높이는 ‘이글루XAI(IGLOOXAI)’(가칭) 서비스를 개발 완료했다.
‘이글루XAI’는 특정 보안 데이터에 대해 AI 모델이 판단한 근거를 알려주는 온라인 서비스다. 사용자는 AI 탐지모델이 예측한 결과와 이 예측에 영향을 미친 공격 특징(Feature)의 중요도, 챗GPT를 통한 자연어 형태의 설명을 비교 확인해 AI 답변에 대한 이해도를 높이고 신뢰도를 평가할 수 있다.
이글루코퍼레이션은 고유의 프롬프트 엔지니어링(Prompt Engineering) 기술 적용을 통해, 생성형 AI가 내놓는 답변의 정확성을 높이고 있다. 검색어에 따라 검색 결과가 달라지듯이, 똑같은 페이로드(Payload)를 입력했어도 이글루XAI를 통해 사용자가 보다 잘 이해할 수 있는 답변을 얻을 수 있다. 또한, 중요 정보에 대한 비식별화 과정(변환 또는 삭제)을 거친 프롬프트 제작 등의 여러 보안조치를 통해 민감한 데이터가 외부로 노출되는 것을 방지한다.
윈스, AI 통합보안관제 시스템과 CTI서비스 연계로 위협 대응
윈스는 보안관제 시스템 제조사로써의 강점을 바탕으로 신규 위협 및 취약점에 보안패턴 즉시 적용과 정확한 분석을 통해 자체 제작 룰에 의한 위협탐지 대응이 가능하다. 방화벽과 IPS에 탐지룰을 등록하고 즉각 방어할 수 있게 기능을 제공한다.
분산된 여러 보안 장비에 정확하게 룰을 자동 배포할 수 있다. 또한 AI 통합 보안관제 시스템과 CTI서비스인 SecureCAST와 연계해 위협을 신속하게 판단하고 예방하며 전문가 프로파일 자동생성을 통해 신·변종 위협 공격에 대응할 수 있다.
이외에 윈스는 ‘사이버안보강화 패키지’로 보안 동향에 대한 리포트, 정보보안 인텔리전스, 인식제고를 위한 모의훈련 시나리오, 해킹메일, DDoS 모의훈련, 보안자문서비스를 추가로 제공해 보안 조직이 체계적인 보안 역량을 갖출 수 있도록 지원하고 있다.
LG CNS, AI에 의한 중요위협 자동식별
LG CNS의 ‘SecuXper AI’는 모델 정확도 95%를 보장해 보안 장비 대비 과·오탐을 90% 이상 개선할 수 있다고 자부하고 있다. Fine-Tuning 지원, AI에 의한 중요위협 자동식별로 다양한 로그를 중요위협과 유출행위를 자동으로 식별해 제공한다.
AI 기반의 탐지 시나리오로 패턴대비 80% 높은 정확도로 이상 징후를 탐지한다. 정보유출 사전탐지를 위해 NLP를 활용해 패킷 내 민감 정보가 존재하는지 판별이 가능하다.
‘SecuXper AI’ 솔루션의 주요기능은 △보안에 특화된 데이터를 이용한 모델 확보 및 서비스제공 △모니터링을 위한 웹 기반 대시보드 제공 △라벨링 자동화와 챗GPT를 활용한 라벨링서비스 제공 △생성형 AI 패킷 식별 및 프록시가 패킷을 필터링한다.
시큐리온, ‘AI 탐지 기술’ 특화 모바일 위협 실시간 관제
기업의 관제 인력은 한정돼 있다. 따라서 모바일 보안 관제 추가로 인해 늘어나는 업무 복잡도를 최소화하는 게 현실적으로 매우 중요하다. 시큐리온은 모바일 관제 측면에서 기존에 구축된 PC 보안 솔루션이나 모바일 보안 솔루션과 효율적으로 연동할 수 있는 기능과 인터페이스를 제공한다.
시큐리온의 AI 탐지 시스템은 AV-TEST 20회 이상 인증, AV-Comparatives 연속 인증 등으로 글로벌 보안 기업들과 비교해도 우수한 성능을 보여준다. 객관적으로 높은 탐지율을 증명하고, 이를 지속적으로 유지해 AI 탐지 기술의 안정성을 확보했다. 패턴 기반의 안티바이러스가 아닌 AI 기반의 모바일 안티바이러스 솔루션으로 글로벌 평가를 통해 솔루션의 우수성을 인정받았다. AI 탐지 기술은 수동으로 패턴을 분석하고 탐지율을 유지하는 기업에 비해 훨씬 적은 인력으로 우수한 탐지 대응 능력을 확보할 수 있다. ‘OnTrust TMS’는 이러한 AI 악성 앱 탐지 시스템과 OS 해킹 탐지 기술을 기반으로 모바일 위협에 대한 실시간 관제 기능을 구현한다.
제이슨, 통합 이상징후 관제로 ‘AI 정밀탐지·분석·대응’
AI 보안관제는 무엇보다 ‘AI 정밀탐지’ 기능이 가장 중요하다. 다양한 ‘침해공격 패턴’과 ‘정보 유출 행위’를 기계학습하고 유연하게 탐지함과 동시에, 과거 행위대비 다른 공격탐지 패턴과 유출 행위 등을 포괄해 탐지할 수 있는 ‘인공지능 정밀탐지’ 기능이 필요하다.
제이슨의 AI 보안관제 솔루션 ‘JMachine’은 ‘AI 정밀탐지’ 기능 뿐만 아니라 AI 자동분석, AI 자동대응까지 인공지능 기술을 관제업무 프로세스 전반에 적용해 포괄적으로 활용한 게 특징이다. AI 정밀탐지는 임직원의 직무변화 등을 AI 기계학습을 통해 가변적 임계치를 자동 생성하고 탐지한다.
AI 자동분석은 위협의 종류를 자동으로 분석하고 ‘전용 분석화면’을 자동으로 구성하는 ‘이벤트 대응 애널라이저’ 기능을 제공한다. AI 자동대응은 발생한 대량 이벤트를 AI가 자동으로 대응 처리한다. 또한 인공지능, 빅데이터 기술을 적극 활용해 Log(통합로그관리), SIEM(보안관제), UEBA(내부자 정보유출), Privacy(개인정보 오남용), XDR(확장된 탐지 및 대응) 등 총 5종의 보안시스템을 하나의 솔루션으로 제공한다.
이테크시스템, 위협 인텔리전스 네트워크로 자동위협 자동분류
DLP 솔루션인 ‘Symantec Proxy’와 ‘Data Loss Prevention’은 기업의 네트워크와 데이터를 감시·분석해 민감한 정보가 무단으로 외부에 유출되는 것을 막는 솔루션이다. 사용자들이 인터넷을 사용할 때 트래픽을 모니터링하고 제어해 악성 웹사이트, 해킹 시도, 악성 코드 등을 차단하고 기업 네트워크의 보안을 강화한다.
기업의 인프라가 클라우드로 이동함에 따라, 클라우드 환경의 보안 요구에 부합하는 기능을 통해 클라우드 데이터 보호를 강화하고 있다. AI와 머신러닝 기술을 활용해 악성 행위 및 침입 시도, 데이터 유출을 탐지·차단하고 예방하는 능력을 향상시켜 준다. 또한, 외부에서의 공격뿐만 아니라 챗GPT 등과 같이 내부에서의 데이터 유출 위험도 주목하고 있다. 내부위협 감지 기능은 직원들의 부정한 행동 또는 실수로 인한 데이터 유출을 식별하고 대응한다.
이테크시스템은 온프레미스와 클라우드를 아우르는 통합 보안 솔루션을 제공한다. 따라서 어떠한 환경에서도 단일 벤더 솔루션으로 보안 구축이 가능하다. 특히, 전 세계에서 모니터링되는 300,000개의 기업 및 조직을 포함하는 위협 인텔리전스 네트워크로 보안위협을 자동분류하고 정책 제어가 가능하다.
▲시큐리온, 모바일·IoT 보안 특화한 AI 탐지 ‘OnTrust(온트러스트)’[이미지=시큐리온 제공]
[AI 보안관제 대표 솔루션 집중분석-1]
시큐리온, AI 탐지 시스템 ‘CVS’ 글로벌 인증 획득
OnTrust, 모바일·IoT 보안 특화해 AI 탐지·관제로 보안위협 대응
모바일 기기의 업무 활용도는 점점 증가하고 있다. 그러나 PC보안 시스템과 대등한 수준으로 모바일 보안 관제 시스템을 정교하게 구축하고 있는 경우는 드물다. 게다가 코로나19 이후 원격근무 문화 확산에 따라 보안 공백을 노린 모바일 위협이 증가하고 있어 모바일 보안관제 솔루션에 대한 적극적인 검토가 필요하다.
검증된 AI 탐지 대응 및 OS 해킹 탐지 시스템
시큐리온의 ‘OnTrust(온트러스트)’ 솔루션에 적용된 AI 탐지 시스템 ‘CVS(Cross-Validation System)’는 AVTEST, AV-Comparatives 등 글로벌 인증을 획득했다. ‘CVS’ 탐지 시스템은 머신러닝 검사와 평판 검사, 패턴 검사를 결합한 것으로 각종 평가에서 종합 탐지율 100%를 기록했다. 그러면서도, 탐지에 소요되는 리소스를 낮은 수준으로 유지한 게 특징이다.
특히 AI 탐지 기술의 특성상 신·변종 악성앱 탐지에 유리하다. ‘OnTrust’는 이러한 AI 탐지 시스템에 특허받은 OS 해킹 탐지 기술을 결합해 모바일·IoT 단말의 APP 영역과 OS 영역을 동시에 보호한다. 또한 기업 별로 특화된 수요에 대응하기 위해 실시간 탐지를 위한 ‘OnTrust Agent’ 외에도 원격관제 시스템 ‘OnTrust TMS’, 에이전트리스 방식의 신속검사 서비스 ‘OnTrust X-ray’, 해킹 단말 복구 장비 ‘OnTrust Dr’를 제공한다.
기존 보안 솔루션에 모바일 관제 결합 가능
‘OnTrust’는 기존에 PC 보안시스템 또는 MDM 등의 모바일 보안 솔루션을 도입해 사용하고 있는 경우 시스템과 결합해 사용할 수 있다. 기업의 보안관제 인력이 한정적인 상황에서 모바일 관제 시스템을 도입하는데 따른 부담을 최소화하고 효율적인 업무를 돕기 위함이다. 시큐리온은 고객사가 운용 중인 보안 솔루션과 위협 현황을 파악해 맞춤형 보안서비스를 제안함으로써 모바일·IoT 보안강화에 기여한다.
▲제이슨, All In One AI 이상징후 시스템 ‘JMachine’[이미지=제이슨 제공]
[AI 보안관제 대표 솔루션 집중분석-2]
제이슨, All In One AI 이상징후 시스템 ‘JMachine’
보안관제(SIEM), 내부정보유출(UEBA), 개인정보 오남용(PRIVACY), 통합 로그 관리(LOG)
기업은 AI 기술을 악용한 고도화된 해킹 공격과 회사 보안의 허점을 쉽게 우회하는 내부직원의 정보 유출 등 해킹 공격과 정보 유출에 직면해 있다. 이러한 해킹 공격에 대한 탐지 및 관리를 하기 위해서는 ‘빅데이터 기술’을 통한 넓은 데이터 분석 스펙트럼과 ‘인공지능 기술’을 통한 지능적인 정밀분석 체계가 절실하다. 또한 보안업무의 운영 효율성을 높이기 위해서는 AI 기술을 이용해 자동화해야 한다. 이를 위해서는 ‘AI 이상징후 탐지 시스템’의 도입이 필요하다.
‘빅데이터’와 ‘인공지능’ 기반의 All In One 통합 이상징후 시스템
제이슨의 AI 이상징후 탐지 시스템 ‘JMachine(제이머신)’은 인공지능(AI)과 빅데이터를 기반으로 해킹 공격과 정보 유출에 대한 AI 정밀탐지, 이벤트 자동분석 및 미래예측 등의 혁신적인 기능을 제공한다. 인공지능, 빅데이터 기술을 적극 활용해 보안관제(SIEM), 내부정보유출(UEBA), 개인정보 오남용(PRIVACY), 통합 로그 관리(LOG)등 총 4종의 보안시스템을 하나의 솔루션으로 통합 운영이 가능하다.
‘빅데이터’ 엔진은 모든 보안시스템의 로그 및 탐지 데이터를 수집·저장하고, 1년 이상 장기간 안정적인 보관, 고속 검색이 가능하다. 또한 장애 시 데이터를 자동복구 하거나 클러스터링 기술을 활용해 저장·검색에 따르는 성능 부하를 분산해 준다.
‘인공지능’ 기술은 AI Risk Scoring 기능으로 탐지 대상(IP주소, IT자산, 임직원 등) 위험을 자동 식별, 탐지 결과 자동분석, AI 자동대응 처리가 가능하다.
‘JMachine’ 이상징후 관제를 위한 3단계 프로세스
‘JMachine’은 해킹 공격, 정보 유출, 개인정보 오남용, IT 장애 등의 이상징후 탐지를 위한 대표 기능으로 AI 가변 임계치 탐지 기능이 탑재돼 있다. 임직원·IP별 차별화된 임계치를 자동 계산하고, 시간의 흐름에 따른 변화(직무변화, 직책변화) 등을 AI 기계학습을 통해, 가변적 임계치를 자동 생성하고 탐지한다.
분석기능으로는 ‘이벤트 대응 애널라이저’ 기능을 제공한다. 이는 위협의 종류마다 ‘전용 분석화면’을 자동 구성해 주는 기능이다. 빅데이터에 저장된 전체 보안시스템의 데이터와 통계정보 그리고 AI 분석정보를 한 화면에 담아 제공한다. 수많은 위협에 대한 직관적인 분석환경을 제공해, 신속 정확한 원인분석이 가능하다. 또 분석 품질을 상향 표준화할 수 있다.
