“보안관제서비스, AI 기반 MDR(매니지드 탐지·대응)로 진화”
“‘매니지드시큐리티서비스(MSS)’로 불리는 보안관제서비스가 인공지능(AI) 기술이 결합돼 매니지드 탐지·대응(MDR) 서비스로 바뀌고 있다.”
시스코코리아(대표 조범구)는 25일 고객들을 초청해 개최한 ‘시스코 시큐리티 서밋 2017’ 행사에서 ‘MDR’이라는 AI 기반 신개념 보안관제서비스를 선보였다. 서비스 명칭은 ‘시스코 ATA(Active Threat Analytic)’ 전문가 서비스다.
MDR은 최근 미국 등 해외에서 새롭게 주목받기 시작한 차세대 보안서비스다. 사이버위협이 지능화·대형화되고 사용하는 보안 솔루션 수는 많아지면서 인프라 복잡성은 증가돼 기업 조직에서 효율적이고 효과적으로 사이버위협과 침해를 탐지·대응하는데 한계가 노출하면서 그 대안으로 등장했다.
가트너는 오는 2020년까지 전체 기업·조직의 15%가 MDR 서비스를 이용하고 보안관제서비스업체(MSSP) 가운데 50%가 MDR 서비스를 제공하게 될 것이라며 현재의 보안관제서비스가 MDR로 진화할 것이란 전망을 내놓기도 했다.
이날 MDR로 변화되는 보안관제서비스 트렌드를 소개한 김용호 시스코 보안컨설턴트(부장)는 먼저 “보안정보·이벤트관리(SIEM) 솔루션 잘 사용하고 있나. 혹시 이를 관리하고 이벤트와 로그를 분석하기 위해 여전히 많은 시간을 들이며 또 다른 작업을 하고 있지 않는가”라는 질문을 던지면서, 현재의 보안관제시스템과 보안관제 환경에서 나타나는 한계를 지적했다.
“현재의 보안관제서비스는 다양한 보안시스템에서 올라오는 수많은 이벤트를 사람, 즉 관제요원이 직접 보고 중요한 이벤트를 걸러내 위협을 탐지하고 있다. 그러나 실제 침해여부를 확인하기 위해서는 직접 시스템을 확인해야 한다. 보안관제 요원이 이 시스템이 비즈니스에 얼마나 큰 영향을 미치는지 알지 못한다. 직접 접속해 침해사실을 확인할 권한도 없다. 해당 시스템 관리자나 보안관리자가 직접 확인하거나 조치할 수밖에 없다. 그러다보면 침해대응이 늦어지고 침해 가능성과 추측에 따라 알람과 가이드를 해줄수 밖에 없는 실정이다.”
MDR은 위협 인텔리전스와 빅데이터·AI 등 선진적인 탐지·분석 기술에 기반한 서비스라는 게 김 부장의 설명이다. “AI 기반 데이터 분석 플랫폼이 자동 분석한 정보를 기반으로 실제 ‘사건(incident)’을 걸러내고 대응 분석가 등 전문가들의 심층분석을 거쳐 확인된 결정적인 증거로 대응해 기존의 관제서비스와 차별화된다”고 강조했다.
시스코가 제공하는 MDR 서비스인 ATA는 DCAP(Data Collection and Analysis Platform)이란 머신러닝·딥러닝 기술을 활용하는 AI 기반 빅데이터 기반 플랫폼을 바탕으로 확보된 보안 인텔리전스와 전문가 서비스가 결합해 제공된다.
전세계 4만여명의 직원을 보유한 대기업인 시스코 내부 침해사고대응조직(C-CERT)에서 확보한 보안관제 기술력과 노하우를 집약해 만든 서비스다.
이 서비스는 기업 데이터센터 내에 설치된 ATA 센서에서 풀패킷을 캡처하고 모든 네트워크 플로우와 메타데이터를 추출해 증적을 확보하게 한다. 활용되는 텔레메트리는 ATA 센서 이벤트 외에도 사용하고 있는 방화벽 등 다양한 보안 솔루션과 SIEM 이벤트, 단말과 서버 로그 등이 모두 포함될 수 있고 클라우드 기반 위협 인텔리전스 정보도 결합될 수 있다.
