이글루시큐리티 ‘인공지능 보안관제시스템’ 어디까지 진척됐나

이글루시큐리티(대표 이득춘)는 국내 대표 보안관제 전문기업이다. 통합보안관리시스템(ESM)으로 국내 보안관제시스템 시장을 개척했고 보안관제서비스 시장에서 상당한 점유율을 확보·유지하고 있다.

올해 이글루시큐리티는 공공기관 최초로 AI를 접목한 대구시의 지능형 보안관제시스템(D-Security) 구축사업 총괄사업자를 맡아 눈길을 끌었다.

이글루시큐리티는 국산 ESM으로 잘나가던 2000년 후반, 글로벌 기업들이 보안정보이벤트관리시스템(SIEM)이란 이름으로 차별성을 부각하고 빅데이터 분석 플랫폼까지 보안에 적극 활용되면서 그동안 외산 솔루션과 치열한 경쟁을 벌여왔다.

지속적으로 성장가도를 달리며 매출 500억원을 돌파했지만, 지난 2013년과 2014년 매출이 침체되기도 했다. 국내 ESM 1위 기업이지만 글로벌 기업 대비 빅데이터 분석 요구 대응에 늦어 글로벌 기업들에 시장을 완전히 빼앗기는 것 아니냐는 평가도 나왔다.

하지만 이글루시큐리티는 빅데이터 분석 기술 뿐만 아니라 AI 기반 지능형 보안관제 기술 연구개발에 발 빠르게 나서 대구시 지능형 보안관제체계(D-Security) 사업을 따냈다는 평가가 나온다.

수많은 보안이벤트 분석 한계 AI로 해결, 실시간 위협 대응력 강화 목표

대구시의 AI 기반 사이버침해대응시스템 구축 사업인 ‘D-시큐리티’는 지난 7월부터 구축이 시작돼 내년 1월 완료할 예정이다.

사이버침해대응센터는 최근 폭발적으로 증가하는 로그와 이벤트 등의 위협정보를 처리하고 대응하는데 어려움이 있다. 기하급수적으로 증가하는 정보를 처리하고 분석하는데 너무 너무 많은 시간이 소요되기 때문이다.

하루에도 수천 수만건 발생하는 보안 이벤트 공격 흔적을 빠르게 찾아내기 위해서는 고차원의 정보 저장·분석 능력이 필수적으로 요구된다. 방대한 위협 정보를 학습에 기반해 공격을 탐지하고 예측하는 AI 기술은 효율적인 대응 전략을 수립하는 데 큰 힘을 발휘할 것으로 예상되고 있다.

대구시 역시 수많은 보안이벤트 처리 효율을 높이고 침해 탐지와 대응 시간을 단축할 수 있는 최적의 보안 환경을 조성하기 위해 보안관제시스템과 AI 시스템을 연계하는 ‘D-시큐리티’ 시스템을 구축하고 있다.

SIEM에 AI에 실시간 위협정보, 취약점 정보까지 연계

‘D-시큐리티’는 기존에 도입한 보안관제시스템(SIEM)에 더해 최신 위협 정보를 실시간으로 수집하는 ‘D-날리지센터(Knowledge Center)’를 새롭게 구축한다. 또한 취약점을 진단해 선제 대응할 수 있는 ‘보안 취약점 자동진단 시스템’을 반복학습으로 공격 패턴을 분석하는 머신러닝 기반의 AI 시스템과 상호 연계되는 형태로 구성한다.

이글루시큐리티는 먼저 SIEM과 상호 연계되는 머신러닝 알고리즘을 개발, 기능 검증을 실시했다. 데이터 입력부터 학습, 비정상데이터 분류, 분석, 피드백에 이르는 지속적인 반복학습을 수행하는 머신러닝 기반 AI 시스템도 개발하고 있다.

지도학습(Supervised Learning)에 의한 경보이벤트 사고처리를 자동화는 모듈(Incident Response Prediction)을 구축하고, 보안분석 전문가와 관제 인력의 피드백을 통해 모듈을 지속적으로 개선하는 것이 핵심이다.

아울러 알려지지 않은 위협을 탐지하기 위해 비지도학습(Unsupervised Learning) AI 알고리즘을 활용해 이상 탐지(Anomaly Detection), 시계열 분석(Time-Series Analysis) 모듈도 개발·적용하고 있다.

‘D-날리지센터’는 머신러닝 기반 AI 시스템과 연계하는 것은 물론, 글로벌 위협 정보 공개 사이트에서 최신 정보를 실시간으로 수집해 실시간 최신 위협정보를 정확히 반영해 향상된 위협 인텔리전스를 확보할 수 있도록 추진하고 있다.

‘보안 취약점 자동진단 시스템’은 대구시의 수 많은 IT 인프라 자원의 취약점을 자동으로 진단하고 취약점을 패치하는 역할을 수행한다.

최적의 학습 모델 선정, 여러 AI 알고리즘 활용해 효과 향상

이글루시큐리티는 작년부터 전문인력을 확충해 시계열 분석, 트래픽 분석 등 다양한 통계기법과 AI 알고리즘을 본격적으로 연구해 왔다.

기하급수적으로 증가하는 보안 데이터 분석의 정탐율을 높이고 진화하는 보안 위협에 대한 대응력을 한 단계 높일 수 있도록 통합보안관리 솔루션인 ‘스파이더 TM(SPiDER TM)’에 AI 알고리즘과 네트워크, 엔드포인트 관련기술이 더해진 플랫폼 기술 연구에 박차를 가하고 있다.

