RSA CTO “15년 전부터 AI·ML 사용해 효과 입증…‘위협’에 목매지 말라”
“RSA는 인공지능(AI), 머신러닝(ML) 기술을 지난 2005년부터 사기 방지 제품에 적용하면서 가장 먼저 활용해온 기업이다. 이후 차세대 보안정보이벤트관리(SIEM), 리스크관리 플랫폼 등 모든 제품군에 선도적으로 적용, 실제 수많은 은행·기업 환경에서 사용해 효과를 입증하고 있다.”
사이버보안 분야에서 최근 AI와 ML 기술은 활발히 적용되고 있다. 줄피카 람잔(Zulfikar Ramzan) RSA 최고기술책임자(CTO)는 기업에서 나타나는 문제를 해결하기 위해 이들 기술을 15년 전부터 사용해왔다고 밝혔다. 보안 분야에 AI, ML 기술은 최근에 사용하기 시작한 새로운 기술이 아니라는 의미다.
중요한 것은 방법이 아니라 ‘문제 해결’
람잔 CTO는 “AI, ML 기술을 오래 전부터 사용해왔지만 우리는 ‘문제를 해결’하는 것에 관심을 가졌지 ‘해결 방법’이 중요하다고 생각하지 않았기 때문에 그동안 대외적으로 이야기할 필요가 없었다”라며 “스타트업들이 최근 AI와 ML을 차별점과 경쟁력으로 내세우며 얘기가 많이 나오게 됐지만 중요한 것은 실제 고객 환경에 적용돼 있냐는 것”이라고 강조했다.
RSA는 온라인 계정 인증·접근관리, 암호화 솔루션을 시작으로 지난 35년간 기업의 디지털 비즈니스 자산을 보호하고 리스크를 관리해온 전문 보안기술 기업이다. 지난 2006년 EMC에 인수됐고 EMC와 델이 합병하면서 현재는 델 테크놀로지스의 보안사업부다. 하지만 독립적으로 운영되고 있다.
현재 RSA는 네 가지 솔루션을 중심으로 비즈니스 관점에서 디지털 리스크와 보안을 관리할 수 있도록 제공하고 있다. 가장 오랜 기간 제공해온 대표 제품인 ▲‘시큐어ID 액세스(SecurID Access)’ 인증 및 신원보증 솔루션 ▲최근 가장 주력하고 있는 통합 리스크 관리 플랫폼인 ‘아처(Archer)’ ▲차세대 SIEM 플랫폼 ‘넷위트니스(NetWitness)’ ▲온라인 사기방지 제품인 ‘프로드액션(FraudAction)’이다.
실 사례에서 얻은 AI, ML 기술 사용효과
람잔 CTO는 “RSA의 모든 제품에 AI, ML 기술이 활용되고 있다”라며 수많은 고객들로부터 그 효과를 인정받고 있다는 점을 강조했다.
가장 먼저 이들 기술을 활용한 사기 방지 제품에서는 온라인 거래가 발생할 때 사용자가 언제 어디서 접속했는지, 해당 거래의 특성은 무엇인지 등을 종합적으로 고려돼 있는 AI, ML 엔진을 활용한다. 이를 바탕으로 거래가 정당한지 여부를 판단한다.
그는 “실제 사용사례를 바탕으로 정량평가를 거친 결과 사기 행각이 많이 줄었고 투자대비효과(ROI)가 높아 절감한 비용 수치도 컸다. 15년의 기간 동안 전세계 20개 대형 은행 가운데 16개 은행이 RSA의 제품을 사용하고 있다는 점이 바로 그 효과를 보여주는 것”이라고 설명했다.
이어 “넷위트니스는 정부기관에서 사용하면서 ML 모델로 사이버위협을 감지해 즉각 대응한 사례가 있었다”며 “특정 사용자 행위가 일반적인 행동과 다를 경우 그 행위에 의심스러운 레이블을 달았고, 이를 바탕으로 비정상 행위를 골라내 악의적인 행위를 골라내고 있다”고 말했다. 비정상 행위가 항상 악의적인 행위는 아니기 때문에 정교한 테크닉은 물론 학습하고 분석하는 데이터가 중요하다고 그는 강조했다. ‘양질의 데이터’를 사용해야 제대로 된 결과를 낼 수 있기 때문이다.