‘전수 조사 자동화’ 기능은 AI가 기존에 학습했던 해킹 공격과 정보 유출 등의 이상행위를 전체 탐지대상(임직원 및 IP주소)에 대해 전수조사를 자동화하는 기능을 말한다. 유사하거나 동일한 이상행위를 AI의 학습된 판단 기준으로 전체 보안데이터를 자동 분석해 시간과 운영 효율성을 높여준다. 대량의 데이터 속에서 발견하지 못한 이상행위를 발본색원 해주는 중요한 기능 중 하나다.
‘대응’에 있어서는 발생한 대량 이벤트에 대해 AI가 자동으로 대응 처리할 수 있다. AI가 정보유출 당사자에게는 ‘소명’을 요청하거나, 여러 관제요원에게 발견된 해킹 공격을 공동 분석할 수 있도록 ‘조사Case’를 생성해 준다. 더욱이 AI가 직접 SOAR의 Playbook을 활성화해 자동조치를 제공한다. AI 자동대응 기능은 보안 전문가의 대응행위 자체를 AI가 지속 기계학습해 이벤트 대응 정확도를 상시 고도화할 수 있다는 점이 특징이다.
▲(위)Proxy+DLP로 차단된 ChatGPT 화면과 (아래)Symantec Enterprise Cloud의 챗GPT 정보 화면[이미지=이테크시스템 제공]
[AI 보안관제 대표 솔루션 집중분석-3]
챗GPT 정보유출, 시만텍 Proxy와 DLP로 원천 차단
생성형 AI 신기술이 가져온 보안위협, 세밀한 대응 가능한 유일한 단일 벤더
올해 초 Open AI가 개발한 쳇GPT와 Google의 ‘바드’는 대화형 인공지능 모델이다. 다양한 자연어 처리 작업을 수행해 AI 업계와 전 산업군에 충격을 주었다.
이러한 생성형 AI는 인터넷에서 수집한 다양한 대규모 텍스트 데이터를 기반으로 학습해 다양한 분야에서 영향력을 발휘하고 있다. 하지만 사용자가 질의하는 내용도 재학습해 입력한 개인정보나 민감한 정보가 다른 누군가의 질의에 대한 답변으로 활용될 수 있어 주의해야 한다.
실제로 지난 3월 S사는 사내 기밀정보가 챗GPT를 통해 유출되었다고 인정한 바 있다. 아마존, 소프트뱅크 등 여러 글로벌 기업들도 정보 유출에 대비해 챗GPT 사용을 금지하거나 제한하고 있다.
하지만 AI 시대가 열리는 오늘날, 단순히 막기만 한다고 해서 능사는 아니다. 생성형 AI의 가능성과 미래는 누구도 의심하지 않아 마냥 거부할 수만은 없는 노릇이다. 정보 유출은 원천적으로 막으면서 생성형 AI의 비전에 발맞춰 나아갈 수는 없을까?
단일 벤더 합동 솔루션으로 키워드 기반 정보 유출 차단
Symantec Edge Proxy와 Network DLP(Data Loss Prevention) 합동 솔루션이 최근 이러한 유출사고를 예방하기 위한 대책으로 기업 정보보호에 도움을 주고 있다. 챗GPT 유출 사고를 겪은 S사는 Symantec Edge Proxy로 네트워크 트래픽을 실시간으로 모니터링하고 연계된 Network DLP로 악성 파일이나 데이터 유출을 감지하고 차단한다. 챗GPT 사용자가 민감한 정보를 입력하면 Edge Proxy는 실시간 질의응답 트래픽을 복호화해 DLP로 전달하고, DLP는 등록된 정책과 키워드를 기반으로 민감 정보를 탐지해 즉각적인 조치를 취할 수 있다.
예를 들어 신용카드 정보나 기밀문서가 유출될 경우, DLP는 해당 정보를 차단하고 관리자에게 경고를 보내 사전에 사고를 방지할 수 있다. 이처럼 Symantec 보안 솔루션은 기업들에게 챗GPT와 같은 생성형 AI 모델을 사용하면서도 정보 유출 사고를 예방할 수 있는 강력한 보안 솔루션을 제공한다.
클라우드 환경에서는 ‘Symantec Enterprise Cloud’로 대응 가능
재택근무가 활발한 요즘 시대에도 걱정할 필요는 없다. ‘Symantec Enterprise Cloud’는 이러한 문제에 대응하기 위한 클라우드 보안 솔루션이다. 고객들에게 가시성을 확보하고 생성형 AI 사용에 데이터 보안을 제공한다. 챗GPT 뿐만 아니라 기업 내에서 사용되는 다양한 AI 앱에 대한 보안을 제공하며, 비인가된 서비스 등 특정 서비스를 통제할 수 있다. 또한, 민감한 콘텐츠 처리를 위해 Cloud DLP를 사용해 생성형 AI 도구의 쿼리를 검사하고, OCR을 사용해 이미지 생성형 AI 도구(예: DALL-E)에 업로드된 이미지를 검사해 민감한 데이터가 이미지에서 유실되지 않게 한다.
▲(위)이글루XAI(가칭) 사용 예시(설명가능한 AI)와 (아래)이글루XAI(가칭) 사용 예시(생성형 AI)[이미지=이글루코퍼레이션 제공]
[AI 보안관제 대표 솔루션 집중분석-4]
이글루코퍼레이션, ‘SPiDER TM AI Edition’과 ‘이글루XAI’로 보안관제 역량 강화
AI 악용한 보안위협, AI 보안으로 막는다
이글루코퍼레이션은 AI 기술이 내재화된 능동적 방어 체계 구축에 앞장서 온 대표 기업 중 하나다. 2015년 연구개발에 착수한 이래, AI 기반의 공격탐지 기술이 적용된 AI 보안관제 솔루션을 선보였다. 대규모의 사이버보안 AI 데이터셋 구축에 지속 참여하고 설명 가능한 AI와 생성형 AI 모델을 빠르게 도입하며, AI 예측 결과의 정확성과 신뢰성, 이해도를 높이는데 공들여왔다. 더 많은 보안조직이 AI의 혜택을 누릴 수 있도록 AI 보안 전략을 지속 강화하고 있다.
AI 보안관제 솔루션 ‘SPiDER TM AI Edition’, 효율성 ‘극대화’
이글루코퍼레이션은 2019년 초 보안관제 지능화를 구현할 수 있는 솔루션인 ‘스파이더 티엠 에이아이 에디션(SPiDER TM AI Edition)’을 선보였다. 정상·비정상 이벤트에 대한 지도 학습과 이상 행위·공격자 특성 등에 대한 비지도 학습을 거친 AI 알고리즘이 자체적인 판단 기준을 만들고 이를 토대로 새로운 위협에 대한 예측 결과를 내놓는 형태다. 인력의 역량 편차 문제를 해결하고 상향된 수준의 대응체계를 유지할 수 있게 된다.
이글루코퍼레이션은 AI 솔루션 구축과 함께 학습데이터 품질향상에도 심혈을 기울여 왔다. AI 알고리즘이 양질의 데이터를 학습해야 예측 결과의 수준도 높아질 수 있기 때문이다. 이글루코퍼레이션은 전담 조직운영을 통해, 원시데이터에서 학습데이터를 선별해 추출·분석·가공하는 전처리 및 학습 방향을 정하는 레이블링 작업 등을 수행하며 학습데이터의 품질을 지속 고도화하고 있다.
이글루코퍼레이션은 AI 예측 결과의 신뢰성을 높이는 ‘설명 가능한 AI(XAI, eXplainable AI)’ 기술 확보에 앞장서 왔다. AI 알고리즘이 특정 이벤트를 왜 고위험 이벤트로 판단했는지 이해할 수 있도록 AI가 내린 예측에 대한 근거를 제시하는 형태다. 보안 담당자는 ‘SPiDER TM AI Edition’에 적용된 XAI 기능 활용을 통해 AI가 의도한 목적에 따라 잘 학습되었는지를 판단하고, 조직의 기준에 맞지 않는 오탐 발생률을 낮출 수 있다.
챗GPT 연계, AI 보안서비스 ‘이글루XAI(IGLOOXAI)’ 개발 완료
이글루코퍼레이션은 기존 확보한 AI 기반탐지 기술 및 XAI 기술과 기존 콘텐츠에 대한 학습을 토대로 새로운 콘텐츠를 만들어내는 ‘생성형 AI(Generative AI)’ 기능을 접목하며, AI 사업 포트폴리오를 확대할 계획이다. 이러한 전략의 일환으로 올 3월 AI가 판단한 공격 결과에 대한 신뢰성과 이해도를 높이는 ‘이글루XAI(IGLOOXAI)’(가칭) 서비스를 개발 완료했다.
‘이글루XAI’는 특정 보안데이터에 대해 AI 모델이 판단한 근거를 알려주는 온라인 서비스다. 사용자들은 AI 탐지모델이 예측한 결과와 이 예측에 영향을 미친 공격 특징(Feature)의 중요도, 챗GPT를 통한 자연어 형태의 설명을 비교 확인함으로써, AI 답변에 대한 이해도를 높이고 신뢰도를 평가할 수 있다.
이글루코퍼레이션은 고유의 프롬프트 엔지니어링(Prompt Engineering) 기술 적용을 통해, 생성형 AI가 내놓는 답변의 정확성을 높이고 있다. 검색어에 따라 검색 결과가 달라지듯이, 똑같은 페이로드(Payload)를 입력했다고 할지라도 ‘이글루XAI’를 통해 사용자가 보다 잘 이해할 수 있는 답변을 얻을 수 있다. 또한 중요 정보에 대한 비식별화 과정(변환 또는 삭제)을 거친 프롬프트 제작 등의 여러 보안조치를 통해, 민감한 데이터가 외부로 노출되는 것을 방지한다.
이글루코퍼레이션은 10여개의 보안관제 사이트와 개인 사용자를 대상으로 순차적인 시범 서비스를 제공한다. 이를 통해 확인한 피드백을 토대로 서비스를 고도화해, 7월 중 일반 고객에게 서비스를 오픈할 계획이다. ‘스파이더 SOAR(SPiDER SOAR)’ 등의 자사 솔루션 연계시에는 플레이북(Playbook) 생성 효율성 및 강화 효과 등을 기대할 수 있다.
▲윈스, 설계부터 운영까지 클라우드 보안관제[이미지=윈스 제공]
[AI 보안관제 대표 솔루션 집중분석-5]
사이버 보안 전문기업 ‘윈스’
설계부터 운영까지 보안 내재화된 클라우드 보안관제
윈스의 클라우드 보안관제는 설계부터 운영까지 보안 내재화된 클라우드 환경구축 전문성과 고객 서비스 환경 특성을 고려한 맞춤형 인프라 구축 노하우를 가지고 있다. 국가 공공기관이 활용하는 민간 클라우드 영역에 대한 보안관제 수행 시 정부 보안관제 체계와 연계할 수 있는 기반을 요구하고 있다. 윈스의 클라우드 보안솔루션(PCRE-TMS)은 온프레미스에서처럼 클라우드 환경에서도 이를 완전하게 지원한다.
클라우드 매니지드 서비스, 구축·운영·관제 ‘Turn-key’ 수행
윈스의 클라우드는 뛰어난 성능, 최신의 기술, 안정성, 끊김없는 커뮤니케이션과 유연한 확장성 등 여러 장점을 기반으로 한다. 이 때문에 많은 기업 및 기관들이 윈스의 클라우드 보안관제를 선택하고 있다.
윈스는 클라우드 매니지드 서비스를 통해 구축·운영·관제를 ‘Turn-key’로 수행 가능한 역량을 보유하고 있다. 구축단계의 운영·관제 관점에서 필요한 부분을 사전협의 하에 구성할 수 있어 고객사 서비스의 흐름을 사전에 파악이 가능하고 이관에 대한 리스크를 적게 하는 것이 큰 장점이다.
이런 장점을 바탕으로 기업과 기관에서 발생된 주요 위협 관찰 특이사항에 대해 지속 모니터링한다. 고객과 협의된 이벤트에 대해서 탐지·차단을 설정하고, SNIPER BD1 AI+를 중심으로 서비스 운영 위협 관찰 특이사항을 관제센터에서 고객사에 통보한다. CTI 서비스인 ‘SecureCAST’와 연계해 클라우드 취약점 및 위협 이벤트의 경우 자동 정책이 업데이트 되고, 고객요청 탐지패턴 추출 및 등록 차단이 가능하다. 이외에도 Cloud 서버운영과 보안관제를 일원화해 보안 로그 및 서버 로그 상관분석을 통해 일차원적인 서비스 장애에 대한 원인분석에서부터 발생 공격에 대한 영향도를 파악하는 등 여러가지 시너지 효과를 낸다.
▲LG CNS, AI 보안 전문 솔루션 ‘SecuXper AI’[이미지=LG CNS 제공]
[AI 보안관제 대표 솔루션 집중분석-6]
LG CNS, AI 보안 전문 솔루션 ‘SecuXper AI’
BERT 기반의 딥러닝 모델 사용, 기업 내부자산 보호 효과 ‘극대화’
최근 외부 인터넷과 연결된 업무환경이 도입되면서 보안 시스템에서 생성된 로그들이 급증하고 있다. 하루에도 수십에서 수백 기가바이트의 데이터가 쌓여 소수의 보안 전문가들이 모든 트래픽을 직접 확인해가며 유출이나 공격 위협을 파악하기가 현실적으로 어려워졌다. 이러한 대용량의 데이터 처리의 어려움을 해결하기 위해 보안 기업은 다양한 분석 자동화 솔루션을 준비 및 판매하고, 많은 기업은 보안 자동화 솔루션 도입을 시도하고 있다.