머신러닝·딥러닝·빅데이터 분석 기술을 활용한 세 가지 ATA DCAP 분석 엔진인 확정적 룰 기반 분석(DRB), 통계적 룰 기반 분석(SRB), 데이터 과학 중심 분석(DSC) 엔진을 기반으로 1차 분석을 거친다. 이후 ATA 보안운영센터(SOC)에 있는 애널리스트(분석전문가)·인베스티게이터(조사전문가)·데이터과학자로 구성된 전문요원들의 분석을 거치게 된다.
김 부장은 “DCAP 엔진에서 자동 분석을 거쳐 주목해야 하는 사건만 확실한 증거를 기반으로 걸러내는데, 분석과 대응 과정은 모두 투명하게 기록된다”라며 “이같은 과정이 매우 민감하기 때문에 고객 데이터는 시스코 ATA SOC로 보내지 않고 고객사 센터 내에서 분석되며, 분석된 결과를 실시간 확인할 수 있도록 제공한다”고 설명했다.
ATA 서비스 효과로 김 부장은 “오탐지됐거나 불필요한 이벤트는 획기적으로 줄어들고 알려지지 않은 위협 탐지 수준은 높아지며 정확한 분석 결과를 바탕으로 사고 대응 범위를 최소화할 수 있다”고 제시했다.
김 부장은 ATA 서비스를 사용하고 있는 실제 고객 사례를 언급하면서 “2주간 26만9808건의 보안 이벤트가 발생했는데 위협 인텔리전스와 DCAP 자동분석과 전문가 분석을 거쳐 실제 위협과 사건으로 특정화돼 대응한 건수는 단 71건”이라며 “현재의 보안관제센터를 구축해 발전시키고 관제·분석요원을 양성하는데 오랜 시간을 들이는 것보다는 24시간 365일 제공되는 높은 수준의 ATA 전문가 서비스를 이용하는 것이 효과적”이라고 말했다.
시스코는 ATA 기반 MDR 보안관제서비스 외에도 보안전략컨설팅 등 자문(Advisory)서비스, 시스템 통합·구축·최적화 등을 제공하는 구축(Implementation) 서비스를 보안전문가 서비스로 제공하고 있다. 보안 솔루션 사업에 주력해온 시스코가 보안서비스 사업을 본격화한 것란 점에서 주목된다.
소스파이어, 오픈DNS, 클라우드락 등 몇 년간 보안 기업들을 공격적으로 인수하고 대대적인 투자를 벌이면서 보안사업을 핵심사업으로 육성하고 있는 시스코는 지난해 조범구 대표가 취임하면서 국내에서도 보안 사업 강화에 가속도를 붙이고 있다.
사이버보안 관련 정부기관들과 협력도 강화하고 있다. 행사가 열린 이날 시스코는 한국인터넷진흥원(KISA)과 보안위협과 침해사고 인텔리전스 정보 공유와 사이버침해사고 대응 공조를 위한 업무협약(MOU)을 체결하기도 했다.
‘시스코 시큐리티 서밋’ 행사에서는 시스코 보안 사업부문 최고기술책임자(CTO)인 브렛 하트만 부사장이 방한해 ‘디지털 경제 시대의 보안’을 주제로 강연했다. 시스코가 분석한 글로벌 최신 보안 동향을 포함해 위협 중심의 차세대 방화벽, 랜섬웨어 등 지능형 이메일 위협 차단, 네트워크 트래픽 분석을 통한 보안 모니터링, 클라우드 보안, 소프트웨어정의데이터센터 보안 방안 등도 선보였다.
시스코는 현재 엔드포인트, 네트워크, 클라우드 영역의 세 가지 핵심 플랫폼을 기반으로 ▲차세대방화벽·침입방지시스템(파이어파워) ▲지능형멀웨어보호(AMP) ▲네트워크 애널리틱스(스텔스워치) ▲시큐어인터넷게이트웨이(클라우드보안) ▲정책·접근제어(아이덴티티서비스엔진, ISE) ▲이메일·웹 보안 등의 보안 솔루션 제품군을 제공하고 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network