리스크 관리 플랫폼인 아처의 경우엔 자연어 프로세싱 기술까지 적용하고 있다. 람잔 CTO는 “여러 규제가 발생할 때마다 그에 상응하는 조치방법(Control)이 있는지 맵핑하는 과정을 거쳐야 하는데, 이에 많은 시간이 걸린다. ML의 소분류라 할 수 있는 자연어 처리 기술을 사용하면 새롭게 등장하는 규제를 기존 체계 안의 연관성을 바탕으로 처리할 수 있는지 파악할 수 있다는 면에서 작업이 매우 단순해진다”고 예를 들었다. 이를 바탕으로 이전에 관련 작업을 처리하는데 소요하는 시간이 무려 100분의 1로 줄일 수 있게 됐다고도 주장했다.
ML은 ‘유일’한 기술도, 보안기술의 ‘전부’도 아니다
그는 “ML은 보안영역에서 굉장히 유용한 기술이지만 유일한 테크닉도 아니고 이것이 전부도 아니다”라며 “성공적으로 그 효과를 내기 위해서는 AI, ML 그 자체에 초점을 둘 것이 아니라 다양한 기술을 활용하고 통합해 궁극적으로 나타나는 보안 문제를 해결할 수 있는 엔드투엔드(end to end) 솔루션을 만들어, 그 전체가 안전하고 안정적으로 돌아갈 수 있는 환경을 만들어야 한다”고 강조하기도 했다.
또한 “ML은 요술방망이가 아니기 때문에 모든 문제를 해결할 수 없다”고 재차 강조하면서 “그 이유로 RSA는 ML이 아니라 위협 예방-탐지-대응-완화-해결에 이르는 솔루션을 통합적으로 제공하고 있다”고 제시했다.
“RSA는 고객이 위협을 탐지하고 가시성을 확보할 수 있도록 도와준다. 가시성을 확보해야 위협이 다른 모습과 형태로 진화하더라도 효율적으로 대응할 수 있고, 자동화와 오케스트레이션까지 포함해 위협 예방과 탐지부터 완화하고 해결하는 각 단계가 빠지지 않도록 워크플로우가 잘 흘러가도록 해야 한다. 어느 하나라도 작동하지 못하면 보안문제를 해결할 수 없다.”
비즈니스 중심 보안 첫걸음은 ‘리스크’ 중심 접근
RSA는 몇 년 전부터 디지털 트랜스포메이션이 가속화되는 환경에서 기업들이 ‘비즈니스 중심 보안(Business Driven Security)’을 추진해야해야 한다고 설파해 왔다.
그렇다면 기업이 ‘비즈니스 중심 보안’을 추진하기 위해서는 보안전략을 어떻게 수립해야 할까. 가장 고려해야 할 점으로 람잔 CTO는 “위협에 목매지 말라”고 조언했다. 위협 대신에 “위험(리스크)을 중심에 두는 사고로 전환해야 한다”고 제안했다. 문제 그 자체가 아니라 그런 문제가 발생할 수 있는 확률, 그 때의 영향에 대한 판단을 내리는 것이 바로 리스크 중심 접근이라는 게 그의 설명이다.
람잔 CTO에 따르면, 먼저 각 기업마다 리스크를 정량화해 우선적으로 집중해야 할 중요도를 선정해야 한다. 이를 위해서는 가시성을 확보해야 한다. 가시성이 의미를 가지기 위해서는 인사이트(통찰력)를 끌어내야 한다. 애널리틱스(분석)를 활용해 인사이트를 만들어낼 수 있는데, 그 수단 가운데 하나가 ML이다.
인사이트를 확보했더라도 액션(조치)을 취하지 않는다면 아무 소용이 없다. 효율적으로 액션을 만들어내기 위해서는 작업을 간소화하고 단순화시킬 수 있는 자동화와 오케스트레이션 역량이 필요하다.
람잔 CTO는 “액션을 취해 성과가 난다는 것은 바로 리스크가 줄어들었고, 문제가 해결됐다는 의미”라며 “리스크를 정량화하고 가시성을 바탕으로 인사이트를 만들고 액션을 취하는 모든 과정이 순환되는 구조가 이뤄져야 한다. 이로써 기업이 가진 리스크를 최소화하는 동시에 기업의 가치를 높일 수 있다”고 강조했다.
그는 “이같은 과정을 RSA는 35년간 해왔다. RSA는 가장 오래된 세계 사이버보안 분야 최고 기업이자 위협을 포함해 디지털 리스크를 관리하는 기업”이라며 “RSA 연구소장으로서 기업 조직이 자동화를 구현해 리스크를 더욱 잘 파악할 수 있도록 더 나은 기술과 테크닉을 활용하는데 중점을 둘 것이고, 다른 연관기업들과의 협력도 강화할 것”이라고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network