분석 자동화 솔루션의 많은 기능 중 핵심 기능은 다양한 상황에 대한 탐지 자동화가 필수다. 자동화에 가장 필요한 기술이 AI이기 때문이다. AI의 도입으로 보안 전문가는 보다 효율적으로 보안위협을 탐지하고 대응할 수 있어 기업의 보안성을 높이는 데 큰 도움이 된다.
‘SecuXper AI’, 대용량 보안 데이터로 사전 학습된 AI 모델 제공
AI 보안 솔루션 ‘SecuXper AI’는 보안 탐지 자동화의 핵심 엔진과 두뇌 역할을 수행한다. ‘SecuXper AI’는 보안 전문가의 노하우를 AI 모델로 학습시켜 주요 판단 기능을 AI가 사람을 대신해 수행한다. 정보유출, 생성형 AI 필터링, 침해탐지, 개인정보 오남용 등 다양한 업무에 AI 모델이 탑재되어 있다. 또한, API 서비스로 제공되어 기존 SIEM에 통합될 수 있고, 자체적으로 제공하는 Dashboard와 함께 독자적인 서비스로 운영할 수 있어 기업의 보안성을 높이는 데 큰 도움이 된다.
‘SecuXper AI’는 보안에 특화된 AI 모델을 제공하는 솔루션이다. 네트워크 패킷을 모니터링해 부적절한 데이터를 차단하거나, 의심스러운 데이터를 담당자가 확인할 수 있게 정리한다. 또한 여러 보안 장비에서 수집한 보안 로그를 AI로 분석해 사후 분석에 사용할 수 있다.
기존의 유사 AI 기반의 통합관제 솔루션은 통계 기반의 머신러닝 알고리즘 위주였다. 하지만 이러한 알고리즘으로는 보안로그 텍스트 데이터의 문맥을 이해하고 판정하는 고차원적인 관점에서 적절하게 처리할 수 없는 문제점이 있다. 이러한 대안으로 등장한 게 바로 ‘SecuXper AI’다. ‘SecuXper AI’는 챗GPT와 같이 한국어에 특화된 자연어 처리(NLP, Natural Language Process)기술로부터 패킷 내 페이로드에서 업무 문서나 개인정보와 같은 민감 정보를 외부에 유출되기 전에 탐지하는 게 특징이다. 또한, 단순 포트 프로파일링을 넘어 패킷 흐름 분석과 IP 프로파일링으로 비정상 사용자 구분이 가능하다.
구독서비스 활용, 산업현장에서의 AI 성능 지속 보장
과거 데이터로 학습된 모델은 시간이 지나면서 구성원들의 업무환경과 외부환경 변화에 따라 모델의 성능이 하락한다. 기존의 보안 시스템은 관리자가 일일이 제조사로부터 업데이트 파일을 받아 장비의 탐지규칙 및 주요 패턴을 업데이트하는 방식으로 시스템을 사용했다. 또 각 현장의 보안장비 로그 및 이벤트 형태에 따라 모델 파라미터를 조정하기 위해서는 최적화 과정이 필요한데, 사전에 준비된 솔루션이 아닌 경우에는 적정 일정, 비용, 품질에 부합하기에 한계가 있다.
그러나 ‘SecuXper AI’는 내부에서 서비스 API를 호출하는 방식으로 동작해 구독 서비스를 이용할 경우 AI보안 전문가가 제공하는 최신 AI 모델을 빠르게 반영할 수 있다. API 기반의 AI 시스템은 현장에 데이터 패턴에 따라 미세조정(Fine-Tuning)이 손쉽게 가능하다.
‘SecuXper AI’는 고성능 GPU를 활용해 솔루션 내부에 BERT 기반의 딥러닝 모델을 사용하고 있다. 이는 보안 전문가의 두뇌 역할로 현장의 학습데이터를 기반으로 산업현장에 맞게 빠르게 최적화를 할 수 있다. 실제 데이터를 계속 학습해 지속 가능한 AI 성능을 보여줄 수 있다.
‘SecuXper AI’는 다수의 고객 레퍼런스를 확보하고 있으며, 앞으로도 지속적인 업그레이드와 개선을 통해 더욱 강력한 보안 솔루션으로 발전해 나갈 계획이다.
AI 기술, 보안 시스템의 효율성 극대화
AI 기술이 보안 장비의 매력적인 구매 포인트가 되고 있다. Fortinet이나 Palo Alto같은 네트워크 보안 장비 제조사도 머신러닝 알고리즘을 더한 차세대 방화벽(NGFW, Next-Generation Firewall) 장비를 생산하며 대부분의 네트워크 장비도 AI 기능을 탑재했다. 이러한 AI 활용 추세는 보안 분야에서도 낯설지 않다.
2023년 현재, 단순 규칙 기반 시스템에서 AI 시스템을 활용해 정보유출을 최소화하고, 내부자산 보호 효과를 극대화하는 방향으로 보안계의 패러다임이 변화하기 시작했다. 과거에는 단순히 규칙에 부합되는 것을 찾아 모든 판단을 사람에게 맡겼다.
하지만 앞으로는 AI가 판단해 단순 반복 작업을 줄이고, 보안 전문가들에게 필요한 정보만 추출해 업무 효율을 높여줄 수 있다. 이러한 추세는 보안 시스템의 성능 향상과 함께 기업의 보안성을 향상할 수 있어 큰 기대를 모으고 있다. 더불어 AI를 통한 탐지자동화는 사전에 충분한 운영 경험과 모델을 확보한 기업만이 상용 수준의 모델과 서비스를 제공할 수 있다. 이러한 점을 인지하고 고려해 기업은 적절한 AI 보안 솔루션을 선택하고, 보안 전문가들은 AI 기술을 습득해 보안 시스템의 효율성을 높이는 데 노력해야 할 것이다.
[김경애 기자(boan3@boannews.com)]
[인터뷰] 국가정보자원관리원 사이버안전과 고광선 과장, 한국과학기술정보연구원 과학기술보안연구센터 송중석 센터장, 한국사회보장정보원 의료정보보호센터 이성훈 센터장
[설문조사] ‘AI 보안관제 서비스 및 솔루션의 인식과 선택 기준’ 결과
국내외 AI 보안관제 대표솔루션 분석 : 시큐리온, 제이슨, 이테크시스템, 이글루코퍼레이션, 윈스, LG CNS
[보안뉴스 김경애 기자] “AI는 인조인간을 만드는 과학이 아니다. 인간의 지능을 이해하는 과학도 아니다. 인간의 행동을 모방해서 기계가 인간이라고 믿게끔 가상물을 만들려는 과학도 아니다. AI는 인간이 할 수 있거나 하려고 하는 일을 기계가 하게 만드는 과학이다.” - James F. Allen -
[이미지=gettyimagesbank]
요즘 대세 챗GPT의 핵심기술 AI ‘주목’
요즘 대세 중의 대세는 단연 챗GPT다. 챗GPT가 쏘아 올린 공은 전 세계 파란을 일으켜 기술과 상품개발의 경쟁을 부추겼고, 관련 산업을 본격화했다. 챗GPT의 핵심기술은 누가 뭐래도 AI 기술이다. AI 기술이 최대 경쟁력인 만큼 전 산업 분야가 AI 기술에 주목하고 있다.
보안 분야 역시 마찬가지다. 지난 4월 말 사이버보안 콘퍼런스 ‘RSAC 2023’에서는 AI의 보안위협과 AI를 활용한 보안강화 전략이 화두로 떠올랐다. AI 기술을 활용한 보안기술 트렌드는 Zero Trust Architecture, Cloud Security Posture Management, User and Entity Behavior Analytics(UEBA), DevSecOps 등으로 보안 기업에서 너나 할 것 없이 적극적으로 AI 기술을 활용하고 있다.
AI 기술을 이용한 보안시장도 성장하고 있다. 마켓앤마켓에 따르면, AI 보안 시장규모는 2019년 88억 달러에서 연평균 23.3% 성장했다. 전 세계적으로 AI 보안이 차지하는 비중은 점점 늘어나 2026년에는 382억 달러 규모를 형성할 것으로 전망되고 있다.
그중 AI 보안관제 시장이 전 세계적으로 성장하고 있다. 국내외 많은 기업들이 빅데이터를 기반으로 지도 및 비지도 학습과 머신러닝 등의 기술을 활용하고 있다. 해당 기술은 보안관제 인력을 보완하거나, 단순 반복성 업무를 대체하기 위한 목적으로 활용되고 있다.
국내에서 활동하고 있는 대표 보안관제 회사는 이글루코퍼레이션, 윈스, LG CNS 등으로 원격·파견 관제 서비스 제공 중심에서 현재는 SIEM(Security Information and Event Management), SOAR(Security Orchestration, Automation and Response) 등 자동화 기능이 포함된 관제 솔루션과 서비스, 플랫폼, 클라우드 보안관제로 확대해 다양하게 제공하고 있다.
보안관제 단일 솔루션은 AI 기술 등장 이후 기존의 방화벽, IPS 등에서 확대되어 다양한 보안 솔루션으로 뻗어 나가고 있다. 탐지 및 관리 방식도 확장됐다. 기존에 보안장비에서 탐지하는 보안위협 관리와 대응 방식에서 이제는 기업에서 발생하는 모든 자원의 정보와 보안이벤트를 통합관리하는 방식으로 확장됐다.
시큐리온은 AI 기술을 접목해 모바일, IoT 등 단말기에 특화한 관제 솔루션을, 제이슨은 빅데이터와 인공지능 기반의 All In One 통합 이상징후 시스템을 제공한다. 이테크시스템은 DLP 솔루션에 AI 기술을 적용해 솔루션에 관제 기능을 갖추고 있다.
이에 <보안뉴스>에서는 AI 보안관제에 대해 집중 분석하고자 한다. 보안관제 전문기업과의 인터뷰를 통해 올해 상·하반기 주요 보안위협, 보안관제의 문제점, 보안이슈에 대해 들어봤다. 이어 공공·민간기관의 보안관제에 AI 기술을 적용한 사례를 살펴보고, ‘AI 보안관제 서비스 및 솔루션의 인식과 선택 기준’ 설문조사 결과를 통해 보안관제의 현황과 문제점을 짚어봤다.
보안관제, 보안성과 효율성 위한 ‘필수 요소’
보안관제는 일반적으로 외부로부터의 보안위협을 모니터링해 탐지·분석·대응함으로써 내부 정보보안을 강화하는 것을 말한다. 기업과 기관에서는 정보보호 조직이 운영하는 보안 운영센터(SOC: Security Operation Center)에서 보안관제 업무를 수행한다.
최근 보안관제 업무는 갈수록 어려워지고 있다. 보안위협이 정교하게 진화하면서 대응해야 할 업무와 컴플라이언스가 증가하고 있기 때문이다. 보안 운영 환경은 감당하기 힘든 수준으로 복잡해지고 분석할 데이터가 증가해 분석할 보안관제 인력은 한계에 다다랐다. 그렇다 보니 AI 보안관제는 조직의 보안성과 효율성을 높이기 위한 필수 요소로 자리 잡고 있다.
보안관제의 발전은 FW, IDS, ETC 등 단위보안 솔루션을 통한 모니터링 시대를 거쳐, 트래픽, 취약점, 웹, ESM(Enterprise Security Management) 기반으로 관제범위가 확대돼 통합보안관제로 발전했다. 이후 빅데이터 기반의 시나리오, SIEM 기반의 빅데이터 보안관제로 발전했다. 이제는 AI 기반의 이상행위 탐지, 위협정보 관제연동(TI, Threat Intelligence), SOAR 등 제로트러스트의 차세대 보안관제로 업그레이드 됐다. 보안관제의 발전은 보안장비의 이기종 간 상관분석, 빅데이터 분석을 통한 보안위협 예측, 관제 프로세스 자동화 등 효율적으로 진화하고 있다.
AI 기술은 다량의 데이터에서 위협 증적을 찾아 분석·조치·대응을 자동화해 사람 중심의 관제기술 수준을 한 단계 더 끌어올렸다. 수동분석 중심에서 프로파일과 AI 알고리즘을 적용한 자동분석으로 발전했다. 관제요원은 AI 보안관제 솔루션을 활용해 분석 정보를 얻어 위협대응의 정책 수립과 선제적 대응을 할 수 있다.
AI 보안관제 솔루션은 다양한 환경의 정보시스템에서 많은 데이터를 수집한 후 AI 알고리즘을 이용해 분석의 정확도를 높여준다. 또 업무 자동화를 통해 신속하게 대응·전파·조치하는 협업 플랫폼으로 변화하고 있다.
1. 2023년 상반기, 보안관제에서 주목해야 할 보안위협
AI 보안관제가 주목되는 배경에는 고도화된 보안위협이 깔려 있다. 최근 보안위협은 악성코드 은닉, 보안장비 우회 등으로 고도화되고 있다. 여기에 AI를 악용한 자동화 공격까지 더해져 공격 양상은 갈수록 다양화되고 있다. 본지는 AI 보안 전문기업과의 인터뷰를 통해 상반기에 발생한 주요 보안위협을 정리해 봤다.
윈스, 오픈소스 취약점·APT 공격과 랜섬웨어·글로벌 해킹
윈스는 상반기 주요 보안위협 3가지로 △오픈소스 취약점을 이용한 공격 증가 △APT 공격과 랜섬웨어 공격의 진화 △글로벌 해킹 조직의 공격 증가를 꼽았다.
첫째, 오픈소스 취약점을 이용한 공격 증가다. 오픈소스는 개발의 편의성으로 다양한 SW 제품에서 광범위하게 사용되고 있다. 보안 측면에서 안전하지 않은 미흡한 관리는 결국 공격 대상이 된다. Log4Shell, Spring4Shell, Text4Shell 등 2021년 하반기부터 다양하게 발견된 오픈소스의 취약점은 사이버 공격자들의 공격대상이라는 걸 보여주는 대표 사례다.
