[전문가 기고] 조창섭 이글루시큐리티 부사장

인공지능(AI) ‘알파고’가 세기의 대국을 치른 지도 벌써 4년이란 시간이 지났다. 짧다면 짧고 길다면 긴 4년의 시간 동안, AI 기술은 제조, 금융, 의료 등 다양한 산업의 핫이슈로 떠오르며 빠르게 적용되고 있다.

정보보안 분야 역시 예외는 아니다. 보안 전문가의 경험과 지식을 기계가 학습하게 함으로써 지능화된 사이버위협에 대한 리스크를 낮추려는 시도가 증가하고 있다.

특히 보안관제는 AI 기술이 적용될 때 큰 효과가 나타날 것으로 지목되는 분야 중 하나다. 그 이유를 알기 위해서는 ▲네트워크 경계 기반에 집중된 ‘단위 보안관제’부터 ▲보안관제 범위를 확대한 ‘통합 보안관제’ ▲빅데이터 분석 플랫폼을 갖춘 ‘빅데이터 보안관제’ 그리고 ‘AI 기반 보안관제’까지 보안 위협과 함께 진화하는 보안관제의 발전 과정을 되짚어 볼 필요가 있다.

과거 공격자들이 외부에서 내부로 침입하는데 집중했던만큼, 전통적인 방식의 보안관제는 방화벽, 침입방지시스템(IPS)/침입탐지시스템(IDS) 등을 활용한 기업 경계 방어에 중점을 두고 있었다. 그러나 공격자가 비집고 들어올 수 있는 구멍이 점점 많아지면서, 방어자들은 네트워크 경계에서 더 나아가 기업 전반에서 일어나는 모든 사용자 행위와 이벤트를 모니터링하고 통합적으로 관리해야 할 필요성을 실감하게 됐다.

이에 이기종의 보안 시스템을 단일한 관제 환경에서 관리하고 수많은 이기종의 보안 시스템에서 생성되는 방대한 로그 데이터를 수집·연관 분석해 보안 경보를 발생시키는 통합 보안관제가 부각되기 시작했다. 통합 보안관제는 빅데이터 분석 플랫폼을 갖춘 빅데이터 로그분석 기반 보안관제로 다시 변화를 거듭했다. 연계 분석해야 할 보안 데이터가 기하급수적으로 증가한 까닭이다.

보안관제 패러다임의 변화

그리고 크게 두 가지 이유에서 머신러닝 기술이 적용된 AI 보안관제의 필요성이 부각되기 시작했다. 먼저 디지털 전환 가속화에 발맞춰 기업이 도입한 IT 인프라가 늘어나면서, 보안관제 요원들이 확인하고 처리해야 할 보안 경보 역시 폭발적으로 증가하기 시작했다. 장기간 은밀하게 진행되는 잠복형 위협과 AI를 활용한 신·변종 위협 출현 역시 보안관제의 어려움을 배가시키는 요소였다.

실제로 사이트 별 하루 평균 4000건에서 20만 건 이상 보안 경보가 발생하면서 위협이 아니지만 위협이라고 탐지하는 오탐지도 증가하게 됐다. 이는 고위험군 이벤트 대응이 지연되고 업무 피로감이 높아지는 문제로 불거졌다. 또한 분석해야 할 보안 이벤트가 너무 많은 까닭에 심각한 위협이 될 수 있는 이상 행위를 탐지하지 못하고 흘려보내 보안 공백이 생기는 사례도 늘어났다.

가장 큰 어려움은 수많은 경보를 빈틈없이 처리하고 복합적인 보안 정보를 신속 정확하게 분석할 수 있는 보안관제 요원의 수가 한정돼 있다는 데서 발생한다. 이러한 어려움을 해결하기 위해 보안관제 요원의 어깨에 힘을 실어줄 수 있는 조력자, AI가 등장했다. 나쁜 놈은 신속하게 찾고(오탐 감소) 이상한 놈은 정확하게 찾을 수 있도록(미탐 발견) 보안관제 요원의 역량을 높여주자는 것이다.

AI 보안관제 기술영역 및 목표

그렇다면 나쁜 놈은 어떻게 신속하게 찾을 수 있을까? AI 알고리즘에게 과거 보안 이벤트를 분석해 대응했던 결과를 알려주고, 이 이벤트의 영향도와 심각도를 기준으로 삼아 위험한, 덜 위험한, 위험하지 않은 순으로 보안 경보를 우선순위화 할 수 있게 학습시킨다면 어떨까. 보안관제 인력들이 일일이 보안 이벤트를 분석하는 어려움을 해소하고, 고위험군 경보에 대한 대응 속도를 높일 수 있을 것이다.

이상한 놈은 어떻게 정확하게 찾을 수 있을까? 이상 행위와 공격자 특성 등에 대한 비지도 학습을 수행한 AI 알고리즘이 스스로 만든 판단 기준에 따라 정상 범위를 벗어나는 행위를 분류하게 함으로써, 알려지지 않은 보안 위협에 대한 단서를 얻을 수 있다. 보안관제 요원들은 수많은 이벤트 속에 숨겨져 있었던 이상 행위를 심층 분석함으로써, 공격자가 파고들 수 있는 보안 공백을 최소화하게 될 것이다.

이와 같이 AI 기술은 보안관제 요원의 역량과 경험에 따라 과탐·오탐·미탐이 발생했던 문제점을 해결하고, 걸러진 핵심 정보와 의심스러운 단서를 집중 분석할 수 있는 시간을 벌어줄 수 있다. 그리고, 보안관제 요원들은 이전에는 수많은 이벤트 속에 숨겨져 있어 미처 대응하지 못했던 고도화된 보안 위협 대응에 보다 집중할 수 있게 된다. 이것이 바로 AI 보안관제로 한 단계 나아가야 하는 이유다.

보안관제 고도화 3요소

일각에서는 AI가 기존 인력의 일자리를 잠식하는 것이 아니냐는 질문을 던지기도 한다. 하지만, AI의 진가는 오랜 기간 공격자의 흔적을 추적하고 공격의 연결고리를 끊어 온 보안 전문가가 있을 때에만 발휘될 수 있다. AI 알고리즘이 학습하는 데이터가 AI 보안관제 시스템이 내놓는 결과물의 수준을 좌우할 수 있는 만큼, 양질의 학습 데이터를 만들어낼 수 있는 전문 보안 인력이 반드시 필요하기 때문이다.

오늘날의 보안 환경은 기업이 활용할 수 있는 모든 도구, 즉 기계와 인간의 상호작용을 통해 각각의 능력을 최대한치로 높여 사용할 것을 요구하고 있다. 뛰어난 조력자가 있는데 왜 혼자서 업무를 처리하려 하는가? 보안관제 효율성을 높이고 보안관제 요원의 역량을 높일 수 있는 AI 보안관제 도입을 통해, 고도화된 사이버 위협에 대한 대응력을 한 단계 높이길 권고한다.

글. 이글루시큐리티 조창섭 부사장