"사이버 공격자도 머신러닝·AI 활용할 것"

시스코 보안전문가 "보안은 '군비경쟁'…투자해야 생존"

컴퓨팅입력 :2017/03/07 16:29

시스코시스템즈 보안 전문가가 머신러닝과 인공지능(AI) 기술의 악용 가능성을 인정했다. 최근 사이버보안을 위한 머신러닝 기술 도입 논의가 무르익는 추세인데, 공격자도 사이버위협 목적으로 머신러닝 기술을 활용할 개연성이 크다는 발언이었다.

브렛 하트만 시스코 보안사업부문 부사장 겸 최고기술책임자(CTO)

시스코코리아는 7일 서울 삼성동 사무실에서 보안사업전략 기자간담회를 진행했다. 브렛 하트만 시스코 보안사업부문 부사장 겸 최고기술책임자(CTO)가 전략 발표를 맡았다. 그는 현장에서 모든 시스코 보안 제품에 분석과 AI 기술이 내장돼 있다고 설명했다. 이런 그에게 머신러닝과 AI 기술을 활용한 사이버 위협 가능성이 있는지, 그렇다면 기업은 어떻게 대응해야 할지 묻자, 다음과 같이 답했다.

"사실이다. 일반 원칙이 그렇다. 방어에 쓸 수 있는 걸 공격에도 쓸 수 있다. 내 사이버보안 분야 경험 40년간 이 원칙이 현실에 적용되는 걸 너무 자주 봐 왔다. 보안은 어쩌면, 공격자 쪽과 방어자 쪽이 (수단을) 증강해가는 군비증강(경쟁)이다. 방어자가 한 발 앞설 유일한 방법은 끊임없이 혁신하고, 투자하고, 확대하는 것이다. 꾸준한 확장과 투자 없이 사이버보안에서 생존할 수 없다. 계속 전진해야 살아남는다."

하트만 CTO는 시스코에서 기업의 보안기술전략을 총괄하는 임원으로 소개됐다. 그는 과거 미국 공군 장교로 국가안보국(NSA)에서 일하며 보안업계 경력을 쌓기 시작했다. 'NSA오렌지북'이라 불리는 국방부 컴퓨터보안평가지침서 발간에 참여했다. 몇몇 보안인텔리전스업체 임원 자리를 거쳐 시스코에 합류했다. 합류 전 보안업체 RSA의 CTO 겸 RSA의 모기업 EMC 펠로(Fellow, 기술전문위원) 활동 이력도 갖췄다.

브렛 하트만 시스코 CTO의 2017년 3월 7일 기자간담회 발표 자료. 시스코시스템즈는 보안솔루션 포트폴리오를 8가지 분야로 구분하고 있다. [자료=시스코시스템즈]

이날 그는 세계 사이버위협이 머신러닝뿐아니라 다양한 요인으로 거세질 것이라 전망했다.

그에 따르면 인터넷 기기 수십억대가 복잡한 네트워크로 연결되고 있다. 어떤 영역에서든 공격이 시도될 수 있는만큼, 기업이 사이버공격으로부터 차단되긴 불가능하다. 금전적 보상을 노린 사이버공격이나 범죄행위뿐아니라 국가의 지원을 받는 사이버위협그룹과 테러리스트가 새로운 공격 양상을 낳으면서, 기업은 대응에 더 어려움을 겪는다. 필요한 보안 제품을 파악하고 활용하는 것조차 부담스럽다.

하트만 CTO는 기업이 포괄적인 보안제품 구성으로 통합보안 전략을 실행하면 이런 어려움을 덜 수 있다고 강조했다.

시스코 측은 인력규모 5천명의 보안사업부문과 250명 규모의 위협분석가 조직을 운영하며 매일 발생하는 사이버위협을 197억건씩 차단하고 경쟁사대비 빠른 침해탐지 속도를 보여 준다고 주장했다. 이를 위해 시스코는 지난 4년간 200억달러 이상 규모의 투자로 소스파이어, 쓰릿그리드, 랜코프, 클라우드록, 오픈DNS, 네오햅시스, 포트쿨리스, 코그니티브 등 기업 인수와 신기술 확보 움직임을 이어 왔다는 설명이다.