둘째, APT 공격과 랜섬웨어 공격의 진화다. 공격자는 메일, 웹서버 취약점, 인증관리 서버, 원격 접근 등을 이용해 다방면으로 공격하고 있다. 오픈소스를 활용하거나 상용 도구를 활용해 인증정보를 탈취하고 권한상승을 시도하는 등 공격 양상이 변화하고 있다. 공격자는 금전적 수익을 극대화하기 위해 암호화 파일 복구, 유출 데이터 공개, 디도스 공격과 함께 기업의 고객도 직접 협박하는 등의 다중 협박(Multi Extortion) 형태로 진화하고 있다. 공격자는 피해 기업들이 브랜드 이미지 손상을 우려하는 점을 노린다. 금전을 요구하면서 협박수단으로 민감 정보를 일부 공개하는 사례가 늘고 있다.
다음으로 국가 사이버안보를 위협하는 글로벌 해킹 조직의 공격 증가다. 글로벌 해킹그룹들은 정치·경제적인 목적으로 사이버 공격 활동을 꾸준히 감행해왔다. 작년 국내 위협 사례를 보면 데이터센터 화재로 인한 카카오 장애 발생 이후 카카오톡 업데이트 파일로 위장한 악성코드가 발견된 바 있다. 또한, 이태원 사고와 관련된 공문서 위장 공격 등과 같이 관심이 집중되는 이슈를 사이버 공격에 악용했다.
이테크시스템, 챗GPT와 섀도우 IT의 보안위협
이테크시스템은 상반기 보안이슈로 챗GPT 등을 통한 내부정보 유출과 섀도우 IT, 그리고 제로데이 공격을 꼽았다.
첫째, 챗GPT를 통한 내부정보 유출은 공격자의 창의적인 악용에 따라 이중, 삼중으로 피해가 커질 수 있다. 공격자는 생성형 인공지능 모델인 챗GPT를 활용해 악성코드를 개발하고, 가짜 정보를 생성한 후 이를 활용해 공격한다. 특히, 이러한 보안위협의 위험도는 보안이 미흡한 기업일수록 큰데, 사전에 미리 적절한 보안을 준비하지 않아 유출 자체를 인지하지 못하는 기업이 수두룩하다. 특히 제조, 의료, 중소기업 등 기본적인 보안 시스템 구축도 안 되어 있는 곳이 부지기수다.
둘째, 섀도우 IT에 대한 보안위협이다. 현재 보안 장비는 AI, 클라우드, HTTP/3 등 신규 기술을 따라가지 못하고 있다. 이로 인해 생기는 섀도우 IT에 대한 보안위협은 갈수록 커지고 있다.
셋째, 제로데이 공격은 발견되지 않은 취약점을 이용한 공격이다. 네트워크와 보안 장비가 사용하는 서버 취약점을 악용한다. 따라서 최신 패치와 화이트리스트 정책 운용이 요구된다.
2. 2023년 하반기, 보안관제에서 주목해야 할 보안위협
그렇다면 하반기 보안관제에서 주목해야 할 보안위협은 무엇일까. 제로데이 공격, IoT 보안위협, 시스템 취약점 이용 등 고도화된 보안위협은 하반기에도 활개를 칠 모양새다. 본지는 시큐리온, 이글루코퍼레이션과의 인터뷰를 통해 하반기 주목해야 할 보안위협에 대해 들어봤다.
시큐리온, 원격제어 앱·제로데이 공격·IoT 보안위협
시큐리온은 2023년 하반기 주목해야 할 보안이슈로 △원격제어 앱 △제로데이 공격 △IoT 보안위협을 꼽았다.
첫째, 원격제어 앱을 활용한 악성 공격이 기승을 부리고 있다. 원격제어는 보이스피싱 등의 공격에서 해커가 사용자의 단말기를 장악하기 위해 사용된다. 최근 비대면 금융 서비스 등이 늘면서 원격제어 앱으로 권한을 탈취해 대출을 실행하는 등의 사기 수법이 확산되고 있다. 원격제어 악성코드에 감염되면 순식간에 해커가 단말기를 장악해 내부 중요 정보탈취는 물론 해커 맘대로 악성 행위를 할 수 있다.
둘째, 제로데이 공격은 패치가 나오지 않은 상태라 무방비로 보안위협에 노출되면 치명적인 피해를 입을 수 있다. 한 번 공격을 당하면 시스템 전체가 장악되거나 돌이킬 수 없는 피해를 입을 수 있다. 그만큼 피해규모와 손실 등에 따른 파장이 크다는 것이다. 2021년 세계적으로 화제가 된 ‘페가수스(Pegasus)’는 OS 취약점을 악용해 설치된 후 정보탈취 등의 악성 행위를 수행하는 스파이웨어다. 특히, 각국 정상들과 CEO 등 주요 인사를 타깃으로 해 더욱 유명해진 공격이다. PC와 마찬가지로, 모바일·IoT 기기를 대상으로 한 스파이웨어와 제로데이 공격 탐지는 중요한 과제다.
셋째, IoT 보안위협은 스마트 월패드 해킹 사건과 같이 IoT 기기의 영상 유출과 도감청 위협 등으로 사생활 침해를 당할 수 있다. 개인정보는 물론 신체정보, 민감정보가 그대로 유·노출돼 심각한 피해를 당할 수 있다. 하지만 아직까지 모바일 기기나 IoT 기기를 대상으로 한 보안 관제 시스템은 보편화 되지 않았다.
이글루코퍼레이션, AI 악용한 사이버 공격 ‘폭증’
최근 AI 기술 발전에 따라 AI를 악용하는 사이버 공격이 폭발적으로 증가했다. 각 사이트에 따라 발생하는 위협에 차이가 있지만 시스템·웹 취약점을 악용한 정보 수집 및 침투 목적의 공격 시도는 지속 탐지되고 있다.
특히, 랜섬웨어 공격은 작년에 이어 올해도 압도적인 비율을 차지하고 있다. 록빗(LockBit), 블랙캣(BlackCat), 콘티(Conti) 등이 기승을 부리고 있다. 랜섬웨어를 활용한 공격전략은 갈수록 고도화되고 있고, 운영체제도 조직화되고 있다. 랜섬웨어 기능도 목적에 따라 세분화되고 있다.
올 하반기도 랜섬웨어 공격은 변함없이 기승을 부릴 전망이다. 록빗, 블랙캣, 귀신(GWISIN), 포보스(Phobos) 등의 대규모 타깃형 랜섬웨어 그룹들은 더 많은 수익 창출을 위해 공격 방식을 다양화하고 있다. 데이터 복호화에서 더 나아가 주요 데이터를 탈취한 후 데이터 공개 협박으로 금전을 요구하는 다중 협박(Multi Extortion) 공격을 빈번히 시도하고 있다. 블랙마켓을 통한 사이버 공격의 서비스화 역시 랜섬웨어 공격에 영향을 미치는 요소다. 기술 숙련도가 낮은 공격자들은 랜섬웨어를 제작하고 유포해 주는 ‘서비스형 랜섬웨어(RaaS)’를 통해 공격의 스펙트럼을 확장하며 이익을 챙기고 있다.
따라서 기업은 랜섬웨어 공격방식과 기법의 지속적인 모니터링이 필요하다. 보안위협 대응을 위해 기관과 기업은 자동화된 보안 분석 및 예방 시스템을 구축함으로써 보안관제의 부족한 점을 보완해야 한다.
3. 보안관제, 주요 문제점 및 보안이슈
제이슨, 기존 정보유출 탐지 정책의 한계성
제이슨은 보안관제에서 주목해야 할 주요 보안이슈로 △기존 정보유출 탐지 시나리오(정책)의 한계성 △다양해진 내부정보 유출경로 △네트워크 보안장비의 오탐에서 놓치는 다량의 보안위협을 지목했다.
첫째, 정보유출 탐지 정책 한계의 경우 빅데이터 기반의 탐지 시나리오는 ‘사전 정의된 유출행위만’을 제한적으로 탐지한다. 또 ‘단순한 패턴과 임계치로 판단’하고 이를 보안 담당자에게 알려준다. 그러나 이 방식은 또 다른 다량의 오탐 이벤트를 양산한다. 특히, 특정한 정보유출 행위를 시나리오로 구성하기 때문에 유출행위를 조금만 바꿔도 탐지되지 않는다.
둘째, 내부정보 유출경로가 다양해졌다. 하지만 기업에선 매출과 성과를 위해 무조건 차단하지 못하는 게 현실이다. 이러한 상황에서 아마존(Amazon), 애저(Azure)와 같은 퍼블릭클라우드(Public Cloud), 챗GPT 등은 새로운 정보유출 경로로 악용되고 있다. 더욱이 이러한 경로는 SSL과 같은 암호화 통신 채널을 사용한다. 이 때문에 보안 담당자가 IPS 등 네트워크 보안시스템으로 관리, 통신내용을 모니터링하는 것으로는 정보유출 확인이 어렵고 복잡하다.
셋째, 네트워크 보안 장비에서 대량으로 놓치는 오탐의 보안위협이다. 보안장비는 하루에도 수십만개의 오탐 이벤트를 만들어낸다. 엄청난 오탐 이벤트 속에서 정탐 이벤트를 걸러낸다는 것은 ‘백사장에서 모래알 찾기’다. 특히, 다량의 탐지 이벤트를 AI가 기계 학습하고 이렇게 학습된 AI가 새로 발생하는 이벤트를 보고 정탐만을 자동으로 찾아주는 게 AI 보안관제의 현주소다.
LG CNS, 내·외부 환경과 업무환경의 변화
LG CNS는 보안관제의 주요 문제점과 보안이슈로 내·외부 환경과 업무환경의 변화를 지목했다. 첫째, 외부환경 변화는 코로나19 영향이 크다. 기업의 업무환경도 빠르게 변화해 재택근무, 협업 등 ‘Ontact’ 업무환경 변화로 새로운 위협 요인이 지속 증가했다.
둘째, 내부환경 변화다. 내부환경 변화에서 기존에 단순 패턴 기반의 보안 솔루션은 보안위협을 일으킨다. 제한적인 보안 모니터링과 일괄적인 임계치 적용은 과탐, 미탐, 오탐을 대량으로 발생시킨다.
셋째 업무환경의 변화는 스마트워크 도입과 개방형 업무환경 요구에 따라 업무 편의성과 보안 기능 제고를 위한 새로운 보안체계를 요구한다. 기업은 보안 업무의 자동화를 위해 전수조사, 24시간 예측탐지, 실시간 대응, 인력 Effort 절감 등을 위한 자동화 기반 확보가 필요하다.
따라서 업무환경 변화에 대응하고 대량의 로그 분석 대응, 패턴 탐지의 한계 극복을 위한 모니터링 생산성 개선이 필요하다. 보안관제는 AI 전문가의 데이터 분석을 활용해 최적화하고, AI 활용기반의 정량적 성과가 제공돼야 한다.
그렇다면 기관과 기업에선 AI 기술을 보안관제에 어떻게 적용해 활용하고 있을까? 본지는 AI 기술 적용사례를 들어보기 위해 중앙행정기관과 공공기관의 정보보안을 책임지고 있는 국가정보자원관리원, 과학기술 분야 연구·공공기관의 정보보안 업무를 수행하는 한국과학기술정보연구원, 민간 의료기관의 정보보안을 맡고 있는 한국사회보장정보원 담당자와 인터뷰를 통해 AI 기술을 접목한보안관제와 보안위협에 대해 들어봤다.
=====================================================================
[인터뷰-1] 국가정보자원관리원 사이버안전과 고광선 과장
AI 보안관제, 공격 식별 트래픽·비정상 트래픽 분석에 AI 기술 적용
최종 사이버 공격 이벤트, 최대 30초 이내로 대응
▲ 국가정보자원관리원 사이버안전과 고광선 과장 [사진=국가정보자원관리원 제공]
국가정보자원관리원의 보안관제에 대한 소개 부탁드립니다.
국가정보자원관리원(이하 관리원)은 관리원에 입주한 중앙행정기관(이하 ‘입주기관’)의 정보시스템과 입주기관, 지방자치단체 및 공공기관 등이 이용하는 국가정보통신망(이하 ‘국통망’)의 안정적인 운영, 사이버위협에 대한 보안 업무 등을 수행합니다.
보안관제 업무는 국가통신망과 입주기관 정보시스템의 사이버위협에 대해 사람이 수행하는 인적 보안관제와 인공지능 기술을 활용한 AI 보안관제 두 가지로 병행해 수행하고 있습니다. 인적 보안관제의 경우 DDoS 대응장비, IDS, IPS, 방화벽 등 보안 장비를 통해 확인되는 보안위협 이벤트를 실시간으로 모니터링합니다. 모니터링에선 정상 여부 확인 후, 공격일 경우 공격 IP 차단 및 상황전파, 사고 정황 기록 등의 초동대응을 사람이 직접 처리해 업무를 수행하고 있습니다. 2023년 상반기 기준 대전·광주센터에서 근무하는 보안관제 인력은 총 42명이고, 4조 2교대로 보안관제 업무를 수행하고 있습니다.
AI 보안관제는 기존에 알려진 공격과 알려지지 않은 신·변종 위협에 대해 사람의 관여 없이 AI 모듈이 공격 여부를 판단합니다. 공격으로 판단될 때 보안 장비에서 해당 공격 IP가 차단될 수 있도록 보안규칙 자동 생성과 보안 장비에 실시간으로 반영해 사이버 공격을 대응하고 있습니다.
