SK인포섹 “AI 보안관제 시대 연다”…머신러닝 기반 위협 탐지 고도화
SK인포섹(대표 안희철)이 보안관제시스템에 머신러닝 기술을 적용하고, 이를 지속 고도화해 ‘인공지능(AI) 보안관제’ 시대를 열겠다고 선언했다.
AI 기술을 접목해 초당 15만건, 하루 10억건 이상의 보안로그·이벤트 등 보안관제센터에서 수집·분석하는 데이터 가운데 실제 위협을 가려내 보안수준 강화는 물론 보안업무 효율성을 높일 수 있도록 지원하겠다는 목표다.
AI는 전 산업에 걸쳐 활용이 확대되고 있다. 사이버보안업계에서도 AI를 활용한 보안 제품과 서비스가 출시되고 있는 추세다. 주로 네트워크에서 일어나는 비정상, 혹은 악성행위 탐지·차단, 제로데이(Zero-Day) 위협 등 신규 악성코드 분석 등에 활용되고 있다.
대부분 빅데이터 수준의 위협 정보를 학습하는 머신러닝 기술을 활용해 지능형 위협 분석 효율을 높이거나, 분석 결과를 보강하는데 쓰인다.
SK인포섹은 보유하고 있는 위협 정보, 소속 보안 전문가(CERT)의 분석 논리, 글로벌 보안기업과 공유하는 위협 인텔리전스 등 양질의 정보를 학습하는 머신러닝 분석 알고리즘을 개발했다. 이 알고리즘을 보안관제시스템인 ‘시큐디움(Secudium)’에 적용시켰다.
현재는 탐지된 로그와 이벤트를 재차 분석해 정탐과 오탐을 판정하는데 활용하고 있다.
‘시큐디움(Secudium)’은 국내외 2000여 곳, 8000대 이상의 보안시스템에서 탐지한 이상징후를 수집해 다양한 분석 규칙(Rule)을 통해 공격 여부를 판별하고 있다.
머신러닝 이용해 위협 정탐·오탐 자동 판정
보안관제는 기업의 각종 보안시스템에서 탐지한 이상징후를 한 곳으로 수집한 뒤, 분석해 공격 여부를 가려내고, 조치하는 것을 말한다.
‘탐지’ 단계에서는 실제 공격으로 판정되는 ‘정탐’과 이상징후이나 공격과 무관한 것으로 판정되는 ‘오탐’이 발생한다. SK인포섹은 머신러닝을 활용해 탐지 결과에 대한 효과 검증이 가능한 분야인 정탐과 오탐을 자동 판정하는 모델을 우선 적용했다.
그 결과 공격 여부를 판별하고 대응하는데 들어가는 노력과 시간을 단축했다는 게 SK인포섹의 설명이다.
12일 SK인포섹이 개최한 기자간담회에서 채영우 SK인포섹 소프트웨어개발센터장은 “머신러닝 적용 이전에는 탐지 결과를 재차 분석하고, 대응하는데 많은 리소스가 필요했다”라면서 “머신러닝을 적용한 뒤에는 그 건수가 70%나 줄었다”고 말했다.
또한 “그만큼 줄어든 리소스를 위협 가능성이 높은 탐지 이벤트 분석에 집중시킨 결과, 전체적으로 관제서비스 품질을 개선하는 효과를 얻었다”고 덧붙였다.
SK인포섹은 위협 여부 자동 판정 모델에 이어 미탐지되는 위협, 즉 알려지지 않은 지능형 위협 식별과 이상탐지 모델을 지속 연구해 내년 6월까지 보안관제서비스에 반영할 계획이다.
작년 초 SK인포섹은 서울대학교와 산학협력을 체결해 알려지지 않은 지능형 공격을 탐지 단계에서 찾아내는 머신러닝 알고리즘 개발에 나섰다. 지능형 공격이 증가하고, 다양한 시스템에서 수집되는 데이터가 날로 폭증하면서 위협을 정확하게 탐지하는 것이 점점 더 어려워지고 있기 때문이다.
채 센터장은 “인공지능이 실제 보안관제서비스에 적용되기 위해서는 효과성은 물론, 위협 탐지 결과에 대한 설명과 검증이 가능해야 한다”라면서 “탐지 단계에서 지능형 공격을 찾아내기 위한 머신러닝 적용 역시 앞으로 계속해서 연구 개발할 계획”이라고 말했다.
이어 “서울대와의 산학협력을 통해 축적한 기술과 앞으로 자동 판정 단계의 머신러닝을 통해 생산되는 데이터를 활용한다면 충분히 만들어 낼 수 있을 것”이라고 덧붙였다.
사람·프로세스·기술 고도화하는 중장기 전략 추진
SK인포섹은 인공지능 보안관제 시대를 열어가기 위해 중장기 전략을 계속 추진한다. 보안관제를 구성하는 사람(Expert), 프로세스(Process), 기술(Technology) 세 가지 요소를 고도화한다는 방침이다.
위협 분석은 위협 인텔리전스와 머신러닝으로 점차 대체하고, 그 일에 투입됐던 보안 전문가들은 학습할 데이터셋(Data Set)을 구축하는 고난이도 업무에 집중시킨다는 계획이다.
위협 정보를 수집하고, 탐지, 분석, 대응 과정에 이르는 관제 프로세스를 자동화시키기 위한 기술개발에도 힘쓴다.
이나 간담회에 참석한 도지헌 전략사업부문장은 “현재 단계에서는 글로벌 경쟁력을 갖추기 위해 인공지능을 활용해 위협 분석 효율을 높이고, 관제 범위를 확대하는데 집중하고 있다”면서 “정보 뿐만 아니라, 물리 영역까지 넘나드는 복합 위협이 현실화되고 있는 상황에서 사회와 산업을 보호하고, 기술을 선도하는 글로벌 보안회사로 거듭날 것”이라고 강조했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network