브렛 하트만 시스코 CTO의 2017년 3월 7일 기자간담회 발표 자료에 포함된 탈로스 운영현황 소개 슬라이드. 시스코 보안솔루션을 통해 위협탐지정보를 수집하고 이를 다시 보안솔루션 운영자동화 데이터로 제공하는 전문가집단이다. [자료=시스코시스템즈]

시스코 보안제품 구성은 8가지 영역으로 나뉘었다. 첫째는 신종 위협 방어 효과를 강조한 차세대방화벽 및 차세대침입탐지시스템이다. 둘째는 엔드포인트 제로데이공격 방어를 위한 어드밴스드맬웨어프로텍션(AMP)이다. 셋째는 수평적 트래픽 감시로 조직내 공격을 차단하는 '스텔스와치'다. 넷째는 클라우드 사용자 보안을 위한 '오픈DNS'와 '클라우드록' 등 보안인터넷게이트웨이다. 다섯째는 '아이덴티티서비스엔진(ISE)'같은 정책 및 네트워크세분화 기반 사용자단말 접근제어 솔루션이다. 여섯째와 일곱째는 맬웨어 침투경로를 차단하는 이메일보안 및 웹보안 제품이다. 여덟째는 보안관리자동화시스템 '머라키MX'를 비롯한 통합위협관리(UTM) 솔루션이다.

시스코는 이 8가지 보안솔루션으로 엔드포인트, 네트워크, 클라우드 플랫폼을 묶어 공동대응함으로써 기업을 사이버위협으로부터 보호할 수 있다고 밝혔다. 기업은 노트북, 데스크톱, 모바일과 사물인터넷(IoT) 기기를 포괄하는 엔드포인트 플랫폼과 시스코의 데이터센터 인프라 장비가 주를 이루는 네트워크 플랫폼과 데이터센터 외부에서 기업 업무 환경을 제공하는 클라우드의 보안을 모두 챙겨야 한다는 메시지다.

시스코의 사이버보안 운영 시나리오를 요약하면 엔드포인트, 네트워크, 클라우드, 이런 3가지 플랫폼을 아우르는 보안 솔루션을 통합하고 광범위한 '탈로스'의 위협인텔리전스 서비스를 연계해 기업 환경의 보안을 단순화, 자동화하란 것이다.

탈로스는 앞서 언급한 250명 규모의 위협분석가 조직이다. 시스코 솔루션 기반 보안운영 자동화에 필요한 위협탐지정보를 생성, 제공하는 전문가 집단이다. 3개 플랫폼에서 추출된 메타데이터를 바탕으로 위협인텔리전스 활동을 수행하고 이를 다시 플랫폼별 보안 솔루션으로 제공한다. 탈로스 소속 보안전문가, 데이터과학자, 화이트해커가 매일 200억건에 달하는 공격을 막아내고 있다는 게 회사측 주장이다.

관련기사

하트만 CTO는 "탈로스의 위협인텔리전스 활동을 통해 시스코 통합보안 포트폴리오의 보안 효과가 확보됐다"며 "아시아지역에서도 탈로스의 존재감을 높일 수 있도록 활동 영역 확대를 위해 노력하고 있다"고 덧붙였다.

그는 보안솔루션 성능평가 전문업체 NSS랩스(NSS Labs)의 2016년도 침해탐지시스템(BDS) 테스트 결과 그래프를 제시했다. 자사와 경쟁사A, 경쟁사B의 솔루션을 갖고 침해발생 후 이를 탐지하기까지 걸리는 시간을 측정한 결과였다. 시스코가 경쟁사대비 1시간 이상 빠르게 침해를 탐지한 것으로 나타났다. 이를 근거로 시스코 아키텍처와 탈로스 위협인텔리전스를 결합한 침해탐지가 경쟁사 대비 낫다고 주장했다.