한 가지 인지해야 할 점은 AI 모듈 구축 후 운영에 사람의 관여가 전혀 필요 없지는 않습니다. 보안위협이 계속 동일한 형태로만 발생한다는 보장도 없고 디지털정부 서비스에 따라 지능화·다양화·고도화되기 때문에 AI 모듈을 지속 학습해줘야 하는데, 여기에는 전문인력이 필요합니다. 대전센터에선 총 9명이 근무하면서 AI 모듈에서의 실제 공격 여부의 식별 정확도 개선, 사이버 공격 대응 자동화 등의 업무를 수행하고 있습니다. 저희 관리원은 인적 보안관제를 보완하는 목적으로 AI 보안관제를 활용하고 있는데요. 향후 두 가지 보안관제 방식을 융합한 새로운 보안관제 모델을 구축·운영하고자 노력하고 있습니다.
보안관제에 AI 기술을 어떻게 접목 및 활용하고 있나요?
사이버 공격은 나날이 지능화·다양화·고도화되고 속도 또한 빠르게 진행되고 있습니다. 반면, 기존 인력 중심의 인적 보안관제에서는 신·변종 사이버 공격 대응이 미흡하고, 사이버 공격 속도에 보조를 맞춘 일관된 대응이 어렵습니다.
관리원에서는 신·변종 사이버 공격에 대한 대응, 사이버 공격 대응속도의 물리적인 한계를 극복하고자 인공지능 기반의 AI 보안관제를 구축했습니다. AI 기술이 적용된 영역은 ①네트워크를 통해 이미 공격으로 식별한 트래픽 ②정상 트래픽을 비정상으로 판단한 것에 대한 분석기술을 AI 모듈에 적용했습니다. 1일 기준으로 약 20억건의 트래픽(이벤트)이 처리되고 있습니다.
관리원의 AI 보안관제는 AI 모듈의 판단 결과에 따라 적응형 보안관리시스템(SOAR)을 통해 대응 절차가 진행되고 최종 사이버 공격으로 판단된 이벤트에 대해서는 최대 30초 이내로 대응할 수 있도록 운영되고 있습니다.
국가정보자원관리원만의 보안위협 대응 노하우는 무엇인가요?
다양한 정보 활용과 다수의 경험 축적입니다. 관리원은 한국인터넷진흥원(KISA), 사이버작전사령부 등 다양한 전문기관 및 유관기관과 사이버위협 정보를 공유하고 있습니다. 이를 통해 다양한 보안위협에 대한 사전예방 조치를 하고 있습니다. 또한, 입주기관과 모의훈련(DDoS, 해킹 등) 수행을 통해 관리원만의 사이버 공격 대응능력이 강화됐고, 다양한 공격 유형 대응으로 여러 경험이 축적되었습니다.
국가정보자원관리원의 최근 고민은 무엇인가요?
국가정보자원관리원은 △AI 보안관제와 관련한 보안이슈 △지능화·다양화·고도화된 사이버위협 대응에 대한 이슈 △AI 보안관제 운영 시 발생하는이슈 등을 고민하고 있습니다.
구체적으론 첫째, 챗GPT 등 인공지능 기술이 접목된 사이버 공격이 급속히 증가할 것으로 예상됩니다. 현재도 DDoS 공격이 빈번히 발생하고 있어요. 게다가 새로운 기술이 접목돼 사이버 공격은 다양화·고도화·대형화되고 있습니다. 디지털정부 서비스를 안정적으로 운영할 수 있도록 AI 보안관제의 능력 고도화가 필요합니다. 이는 사이버 공격 여부를 판단하는 AI 모듈의 버전업을 의미합니다. 지금의 AI 모듈은 2017년도에 실시한 기본 설계를 바탕으로 구성되어있는데요. 이후 지속 발전한 SW 기술 및 HW 사양을 토대로 더 업그레이드해야 합니다.
둘째, 사이버 공격 대응 정보, 입주기관의 디지털 정부 서비스가 확장됨에 따라 AI 보안관제에서 학습하고 처리하는 정보의 규모 또한 늘어날 수밖에 없습니다. 이에 대해 AI 모듈이 신속히 처리할 수 있도록 인프라를 계속 확장하고, 전문인력과 예산 투입이 지속돼야 합니다.
셋째, AI 모듈의 사이버 공격 여부를 판단하는 정확성을 일정수준 이상으로 지속 유지 시켜야 합니다. 챗GPT도 정확한 정보를 제공하지 못하거든요. AI 보안관제가 처리하는 식별 정확도가 99% 이상 보장되지 못한다면, 이는 오히려 AI 보안관제의 필요성이 부정되는 상황이 될 수 있습니다. 따라서 제한된 전문인력과 예산 범위 내에서 지속적인 학습을 통해 AI 보안관제의 식별 정확도를 높이는 작업을 해야 합니다.
국가정보자원관리원은 보안관제 고도화를 위해 어떤 노력을 하고 있나요?
2021년 AI 보안관제 기본 체계가 완성되어 기존의 인적 보안 관제와 병행해 운영하고 있습니다. 향후 인적 보안관제가 처리하던 정보를 AI 보안관제에서 중점 처리하는 방식으로 상호 융합하는 작업을 추진하고 있습니다. 또한, AI 보안관제에서 챗GPT 등 인공지능 기술이 활용된 신·변종유형의 사이버 공격을 식별하고 대응할 수 있는 AI 모듈의 식별 정확도 향상을 위한 알고리즘 개발이 필요합니다.
대구·공주 센터 설립으로 4개 센터(대전·광주·대구·공주) 체제로 확대돼 학습데이터, 보안장비 추가 연계 등 업무 범위가 대폭 증가할 것입니다. AI 보안관제의 인프라 확충 등 인적· 물적 자원 확보를 위해 다방면으로 노력을 기울이는 중입니다.
======================================================================
[인터뷰-2] 한국과학기술정보연구원 과학기술보안연구센터 송중석 센터장
‘보안관제 전용 AI 모델’ 자체 개발·적용
사이버 공격 기반 ‘고품질 보안관제 전용 AI 데이터셋’ 구축·활용
▲ 한국과학기술정보연구원 과학기술보안연구센터 송중석 센터장 [사진=한국과학기술정보연구원 제공]
한국과학기술정보연구원의 보안관제에 대한 소개 부탁드립니다.
한국과학기술정보연구원(KISTI)은 1989년 인터넷 침해사고 대응팀(CERT-KR) 관련 협의체인 보안워크샵(NETSEC-KR) 개최를 시작으로 1996년 한국정보보호진흥원(현 한국인터넷진흥원) 설립시 관련업무를 이관했습니다.
2003년 1월 25일, 2004년 3월 20일 발생한 대규모 네트워크 마비사건을 계기로 공공부문 정보보호를 위해 2005년 KISTI의 과학기술정보보호센터가 개소했습니다. 과학기술정보보호센터 명칭은 2010년 과학기술사이버안전센터로 변경됐고, 개소 이후 지금까지 약 18년 동안 61개의 과학기술 분야 연구·공공기관을 대상으로 정보보호 컨트롤타워 역할을 수행하고 있습니다.
현재 KISTI의 보안관제 인력은 총 38명이 근무하고 있습니다. 주요 업무로는 차세대 보안관제 및 침해대응 원천기술 연구·개발, 사이버 공격 실시간 보안관제, 침해사고 발생 시 원인분석, 피해복구 및 재발방지 대책 등 침해대응, 정보시스템 보안취약점 점검·분석, 사이버 위기대응 모의훈련 등 침해 예방 활동을 중점적으로 수행하고 있습니다.
AI 보안관제가 필요한 이유는 무엇인가요?
현재, 보안관제요원은 24시간 365일 해킹 공격에 대응하고 있는데요. 디지털화로 사이버 공격이 급증함에 따라 보안관제 요원이 모든 사이버 위협정보를 분석하는 것은 현실적으로 불가능합니다. 따라서, KISTI는 기존 인력 중심의 수동분석 한계를 극복하는 자동분석 기반의 보안관제 패러다임 전환을 위해, AI 기반의 보안관제 자동화 체계 구축을 추진하고 있습니다. 이를 통해 대규모 사이버 공격 정보에 대한 자동분석 대응 역량을 확보해 보안관제 신속도·정확도를 높이고 보안관제 전문요원 업무를 경감해 신·변종 사이버 공격 대응을 강화할 수 있습니다.
한국과학기술정보연구원의 최근 보안이슈는 무엇인가요?
KISTI가 보안관제 과정에서 체감하는 보안이슈는 암호화 통신 트래픽의 증가 문제입니다. 현재 보안관제는 평문 통신 트래픽에 대해 정형화된 탐지규칙으로 매핑된 사이버 위협정보를 수집·분석하는 방식입니다. 암호화 통신 트래픽에 대해서는 적용이 불가능한 상황으로 이에 대 한 해결 방안 마련이 시급합니다.
보안관제에 AI 기술을 어떻게 접목해 활용하고 있나요?
KISTI는 과학기술사이버안전센터를 통해 확보한 대규모 사이버 공격 실데이터를 기반으로 ‘고품질 보안관제 전용 AI 데이터셋’을 구축하고 이를 활용한 ‘보안관제 전용 AI 모델’을 자체 개발해 적용했습니다. AI 모델은 공격 유형별로 침해위협 탐지 모델을 생성한 후, 실제 보안관제 환경에서 검증·평가 단계를 거쳐 탐지 정확도가 가장 뛰어난 고성능 AI 모델만을 선별했습니다. 특히, 사고처리 빈도가 높은 상위공격 이벤트를 선정해 이를 보안관제에 적용하고 있습니다. 앞으로도 다양한 AI 모델생성 및 적용을 통해 보안관제 자동대응 범위를 확대해 보안관제 탐지 정확도와 대응 신속도를 더욱 향상시킬 계획입니다.
AI 보안관제 도입 이후 업무프로세스와 보안강화 역량에 어떤 변화가 있나요?
알려진 사이버 공격에 대해서는 AI가 자동분석·판별을 수행하고 보안관제 요원은 업무 경감을 통해 신·변종 공격 분석 역량 강화에 시간을 할애해 보안관제 신속도 및 정확도를 획기적으로 향상시킬 수 있었습니다. 향후에는 사이버 공격 요소에 대한 핵심적인 침해위협 특징을 추출하고 XAI 기법을 활용한 AI모델 정·오탐 근거분석 등의 연구개발을 수행해 신속한 보안관제 대응 역량을 확보할 계획입니다.
현재 보안관제의 어려운 점은 어떻게 극복해가고 있나요?
보안관제 과정에서 습득한 분석 노하우를 정형화해 시스템이 자동으로 분석할 수 있는 원천기술을 연구·개발해 통합보안정보분석시스템(SMARTer)에 탑재해 운영하고 있습니다. 이를 통해 처리 이력이 있는 유사한 사이버 위협정보는 자동으로 정탐과 오탐을 분석하고, 보안관제 요원들은 새로운 사이버 위협정보 분석에 집중하도록 문제를 극복해 나가고 있습니다.
앞으로 보안관제에 적용할 주목하고 있는 보안기술은 무엇인가요?
전통적인 유·무선 통신을 포함해 IoT, 5G 및 기간 통신망 등 초연결 기반 서비스·인프라의 통신환경이 평문에서 암호문으로 급변하고 있습니다. 암호화 통신을 악용해 탐지를 어렵게 하는 사례가 폭증하고 있습니다. 반면, 암호화 사이버 공격 대응을 위한 보안기술은 매우 미흡한 실정입니다.
KISTI는 암호화된 사이버 위협에 선제적 대응을 위한 부처 협력 사업을 2021년 제안한 바 있는데요. 해당 연구는 과학기술정보통신부, 국토교통부, 해양수산부 등 주요 부처가 참여하는 대규모 국가 R&D 사업으로 올해부터 오는 2027년까지 추진됩니다. KISTI는 다부처 공동연구사업 총괄 주관기관으로써 차세대 ICT 융합 분야, 스마트 교통, 스마트 선박 등 대국민 공공서비스·인프라의 사이버안전 확보를 위한 연구개발을 추진해 국가 사이버안보 역량을 강화할 것입니다.
====================================================================
[인터뷰-3] 한국사회보장정보원 의료정보보호센터 이성훈 센터장
SIEM과 외부 인텔리전스 데이터 연계, 분석기술 고도화
한국인터넷진흥원과 ‘사이버보안 AI 데이터셋 실증 연구’ 및 기술 개발
▲ 한국사회보장정보원 의료정보보호센터 이성훈 센터장 [사진=한국사회보장정보원 제공]
한국사회보장정보원 소개와 보안관제 주요 업무는 무엇인가요?
한국사회보장정보원은 지난 2009년 ‘사회보장급여의 이용·제공 및 수급권자 발굴에 관한 법률’에 근거해 설립됐습니다. 그중 의료정보보호센터(이하 센터)는 한국사회보장정보원 클라우드 운영본부 소속으로 2018년 11월부터 ‘의료법’ 제3조(의료기관), 제52조(의료기관단체 설립)에 따라 의료기관을 대상으로 회원 참가 신청을 받아 보안관제 서비스를 제공하고 있습니다. 여러 기관에서 수집한 사이버 위해 정보를 분석·공유하고 의료기관을 노린 사이버 공격에 선제적 대응을 위한 공동 대응체계를 운영하고 있습니다.
2019년 8월 진료 정보유출 등의 사고 발생 시 보건복지부 장관에게 즉시 통지하도록 ‘의료법’이 개정되었는데요. 센터는 침해사고 발생 시 사고접수, 침해사고 대응 및 복구지원, 보안 교육·훈련 등의 업무를 수행하고 있습니다.
센터의 보안 인력은 총 14명으로 보안관제 8명, 분석 2명, 침해대응 4명으로 구성돼 있습니다. 보안관제는 4조로 구성해 2교대로 상시(24시간×365일) 모니터링을 수행, 분석담당자는 위협탐지를 위해 정책(Rule)을 개발하는 보안이벤트 분석업무를, 사이버침해대응 조직은 침해사고 발생 시 사고접수, 침해사고 대응 및 복구지원, 보안 교육 등을 맡고 있습니다.