신윤섭 이글루시큐리티 연구기획팀 부장은 “AI 보안관제시스템 구축을 위해 빅데이터 수집 기술부터 양질의 데이터를 추출하고 분석해 최적의 학습 데이터를 만들었다. 그리고 최적의 알고리즘을 활용해 데이터 학습 모델을 만든다”라면서 “사고처리 예측과 이상행위를 탐지하게 하는 학습 기술과 함께 피드백 프로세스를 통해 모델을 점진적으로 개선, 최적의 학습 모델을 선정하기 위한 평가 기술을 적용했다”고 설명했다.

머신러닝 기반 비지도·지도 학습 알고리즘을 기존에 쌓인 수맣은 경보 데이터와 사고처리 내역에 적용해 오탐지·정상탐지 여부를 판단·예측하고, 이상행위로 판단되는 데이터를 수치화해 이를 우선순위에 따라 처리할 수 있는 가이드를 제시할 수 있도록 했다.

AI 알고리즘은 앙상블 기법을 적용, 효과적인 사고 처리 예측과 이상행위 탐지가 가능하도록 여러 개를 활용하고 있다.

보안전문가들이 데이터 생성·선별에 직접 참여

이 사업에는 이글루시큐리티의 보안전문가들이 직접 양질의 학습 데이터를 생성하고 선별하는데 참여하고 있다.

AI 기반 보안 기술이 아직 개발 초기단계인만큼, 머신러닝 기반 시스템이 의미 있는 결과물을 창출하기 위해서는 머신러닝 알고리즘에 적용하기 위한 학습 데이터를 선별하고, 원하는 결과를 얻기 위한 최적의 알고리즘을 선택·검증하는 것이 선결돼야 한다. 여기에 AI 시스템에 내놓은 결과에 대한 피드백을 줄 수 있는 전문가의 개입이 필수라는 게 이글루시큐리티의 얘기다.

보안전문가들은 악의적 행위, 공격자 특성 등이 담긴 학습 데이터를 선정해 머신러닝 알고리즘에 적용하고 AI 시스템이 예측한 결과에 대한 피드백을 다시 제공한다.

AI 시스템은 이를 기반으로 보다 정확한 예측을 내릴 수 있도록 학습모델을 발전시키고 이를 IT 자산·취약점·위협 정보 등과 연계함으로써, 보안 분석가가 정확한 판단을 좀 더 쉽고 빠르게 내릴 수 있게 지원한다.

관제요원이 사이버공격에 선제적으로 대응하고 주요 업무 및 대국민 서비스 중단을 최소화 할 수 있도록 기존 SIEM에서 경보 근거로 제시됐던 로그 소스, 발생 건수, 로그 데이터 등과 같은 다양한 데이터와 이상치 스코어, 자산 중요도, 취약점 스코어, 위협정보 스코어 등의 추가 정보를 제공해 종합적인 판단을 할 수 있는 화면도 제공한다.

보안업무 효율성 향상, 고도화된 보안위협 탐지·가시성 확보 기대

이번 구축으로 기대되는 가장 큰 기대효과는 보안 업무 효율성 향상이다.

매일 새롭게 생성되는 방대한 보안 이벤트 분석을 자동화할 수 있기 때문이다. 예를 들어, 기존 상태에서 약간의 변화만 있는 신·변종 악성코드의 경우 이전에는 보안 관리자가 일일이 보안 이벤트를 분석해 처리해야 했지만 데이터를 학습한 AI 시스템이 구축되면 단순 공격은 AI 시스템이 빠르게 분석해 자동 처리할 수 있게 된다.

보안 담당자는 AI 알고리즘을 통해 걸러진 핵심 정보만 집중 분석함으로써 고도화된 보안 위협 대응에 보다 집중하고 AI 알고리즘에 적용할 또 다른 학습 데이터를 생성하며, AI 시스템에 더 많은 피드백을 줄 수 있다.

더불어 장기간 축적된 보안 데이터를 AI 알고리즘을 통해 분석하게 되면 룰(정책)·시그니처 기반 시스템으로는 탐지하기 어려운 고도화된 보안위협도 더욱 빠르고 정확하게 탐지할 수 있게 될 것으로 예상된다.

공격자들이 장기간에 걸쳐 기업 내부 시스템들을 교묘히 옮겨 다니며 공격하는 만큼, 단기간 수집된 보안 데이터 분석만으로는 공격자의 행위를 정확하고 빠르게 탐지하기 어려웠던 것이 사실이다.

머신러닝 기반의 AI 알고리즘을 통해 보안 데이터뿐 아니라 관련된 방대한 정보를 신속하게 분석해 폭넓은 가시성을 확보하는데도 도움줄 수 있다.

이득춘 이글루시큐리티 대표는 “‘대구 AI 기반 지능형 보안관제 체계’ 사업은 대구시가 공공 기관 최초로 AI 기술 기반의 사이버침해대응시스템을 구축함은 물론, 산하기관과 기업에게까지 AI 자동 학습 및 보안 취약점 정보를 제공해 대구지역 정보 IT 인프라 보안성을 강화한다는 점에서 의미가 있다”며 “앞으로도 정보 인프라의 방어 능력을 강화할 수 있도록 AI 기반의 지능형 보안관제체계를 구축하는 데 노력을 다하겠다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network