|

“AI가 엔드포인트 위협 행위 잡아내고 대응”…IBM EDR ‘리액타’

IBM의 엔드포인트 위협 탐지·대응(EDR) 솔루션은 어떤 모습일까. IBM은 자사의 EDR 솔루션 ‘리액타(ReaQta) ’가 오랜 기술력을 녹인 인공지능(AI)을 십분 활용해 엔드포인트의 위협 행위를 확인하고 대응할 수 있다고 설명한다. 어떤 프로세스가 실제 위협이 되는지를 AI가 판단해 악성 행위를 잡아내고, 리소스 과부하도 줄였다는 설명이다.

최근 서울 여의도 한국IBM 사무실에서 만난 김강정 한국IBM 보안사업부 총괄 상무는 “리액타는 프로세스의 악의성을 AI 기반으로 파악하는 기술을 제공한다”며 “나노(Nano) OS를 통해 기존 운영체제 밖에서 모니터링함으로써 단말 속도 저하를 해결한다”고 말했다.

김강정 한국IBM 보안사업부 총괄 상무.(사진=한국IBM)

김강정 상무에 따르면 EDR을 포함해 여러 보안 솔루션을 설치할 경우 충돌 문제가 벌어질 수 있다. 업데이트나 패치 시에도 메모리 권한 문제 등이 발생해 리소스 효율이 떨어진다는 설명이다. 하지만 하이퍼바이저 형태로 리액타만을 위해 만들어진 운영체제 나노 OS를 통해 이 같은 리소스 낭비를 막을 수 있다는 설명이다.

김 상무는 “리액타 자체만을 위한 별도 운영체제이기 때문에 같은 운영체제 상에서 (다른 앱과 EDR이) 서로 경쟁적으로 높은 권한을 확보하려고 할 때 일어날 수 있는 메모리 충돌 이슈를 막을 수 있다”고 강조했다.

그는 또 “샌드박스 방식을 사용하지 않아 빠른 위협 대응이 가능하다”고 덧붙였다. 샌드박스(Sandbox) 방식은 별도의 가상 공간을 구현하고 그 안에서 악성코드를 실행해 분석하는 방식이다. 하지만 이 방식은 오랜 시간이 소요된다는 게 김 상무의 말이다. 예컨대 휴대폰 단말이라면 직접 휴대폰에 깔린 에이전트에 샌드박스를 구현하고 악성코드 여부를 분석할 경우, 실행에서 결과가 나오기까지 오랜 시간이 필요하다. 대응도 늦어질 수밖에 없다. 이에 리액타는 중앙 서버로 위협 의심 정보를 올리고 중앙 서버가 이를 분석함으로써 빠르게 위협을 확인하는 방식을 채택했다는 설명이다.

담당자가 판단하기 애매한 사례의 경우 AI 어드바이저 기능을 통해 단계별 위협 대응 방안을 제시해준다. 전문 지식 없이도 AI가 파악한 위협 사항에 신속히 대응할 수 있도록 해결 방안을 제시하는 기능이다.

그는 “기존의 EDR 솔루션이 주로 탐지에만 AI를 사용하는 것에 비해 리액타는 대응 부분에도 AI를 활용한다”며 “직관적인 사용자 인터페이스를 제공해 짧은 시간에 쉽게 솔루션 사용 방법을 익히고 활용할 수 있다는 점도 매우 큰 장점”이라고 강조했다.

IBM의 EDR 솔루션 리액타는 위협을 탐지는 물론, 위협 대응 여부나 수위 등도 AI가 가장 최적의 방법을 추천해줌으로써 보안 담당자의 수고를 줄여준다.(출처=한국IBM)

따로 설명이 필요 없는 기업인 IBM이지만 반대로 보안 전문 기업이 아니라는 점은 고객사 입장에서 우려되는 부분이다. EDR은 위협을 확인하고 판단하는 것은 물론, 대응해야 하는 위협의 기준을 어떻게 잡느냐가 성능의 관건. 이는 어떤 노하우로 해결할까

IBM은 자사 엑스포스(X-Force) 연구소의 전 세계 사이버 위협 분석 결과를 EDR 엔진에 활용한다. 엑스포스 연구소는 전문적으로 악성코드만을 분석하는 팀을 갖춰 1.5페타바이트(PB) 이상 규모의 위협 정보들을 확보하고 있다. 이 위협 정보를 활용해 새로운 공격 패턴을 수시로 업데이트 하고, 70개 이상의 위협 모델을 토대로 실제 엔드포인트에 대한 위협 행위인지를 판단해준다.

아무리 좋은 솔루션이라도 널리 사용하지 않으면 의미가 없다. EDR은 바이러스를 바로 치료하거나 삭제해주는 안티바이러스(백신)가 아닌지라 효용에 대한 의구심이 여전하다. 각 단말의 행위를 가시화해 위협을 탐지하고 대응한다지만 백신의 ‘치료 완료’ 메시지처럼 눈에 확 들어오는 기능은 없어서다.

김 상무는 “엔드포인트에서 탐지되는 잦은 (위협) 이벤트에 대한 피로도는 솔루션을 외면하게 만드는 주된 이유였다”면서도 “하지만 다양한 연구를 보면 성공한 사이버 공격의 90%, 성공한 데이터 침해 행위의 70%가량이 엔드포인트에서 발생하고 있다”고 강조했다. 늘어난 재택근무에 따른 업무 디바이스의 증가나 갈수록 고도화되는 위협 행위 등은 결국 엔드포인트 보안을 강화하는 EDR에 대한 관심을 다시 키울거란 게 그의 생각이다.

김 상무는 “IBM은 클라우드와 IT를 잘 이해하는 기업으로써 정보보안 분야도 최신 흐름에 발맞춰 혁신적인 기술과 솔루션을 제공하는 기업으로 점차 인식이 강해지고 있다”며 “더 혁신적으로 AI를 활용하고 있는 IBM의 EDR 솔루션은 보다 앞선 위협 관리와 대응을 수행할 수 있게 해 준다. 이제까지는 나이스(Nice, 쓰면 좋은)였다면 이제는 머스트(Must, 반드시 써야 하는) 솔루션이 될 것”이라고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다