최근 한국사회보장정보원이 가장 주목하는 보안위협은 무엇인가요?
의료기관은 보건의료 패러다임 변화와 함께 여러 보안위협에 직면해 있습니다. 해커는 환자의 의료정보 및 의료정보시스템을 노리는데요. 취약점을 이용해 악성코드를 실행한 후 랜섬웨어 감염을 통해 의료정보를 암호화하고 의료정보시스템을 이용할 수 없게 만들어 금전을 요구합니다. 또 환자의 의료정보를 유출해 환자와 의료기관을 협박하는 사례도 발생하고 있습니다.
보안관제에 AI 기술 활용은 어떻게 하고 있나요?
AI 보안관제를 완성하기 위해서는 오케스트레이션 및 자동화 대응이 필수입니다. 다양한 위협정보 및 이벤트를 수집하는 SIEM과 공격에 대한 단계를 예측하고 분석하는 머신러닝, 분석 결과에 대응할 수 있는 자동화 대응(SOAR)이 조화를 이뤄야 완성될 수 있습니다.
현재 의료정보보호센터는 SIEM과 외부 인텔리전스 데이터를 연계해 보안관제에 적용하고 분석 기술을 고도화하는 중입니다. 또한, 한국인터넷진흥원과 협업해 ‘사이버보안 AI 데이터셋 실증 연구’ 및 기술 개발에 동참하고 있습니다. 센터는 향후 데이터 분석 기술과 양질의 데이터가 축적되면 분석을 담당할 ML까지 도입할 계획입니다.
보안관제에 있어 어려운 점은 무엇인가요?
의료기관의 보안관제 어려움은 크게 두 가지로 첫째, 보안관제 서비스를 받기 위한 초기진입 장벽이 높다는 점입니다. 보안관제 서비스에 필요한 장비 도입을 위한 예산(기관당 초기 구축비 평균 7천만 원 수준)이 필요한데요. 센터에서 탐지한 위협상황을 전달하면 처리할 수 있는 정보보안 전담 인력이 있어야 하나 의료기관에서는 인력 확보가 어렵습니다.
둘째, 의료기관이 조직에 정보보안 및 사이버보안 정책을 마련하고 실천할 수 있는 기준이 없습니다. 금융 분야는 ‘전자금융감독규정’(금융위원회 고시)을 마련해 금융 기관의 정보기술 부문 안정성 확보 등을 위해 필요한 사항을 규정해 금융 기관들이 따르도록 법제화하고 있습니다. 공공 의료분야는 국가사이버안보 체계를 기본으로 관련 규정을 준수하도록 법제화되어 있습니다. 하지만 민간 의료분야는 아니예요. 진료정보 및 의료정보시스템의 안정성 확보 등의 법·제도 기준이 명확하지 않기 때문이죠. 법·제도 개선의 효과가 의료기관의 기대에 미치도록 센터의 노력이 필요합니다.
챗GPT가 요즘 화두인데요. 이에 대한 보안위협 대응은 어떻게 준비하고 있나요?
챗GPT의 가장 큰 우려는 ‘진짜와 가짜를 구별하기 어렵다’는 것입니다. 생산형 AI는 진짜 사람이 만든 것처럼 그럴싸하게 설명하고 결과값의 근거(출처)도 부정확하거나 조작되었을 가능성을 배제하기 어렵습니다.
보안 전문가들은 인터넷 위협 중에 이메일을 통한 위협에 대응하는데 많은 시간과 노력을 투자하고 있습니다. 해커가 가짜 이메일을 만들어 악의적 공격 목적으로 활용하는 주요 수단이기 때문입니다. 챗GPT를 활용하면 가짜 이메일을 진짜 이메일인 것처럼 꾸미는데 한층 쉬워질 것이고 보안 전문가들은 이를 구별하는 데 어려움을 겪을 것입니다. 이로 인한 피해는 폭발적으로 증가할 것입니다.
다른 우려 사항으로는 생산형 AI의 특성상 데이터를 챗GPT에게 보내야 한다는 점입니다. 조직의 중요 데이터나 민감 정보를 그대로 보내게 되면 정보유출에 무방비로 직면하게 될 수 있습니다. 이 외에도 멀웨어를 소스코드 작성에 악용할 수 있다는 점입니다. 다크웹에 공유된 챗GPT를 활용한 악의적인 공격 수단들이 널리 퍼진다면 보안 전문가들의 노력보다 사이버 공격자들의 공격 속도가 비교할 수 없을 만큼 빨라질 것입니다. 인공지능 기술 개발 및 활용에 관한 관련된 법·제도를 정비하고 개발자와 이용자의 윤리적 양심을 찾도록 노력해야 합니다.
=========================================================================
[설문조사] AI 보안관제 인식 및 선택기준
보안관제, ‘방화벽’ 75% 사용… ‘실시간 탐지 및 신속한 대응 불가’ 어려운 점
본지는 보안관제를 위해 사용하는 보안 솔루션을 알아보기 위해 기관·기업의 보안담당자를 대상으로 지난 6월 14~18일까지 ‘AI 보안관제 인식 및 선택기준에 대한 설문조사’를 실시했다. ‘보안관제 업무를 위해 가장 많이 사용하는 보안 장비·솔루션’으론 방화벽(75%)이 1위를 차지했다. 2위 VPN 60.8%, 3위 IPS·IDS 53.9%, DDoS 38.4%, NAC 37.9%, 네트워크 보안 스위치 28%, APT 대응 시스템 26.7%, SIEM 21.1%, EDR 18.5% 순으로 집계됐다.
관제영역에 포함해야 할 ‘업무에 활용하는 모바일 기기 관리 여부’에 대해서는 39.5%가 ‘관리 안 함’으로 답해 단말기가 제대로 관리되지 않고 있는 것으로 조사됐다. 이어 34.3%가 ‘DRM, MDM, EDR, AV 등 보안 솔루션을 사용한다’고 응답했고, 16.7%가 ‘기기 반입 통제 및 보안스티커를 사용한다’고 대답했다.
‘보안관제 시스템 운영에 있어 어려운 점’으론 ‘실시간 탐지 및 신속한 대응 불가’(33%)를 꼽았다. 이어 ‘지능화 및 알려지지 않은 공격’(21.9%), ‘높은 수동 분석 의존도’(16.7%), ‘미탐·과탐·오탐 등 수집 및 분석된 데이터의 정합성’(11.2%), ‘침입탐지 및 대응을 위한 내부 정책 수립’(10.3%) 순으로 응답했다.
‘기존 보안관제 시스템에 AI 기술 적용시 기대되는 효과’에 대해선 ‘자동화 적용에 따른 효율성 증가로 보안 인력 해소’(23.6%)를 가장 많이 꼽았다. 이어 ‘고도화·지능화·알려지지 않은 보안위협 탐지 및 대응’(17.2%), ‘미탐·오탐·과탐은 줄고 정확도가 높아진 탐지율’(15.9%), ‘효율적인 데이터 분석업무’(15%) 순으로 답변했다.
========================================================================
AI 보안관제 솔루션 특장점
보안 기업에선 AI 기술을 적용해 DLP, EDR, NDR, SIEM, SOAR, TMS, XDR 등 모바일·IoT에 특화된 솔루션부터 통합 이상징후 시스템, 플랫폼, 서비스까지 다양하게 개발하고 있다. 이상 징후 감지, 네트워크 트래픽 분석, 보안 이벤트 로그 분석, 악성코드 탐지와 분석 등 실시간으로 사이버 위협을 찾아내고 대응하는 기능을 선보인다. 이에 국내 대표적인 보안관제 솔루션에 대해 살펴봤다.
이글루코퍼레이션, ‘생성형 AI’ 접목해 AI 사업 포트폴리오 확대
이글루코퍼레이션은 기존에 확보한 AI 기반 탐지 기술과 XAI 기술에 기존 콘텐츠에 대한 학습을 토대로 새로운 콘텐츠를 만들어내는 ‘생성형 AI(Generative AI)’ 기능을 접목했다. 이를 통해 AI 사업 포트폴리오를 확대할 계획이다. 이러한 전략의 일환으로 지난 3월 이글루코퍼레이션은 AI가 판단한 공격 결과에 대한 신뢰성과 이해도를 높이는 ‘이글루XAI(IGLOOXAI)’(가칭) 서비스를 개발 완료했다.
‘이글루XAI’는 특정 보안 데이터에 대해 AI 모델이 판단한 근거를 알려주는 온라인 서비스다. 사용자는 AI 탐지모델이 예측한 결과와 이 예측에 영향을 미친 공격 특징(Feature)의 중요도, 챗GPT를 통한 자연어 형태의 설명을 비교 확인해 AI 답변에 대한 이해도를 높이고 신뢰도를 평가할 수 있다.
이글루코퍼레이션은 고유의 프롬프트 엔지니어링(Prompt Engineering) 기술 적용을 통해, 생성형 AI가 내놓는 답변의 정확성을 높이고 있다. 검색어에 따라 검색 결과가 달라지듯이, 똑같은 페이로드(Payload)를 입력했어도 이글루XAI를 통해 사용자가 보다 잘 이해할 수 있는 답변을 얻을 수 있다. 또한, 중요 정보에 대한 비식별화 과정(변환 또는 삭제)을 거친 프롬프트 제작 등의 여러 보안조치를 통해 민감한 데이터가 외부로 노출되는 것을 방지한다.
윈스, AI 통합보안관제 시스템과 CTI서비스 연계로 위협 대응
윈스는 보안관제 시스템 제조사로써의 강점을 바탕으로 신규 위협 및 취약점에 보안패턴 즉시 적용과 정확한 분석을 통해 자체 제작 룰에 의한 위협탐지 대응이 가능하다. 방화벽과 IPS에 탐지룰을 등록하고 즉각 방어할 수 있게 기능을 제공한다.
분산된 여러 보안 장비에 정확하게 룰을 자동 배포할 수 있다. 또한 AI 통합 보안관제 시스템과 CTI서비스인 SecureCAST와 연계해 위협을 신속하게 판단하고 예방하며 전문가 프로파일 자동생성을 통해 신·변종 위협 공격에 대응할 수 있다.
이외에 윈스는 ‘사이버안보강화 패키지’로 보안 동향에 대한 리포트, 정보보안 인텔리전스, 인식제고를 위한 모의훈련 시나리오, 해킹메일, DDoS 모의훈련, 보안자문서비스를 추가로 제공해 보안 조직이 체계적인 보안 역량을 갖출 수 있도록 지원하고 있다.
LG CNS, AI에 의한 중요위협 자동식별
LG CNS의 ‘SecuXper AI’는 모델 정확도 95%를 보장해 보안 장비 대비 과·오탐을 90% 이상 개선할 수 있다고 자부하고 있다. Fine-Tuning 지원, AI에 의한 중요위협 자동식별로 다양한 로그를 중요위협과 유출행위를 자동으로 식별해 제공한다.
AI 기반의 탐지 시나리오로 패턴대비 80% 높은 정확도로 이상 징후를 탐지한다. 정보유출 사전탐지를 위해 NLP를 활용해 패킷 내 민감 정보가 존재하는지 판별이 가능하다.
‘SecuXper AI’ 솔루션의 주요기능은 △보안에 특화된 데이터를 이용한 모델 확보 및 서비스제공 △모니터링을 위한 웹 기반 대시보드 제공 △라벨링 자동화와 챗GPT를 활용한 라벨링서비스 제공 △생성형 AI 패킷 식별 및 프록시가 패킷을 필터링한다.
시큐리온, ‘AI 탐지 기술’ 특화 모바일 위협 실시간 관제
기업의 관제 인력은 한정돼 있다. 따라서 모바일 보안 관제 추가로 인해 늘어나는 업무 복잡도를 최소화하는 게 현실적으로 매우 중요하다. 시큐리온은 모바일 관제 측면에서 기존에 구축된 PC 보안 솔루션이나 모바일 보안 솔루션과 효율적으로 연동할 수 있는 기능과 인터페이스를 제공한다.
시큐리온의 AI 탐지 시스템은 AV-TEST 20회 이상 인증, AV-Comparatives 연속 인증 등으로 글로벌 보안 기업들과 비교해도 우수한 성능을 보여준다. 객관적으로 높은 탐지율을 증명하고, 이를 지속적으로 유지해 AI 탐지 기술의 안정성을 확보했다. 패턴 기반의 안티바이러스가 아닌 AI 기반의 모바일 안티바이러스 솔루션으로 글로벌 평가를 통해 솔루션의 우수성을 인정받았다. AI 탐지 기술은 수동으로 패턴을 분석하고 탐지율을 유지하는 기업에 비해 훨씬 적은 인력으로 우수한 탐지 대응 능력을 확보할 수 있다. ‘OnTrust TMS’는 이러한 AI 악성 앱 탐지 시스템과 OS 해킹 탐지 기술을 기반으로 모바일 위협에 대한 실시간 관제 기능을 구현한다.
제이슨, 통합 이상징후 관제로 ‘AI 정밀탐지·분석·대응’
AI 보안관제는 무엇보다 ‘AI 정밀탐지’ 기능이 가장 중요하다. 다양한 ‘침해공격 패턴’과 ‘정보 유출 행위’를 기계학습하고 유연하게 탐지함과 동시에, 과거 행위대비 다른 공격탐지 패턴과 유출 행위 등을 포괄해 탐지할 수 있는 ‘인공지능 정밀탐지’ 기능이 필요하다.
제이슨의 AI 보안관제 솔루션 ‘JMachine’은 ‘AI 정밀탐지’ 기능 뿐만 아니라 AI 자동분석, AI 자동대응까지 인공지능 기술을 관제업무 프로세스 전반에 적용해 포괄적으로 활용한 게 특징이다. AI 정밀탐지는 임직원의 직무변화 등을 AI 기계학습을 통해 가변적 임계치를 자동 생성하고 탐지한다.
AI 자동분석은 위협의 종류를 자동으로 분석하고 ‘전용 분석화면’을 자동으로 구성하는 ‘이벤트 대응 애널라이저’ 기능을 제공한다. AI 자동대응은 발생한 대량 이벤트를 AI가 자동으로 대응 처리한다. 또한 인공지능, 빅데이터 기술을 적극 활용해 Log(통합로그관리), SIEM(보안관제), UEBA(내부자 정보유출), Privacy(개인정보 오남용), XDR(확장된 탐지 및 대응) 등 총 5종의 보안시스템을 하나의 솔루션으로 제공한다.
이테크시스템, 위협 인텔리전스 네트워크로 자동위협 자동분류
DLP 솔루션인 ‘Symantec Proxy’와 ‘Data Loss Prevention’은 기업의 네트워크와 데이터를 감시·분석해 민감한 정보가 무단으로 외부에 유출되는 것을 막는 솔루션이다. 사용자들이 인터넷을 사용할 때 트래픽을 모니터링하고 제어해 악성 웹사이트, 해킹 시도, 악성 코드 등을 차단하고 기업 네트워크의 보안을 강화한다.
기업의 인프라가 클라우드로 이동함에 따라, 클라우드 환경의 보안 요구에 부합하는 기능을 통해 클라우드 데이터 보호를 강화하고 있다. AI와 머신러닝 기술을 활용해 악성 행위 및 침입 시도, 데이터 유출을 탐지·차단하고 예방하는 능력을 향상시켜 준다. 또한, 외부에서의 공격뿐만 아니라 챗GPT 등과 같이 내부에서의 데이터 유출 위험도 주목하고 있다. 내부위협 감지 기능은 직원들의 부정한 행동 또는 실수로 인한 데이터 유출을 식별하고 대응한다.
이테크시스템은 온프레미스와 클라우드를 아우르는 통합 보안 솔루션을 제공한다. 따라서 어떠한 환경에서도 단일 벤더 솔루션으로 보안 구축이 가능하다. 특히, 전 세계에서 모니터링되는 300,000개의 기업 및 조직을 포함하는 위협 인텔리전스 네트워크로 보안위협을 자동분류하고 정책 제어가 가능하다.
▲시큐리온, 모바일·IoT 보안 특화한 AI 탐지 ‘OnTrust(온트러스트)’[이미지=시큐리온 제공]
[AI 보안관제 대표 솔루션 집중분석-1]
시큐리온, AI 탐지 시스템 ‘CVS’ 글로벌 인증 획득
OnTrust, 모바일·IoT 보안 특화해 AI 탐지·관제로 보안위협 대응
모바일 기기의 업무 활용도는 점점 증가하고 있다. 그러나 PC보안 시스템과 대등한 수준으로 모바일 보안 관제 시스템을 정교하게 구축하고 있는 경우는 드물다. 게다가 코로나19 이후 원격근무 문화 확산에 따라 보안 공백을 노린 모바일 위협이 증가하고 있어 모바일 보안관제 솔루션에 대한 적극적인 검토가 필요하다.
검증된 AI 탐지 대응 및 OS 해킹 탐지 시스템
시큐리온의 ‘OnTrust(온트러스트)’ 솔루션에 적용된 AI 탐지 시스템 ‘CVS(Cross-Validation System)’는 AVTEST, AV-Comparatives 등 글로벌 인증을 획득했다. ‘CVS’ 탐지 시스템은 머신러닝 검사와 평판 검사, 패턴 검사를 결합한 것으로 각종 평가에서 종합 탐지율 100%를 기록했다. 그러면서도, 탐지에 소요되는 리소스를 낮은 수준으로 유지한 게 특징이다.
특히 AI 탐지 기술의 특성상 신·변종 악성앱 탐지에 유리하다. ‘OnTrust’는 이러한 AI 탐지 시스템에 특허받은 OS 해킹 탐지 기술을 결합해 모바일·IoT 단말의 APP 영역과 OS 영역을 동시에 보호한다. 또한 기업 별로 특화된 수요에 대응하기 위해 실시간 탐지를 위한 ‘OnTrust Agent’ 외에도 원격관제 시스템 ‘OnTrust TMS’, 에이전트리스 방식의 신속검사 서비스 ‘OnTrust X-ray’, 해킹 단말 복구 장비 ‘OnTrust Dr’를 제공한다.
기존 보안 솔루션에 모바일 관제 결합 가능
‘OnTrust’는 기존에 PC 보안시스템 또는 MDM 등의 모바일 보안 솔루션을 도입해 사용하고 있는 경우 시스템과 결합해 사용할 수 있다. 기업의 보안관제 인력이 한정적인 상황에서 모바일 관제 시스템을 도입하는데 따른 부담을 최소화하고 효율적인 업무를 돕기 위함이다. 시큐리온은 고객사가 운용 중인 보안 솔루션과 위협 현황을 파악해 맞춤형 보안서비스를 제안함으로써 모바일·IoT 보안강화에 기여한다.
▲제이슨, All In One AI 이상징후 시스템 ‘JMachine’[이미지=제이슨 제공]
[AI 보안관제 대표 솔루션 집중분석-2]
제이슨, All In One AI 이상징후 시스템 ‘JMachine’
보안관제(SIEM), 내부정보유출(UEBA), 개인정보 오남용(PRIVACY), 통합 로그 관리(LOG)
기업은 AI 기술을 악용한 고도화된 해킹 공격과 회사 보안의 허점을 쉽게 우회하는 내부직원의 정보 유출 등 해킹 공격과 정보 유출에 직면해 있다. 이러한 해킹 공격에 대한 탐지 및 관리를 하기 위해서는 ‘빅데이터 기술’을 통한 넓은 데이터 분석 스펙트럼과 ‘인공지능 기술’을 통한 지능적인 정밀분석 체계가 절실하다. 또한 보안업무의 운영 효율성을 높이기 위해서는 AI 기술을 이용해 자동화해야 한다. 이를 위해서는 ‘AI 이상징후 탐지 시스템’의 도입이 필요하다.
‘빅데이터’와 ‘인공지능’ 기반의 All In One 통합 이상징후 시스템
제이슨의 AI 이상징후 탐지 시스템 ‘JMachine(제이머신)’은 인공지능(AI)과 빅데이터를 기반으로 해킹 공격과 정보 유출에 대한 AI 정밀탐지, 이벤트 자동분석 및 미래예측 등의 혁신적인 기능을 제공한다. 인공지능, 빅데이터 기술을 적극 활용해 보안관제(SIEM), 내부정보유출(UEBA), 개인정보 오남용(PRIVACY), 통합 로그 관리(LOG)등 총 4종의 보안시스템을 하나의 솔루션으로 통합 운영이 가능하다.
‘빅데이터’ 엔진은 모든 보안시스템의 로그 및 탐지 데이터를 수집·저장하고, 1년 이상 장기간 안정적인 보관, 고속 검색이 가능하다. 또한 장애 시 데이터를 자동복구 하거나 클러스터링 기술을 활용해 저장·검색에 따르는 성능 부하를 분산해 준다.
‘인공지능’ 기술은 AI Risk Scoring 기능으로 탐지 대상(IP주소, IT자산, 임직원 등) 위험을 자동 식별, 탐지 결과 자동분석, AI 자동대응 처리가 가능하다.
‘JMachine’ 이상징후 관제를 위한 3단계 프로세스
‘JMachine’은 해킹 공격, 정보 유출, 개인정보 오남용, IT 장애 등의 이상징후 탐지를 위한 대표 기능으로 AI 가변 임계치 탐지 기능이 탑재돼 있다. 임직원·IP별 차별화된 임계치를 자동 계산하고, 시간의 흐름에 따른 변화(직무변화, 직책변화) 등을 AI 기계학습을 통해, 가변적 임계치를 자동 생성하고 탐지한다.
분석기능으로는 ‘이벤트 대응 애널라이저’ 기능을 제공한다. 이는 위협의 종류마다 ‘전용 분석화면’을 자동 구성해 주는 기능이다. 빅데이터에 저장된 전체 보안시스템의 데이터와 통계정보 그리고 AI 분석정보를 한 화면에 담아 제공한다. 수많은 위협에 대한 직관적인 분석환경을 제공해, 신속 정확한 원인분석이 가능하다. 또 분석 품질을 상향 표준화할 수 있다.
‘전수 조사 자동화’ 기능은 AI가 기존에 학습했던 해킹 공격과 정보 유출 등의 이상행위를 전체 탐지대상(임직원 및 IP주소)에 대해 전수조사를 자동화하는 기능을 말한다. 유사하거나 동일한 이상행위를 AI의 학습된 판단 기준으로 전체 보안데이터를 자동 분석해 시간과 운영 효율성을 높여준다. 대량의 데이터 속에서 발견하지 못한 이상행위를 발본색원 해주는 중요한 기능 중 하나다.
‘대응’에 있어서는 발생한 대량 이벤트에 대해 AI가 자동으로 대응 처리할 수 있다. AI가 정보유출 당사자에게는 ‘소명’을 요청하거나, 여러 관제요원에게 발견된 해킹 공격을 공동 분석할 수 있도록 ‘조사Case’를 생성해 준다. 더욱이 AI가 직접 SOAR의 Playbook을 활성화해 자동조치를 제공한다. AI 자동대응 기능은 보안 전문가의 대응행위 자체를 AI가 지속 기계학습해 이벤트 대응 정확도를 상시 고도화할 수 있다는 점이 특징이다.
▲(위)Proxy+DLP로 차단된 ChatGPT 화면과 (아래)Symantec Enterprise Cloud의 챗GPT 정보 화면[이미지=이테크시스템 제공]
[AI 보안관제 대표 솔루션 집중분석-3]
챗GPT 정보유출, 시만텍 Proxy와 DLP로 원천 차단
생성형 AI 신기술이 가져온 보안위협, 세밀한 대응 가능한 유일한 단일 벤더
올해 초 Open AI가 개발한 쳇GPT와 Google의 ‘바드’는 대화형 인공지능 모델이다. 다양한 자연어 처리 작업을 수행해 AI 업계와 전 산업군에 충격을 주었다.
이러한 생성형 AI는 인터넷에서 수집한 다양한 대규모 텍스트 데이터를 기반으로 학습해 다양한 분야에서 영향력을 발휘하고 있다. 하지만 사용자가 질의하는 내용도 재학습해 입력한 개인정보나 민감한 정보가 다른 누군가의 질의에 대한 답변으로 활용될 수 있어 주의해야 한다.
실제로 지난 3월 S사는 사내 기밀정보가 챗GPT를 통해 유출되었다고 인정한 바 있다. 아마존, 소프트뱅크 등 여러 글로벌 기업들도 정보 유출에 대비해 챗GPT 사용을 금지하거나 제한하고 있다.
하지만 AI 시대가 열리는 오늘날, 단순히 막기만 한다고 해서 능사는 아니다. 생성형 AI의 가능성과 미래는 누구도 의심하지 않아 마냥 거부할 수만은 없는 노릇이다. 정보 유출은 원천적으로 막으면서 생성형 AI의 비전에 발맞춰 나아갈 수는 없을까?
단일 벤더 합동 솔루션으로 키워드 기반 정보 유출 차단
Symantec Edge Proxy와 Network DLP(Data Loss Prevention) 합동 솔루션이 최근 이러한 유출사고를 예방하기 위한 대책으로 기업 정보보호에 도움을 주고 있다. 챗GPT 유출 사고를 겪은 S사는 Symantec Edge Proxy로 네트워크 트래픽을 실시간으로 모니터링하고 연계된 Network DLP로 악성 파일이나 데이터 유출을 감지하고 차단한다. 챗GPT 사용자가 민감한 정보를 입력하면 Edge Proxy는 실시간 질의응답 트래픽을 복호화해 DLP로 전달하고, DLP는 등록된 정책과 키워드를 기반으로 민감 정보를 탐지해 즉각적인 조치를 취할 수 있다.
예를 들어 신용카드 정보나 기밀문서가 유출될 경우, DLP는 해당 정보를 차단하고 관리자에게 경고를 보내 사전에 사고를 방지할 수 있다. 이처럼 Symantec 보안 솔루션은 기업들에게 챗GPT와 같은 생성형 AI 모델을 사용하면서도 정보 유출 사고를 예방할 수 있는 강력한 보안 솔루션을 제공한다.
클라우드 환경에서는 ‘Symantec Enterprise Cloud’로 대응 가능
재택근무가 활발한 요즘 시대에도 걱정할 필요는 없다. ‘Symantec Enterprise Cloud’는 이러한 문제에 대응하기 위한 클라우드 보안 솔루션이다. 고객들에게 가시성을 확보하고 생성형 AI 사용에 데이터 보안을 제공한다. 챗GPT 뿐만 아니라 기업 내에서 사용되는 다양한 AI 앱에 대한 보안을 제공하며, 비인가된 서비스 등 특정 서비스를 통제할 수 있다. 또한, 민감한 콘텐츠 처리를 위해 Cloud DLP를 사용해 생성형 AI 도구의 쿼리를 검사하고, OCR을 사용해 이미지 생성형 AI 도구(예: DALL-E)에 업로드된 이미지를 검사해 민감한 데이터가 이미지에서 유실되지 않게 한다.
▲(위)이글루XAI(가칭) 사용 예시(설명가능한 AI)와 (아래)이글루XAI(가칭) 사용 예시(생성형 AI)[이미지=이글루코퍼레이션 제공]
[AI 보안관제 대표 솔루션 집중분석-4]
이글루코퍼레이션, ‘SPiDER TM AI Edition’과 ‘이글루XAI’로 보안관제 역량 강화
AI 악용한 보안위협, AI 보안으로 막는다
이글루코퍼레이션은 AI 기술이 내재화된 능동적 방어 체계 구축에 앞장서 온 대표 기업 중 하나다. 2015년 연구개발에 착수한 이래, AI 기반의 공격탐지 기술이 적용된 AI 보안관제 솔루션을 선보였다. 대규모의 사이버보안 AI 데이터셋 구축에 지속 참여하고 설명 가능한 AI와 생성형 AI 모델을 빠르게 도입하며, AI 예측 결과의 정확성과 신뢰성, 이해도를 높이는데 공들여왔다. 더 많은 보안조직이 AI의 혜택을 누릴 수 있도록 AI 보안 전략을 지속 강화하고 있다.
AI 보안관제 솔루션 ‘SPiDER TM AI Edition’, 효율성 ‘극대화’
이글루코퍼레이션은 2019년 초 보안관제 지능화를 구현할 수 있는 솔루션인 ‘스파이더 티엠 에이아이 에디션(SPiDER TM AI Edition)’을 선보였다. 정상·비정상 이벤트에 대한 지도 학습과 이상 행위·공격자 특성 등에 대한 비지도 학습을 거친 AI 알고리즘이 자체적인 판단 기준을 만들고 이를 토대로 새로운 위협에 대한 예측 결과를 내놓는 형태다. 인력의 역량 편차 문제를 해결하고 상향된 수준의 대응체계를 유지할 수 있게 된다.
이글루코퍼레이션은 AI 솔루션 구축과 함께 학습데이터 품질향상에도 심혈을 기울여 왔다. AI 알고리즘이 양질의 데이터를 학습해야 예측 결과의 수준도 높아질 수 있기 때문이다. 이글루코퍼레이션은 전담 조직운영을 통해, 원시데이터에서 학습데이터를 선별해 추출·분석·가공하는 전처리 및 학습 방향을 정하는 레이블링 작업 등을 수행하며 학습데이터의 품질을 지속 고도화하고 있다.
이글루코퍼레이션은 AI 예측 결과의 신뢰성을 높이는 ‘설명 가능한 AI(XAI, eXplainable AI)’ 기술 확보에 앞장서 왔다. AI 알고리즘이 특정 이벤트를 왜 고위험 이벤트로 판단했는지 이해할 수 있도록 AI가 내린 예측에 대한 근거를 제시하는 형태다. 보안 담당자는 ‘SPiDER TM AI Edition’에 적용된 XAI 기능 활용을 통해 AI가 의도한 목적에 따라 잘 학습되었는지를 판단하고, 조직의 기준에 맞지 않는 오탐 발생률을 낮출 수 있다.
챗GPT 연계, AI 보안서비스 ‘이글루XAI(IGLOOXAI)’ 개발 완료
이글루코퍼레이션은 기존 확보한 AI 기반탐지 기술 및 XAI 기술과 기존 콘텐츠에 대한 학습을 토대로 새로운 콘텐츠를 만들어내는 ‘생성형 AI(Generative AI)’ 기능을 접목하며, AI 사업 포트폴리오를 확대할 계획이다. 이러한 전략의 일환으로 올 3월 AI가 판단한 공격 결과에 대한 신뢰성과 이해도를 높이는 ‘이글루XAI(IGLOOXAI)’(가칭) 서비스를 개발 완료했다.
‘이글루XAI’는 특정 보안데이터에 대해 AI 모델이 판단한 근거를 알려주는 온라인 서비스다. 사용자들은 AI 탐지모델이 예측한 결과와 이 예측에 영향을 미친 공격 특징(Feature)의 중요도, 챗GPT를 통한 자연어 형태의 설명을 비교 확인함으로써, AI 답변에 대한 이해도를 높이고 신뢰도를 평가할 수 있다.
이글루코퍼레이션은 고유의 프롬프트 엔지니어링(Prompt Engineering) 기술 적용을 통해, 생성형 AI가 내놓는 답변의 정확성을 높이고 있다. 검색어에 따라 검색 결과가 달라지듯이, 똑같은 페이로드(Payload)를 입력했다고 할지라도 ‘이글루XAI’를 통해 사용자가 보다 잘 이해할 수 있는 답변을 얻을 수 있다. 또한 중요 정보에 대한 비식별화 과정(변환 또는 삭제)을 거친 프롬프트 제작 등의 여러 보안조치를 통해, 민감한 데이터가 외부로 노출되는 것을 방지한다.
이글루코퍼레이션은 10여개의 보안관제 사이트와 개인 사용자를 대상으로 순차적인 시범 서비스를 제공한다. 이를 통해 확인한 피드백을 토대로 서비스를 고도화해, 7월 중 일반 고객에게 서비스를 오픈할 계획이다. ‘스파이더 SOAR(SPiDER SOAR)’ 등의 자사 솔루션 연계시에는 플레이북(Playbook) 생성 효율성 및 강화 효과 등을 기대할 수 있다.
▲윈스, 설계부터 운영까지 클라우드 보안관제[이미지=윈스 제공]
[AI 보안관제 대표 솔루션 집중분석-5]
사이버 보안 전문기업 ‘윈스’
설계부터 운영까지 보안 내재화된 클라우드 보안관제
윈스의 클라우드 보안관제는 설계부터 운영까지 보안 내재화된 클라우드 환경구축 전문성과 고객 서비스 환경 특성을 고려한 맞춤형 인프라 구축 노하우를 가지고 있다. 국가 공공기관이 활용하는 민간 클라우드 영역에 대한 보안관제 수행 시 정부 보안관제 체계와 연계할 수 있는 기반을 요구하고 있다. 윈스의 클라우드 보안솔루션(PCRE-TMS)은 온프레미스에서처럼 클라우드 환경에서도 이를 완전하게 지원한다.
클라우드 매니지드 서비스, 구축·운영·관제 ‘Turn-key’ 수행
윈스의 클라우드는 뛰어난 성능, 최신의 기술, 안정성, 끊김없는 커뮤니케이션과 유연한 확장성 등 여러 장점을 기반으로 한다. 이 때문에 많은 기업 및 기관들이 윈스의 클라우드 보안관제를 선택하고 있다.
윈스는 클라우드 매니지드 서비스를 통해 구축·운영·관제를 ‘Turn-key’로 수행 가능한 역량을 보유하고 있다. 구축단계의 운영·관제 관점에서 필요한 부분을 사전협의 하에 구성할 수 있어 고객사 서비스의 흐름을 사전에 파악이 가능하고 이관에 대한 리스크를 적게 하는 것이 큰 장점이다.
이런 장점을 바탕으로 기업과 기관에서 발생된 주요 위협 관찰 특이사항에 대해 지속 모니터링한다. 고객과 협의된 이벤트에 대해서 탐지·차단을 설정하고, SNIPER BD1 AI+를 중심으로 서비스 운영 위협 관찰 특이사항을 관제센터에서 고객사에 통보한다. CTI 서비스인 ‘SecureCAST’와 연계해 클라우드 취약점 및 위협 이벤트의 경우 자동 정책이 업데이트 되고, 고객요청 탐지패턴 추출 및 등록 차단이 가능하다. 이외에도 Cloud 서버운영과 보안관제를 일원화해 보안 로그 및 서버 로그 상관분석을 통해 일차원적인 서비스 장애에 대한 원인분석에서부터 발생 공격에 대한 영향도를 파악하는 등 여러가지 시너지 효과를 낸다.
▲LG CNS, AI 보안 전문 솔루션 ‘SecuXper AI’[이미지=LG CNS 제공]
[AI 보안관제 대표 솔루션 집중분석-6]
LG CNS, AI 보안 전문 솔루션 ‘SecuXper AI’
BERT 기반의 딥러닝 모델 사용, 기업 내부자산 보호 효과 ‘극대화’
최근 외부 인터넷과 연결된 업무환경이 도입되면서 보안 시스템에서 생성된 로그들이 급증하고 있다. 하루에도 수십에서 수백 기가바이트의 데이터가 쌓여 소수의 보안 전문가들이 모든 트래픽을 직접 확인해가며 유출이나 공격 위협을 파악하기가 현실적으로 어려워졌다. 이러한 대용량의 데이터 처리의 어려움을 해결하기 위해 보안 기업은 다양한 분석 자동화 솔루션을 준비 및 판매하고, 많은 기업은 보안 자동화 솔루션 도입을 시도하고 있다.
분석 자동화 솔루션의 많은 기능 중 핵심 기능은 다양한 상황에 대한 탐지 자동화가 필수다. 자동화에 가장 필요한 기술이 AI이기 때문이다. AI의 도입으로 보안 전문가는 보다 효율적으로 보안위협을 탐지하고 대응할 수 있어 기업의 보안성을 높이는 데 큰 도움이 된다.
‘SecuXper AI’, 대용량 보안 데이터로 사전 학습된 AI 모델 제공
AI 보안 솔루션 ‘SecuXper AI’는 보안 탐지 자동화의 핵심 엔진과 두뇌 역할을 수행한다. ‘SecuXper AI’는 보안 전문가의 노하우를 AI 모델로 학습시켜 주요 판단 기능을 AI가 사람을 대신해 수행한다. 정보유출, 생성형 AI 필터링, 침해탐지, 개인정보 오남용 등 다양한 업무에 AI 모델이 탑재되어 있다. 또한, API 서비스로 제공되어 기존 SIEM에 통합될 수 있고, 자체적으로 제공하는 Dashboard와 함께 독자적인 서비스로 운영할 수 있어 기업의 보안성을 높이는 데 큰 도움이 된다.
‘SecuXper AI’는 보안에 특화된 AI 모델을 제공하는 솔루션이다. 네트워크 패킷을 모니터링해 부적절한 데이터를 차단하거나, 의심스러운 데이터를 담당자가 확인할 수 있게 정리한다. 또한 여러 보안 장비에서 수집한 보안 로그를 AI로 분석해 사후 분석에 사용할 수 있다.
기존의 유사 AI 기반의 통합관제 솔루션은 통계 기반의 머신러닝 알고리즘 위주였다. 하지만 이러한 알고리즘으로는 보안로그 텍스트 데이터의 문맥을 이해하고 판정하는 고차원적인 관점에서 적절하게 처리할 수 없는 문제점이 있다. 이러한 대안으로 등장한 게 바로 ‘SecuXper AI’다. ‘SecuXper AI’는 챗GPT와 같이 한국어에 특화된 자연어 처리(NLP, Natural Language Process)기술로부터 패킷 내 페이로드에서 업무 문서나 개인정보와 같은 민감 정보를 외부에 유출되기 전에 탐지하는 게 특징이다. 또한, 단순 포트 프로파일링을 넘어 패킷 흐름 분석과 IP 프로파일링으로 비정상 사용자 구분이 가능하다.
구독서비스 활용, 산업현장에서의 AI 성능 지속 보장
과거 데이터로 학습된 모델은 시간이 지나면서 구성원들의 업무환경과 외부환경 변화에 따라 모델의 성능이 하락한다. 기존의 보안 시스템은 관리자가 일일이 제조사로부터 업데이트 파일을 받아 장비의 탐지규칙 및 주요 패턴을 업데이트하는 방식으로 시스템을 사용했다. 또 각 현장의 보안장비 로그 및 이벤트 형태에 따라 모델 파라미터를 조정하기 위해서는 최적화 과정이 필요한데, 사전에 준비된 솔루션이 아닌 경우에는 적정 일정, 비용, 품질에 부합하기에 한계가 있다.
그러나 ‘SecuXper AI’는 내부에서 서비스 API를 호출하는 방식으로 동작해 구독 서비스를 이용할 경우 AI보안 전문가가 제공하는 최신 AI 모델을 빠르게 반영할 수 있다. API 기반의 AI 시스템은 현장에 데이터 패턴에 따라 미세조정(Fine-Tuning)이 손쉽게 가능하다.
‘SecuXper AI’는 고성능 GPU를 활용해 솔루션 내부에 BERT 기반의 딥러닝 모델을 사용하고 있다. 이는 보안 전문가의 두뇌 역할로 현장의 학습데이터를 기반으로 산업현장에 맞게 빠르게 최적화를 할 수 있다. 실제 데이터를 계속 학습해 지속 가능한 AI 성능을 보여줄 수 있다.
‘SecuXper AI’는 다수의 고객 레퍼런스를 확보하고 있으며, 앞으로도 지속적인 업그레이드와 개선을 통해 더욱 강력한 보안 솔루션으로 발전해 나갈 계획이다.
AI 기술, 보안 시스템의 효율성 극대화
AI 기술이 보안 장비의 매력적인 구매 포인트가 되고 있다. Fortinet이나 Palo Alto같은 네트워크 보안 장비 제조사도 머신러닝 알고리즘을 더한 차세대 방화벽(NGFW, Next-Generation Firewall) 장비를 생산하며 대부분의 네트워크 장비도 AI 기능을 탑재했다. 이러한 AI 활용 추세는 보안 분야에서도 낯설지 않다.
2023년 현재, 단순 규칙 기반 시스템에서 AI 시스템을 활용해 정보유출을 최소화하고, 내부자산 보호 효과를 극대화하는 방향으로 보안계의 패러다임이 변화하기 시작했다. 과거에는 단순히 규칙에 부합되는 것을 찾아 모든 판단을 사람에게 맡겼다.
하지만 앞으로는 AI가 판단해 단순 반복 작업을 줄이고, 보안 전문가들에게 필요한 정보만 추출해 업무 효율을 높여줄 수 있다. 이러한 추세는 보안 시스템의 성능 향상과 함께 기업의 보안성을 향상할 수 있어 큰 기대를 모으고 있다. 더불어 AI를 통한 탐지자동화는 사전에 충분한 운영 경험과 모델을 확보한 기업만이 상용 수준의 모델과 서비스를 제공할 수 있다. 이러한 점을 인지하고 고려해 기업은 적절한 AI 보안 솔루션을 선택하고, 보안 전문가들은 AI 기술을 습득해 보안 시스템의 효율성을 높이는 데 노력해야 할 것이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
