"보안정보이벤트관리(SIEM)와 인공지능(AI)을 도입해 사이버위협을 분석한 결과가 사람에게 항상 만족스럽지 않을 수 있다. 분석가에게 심층분석이 필요하다는 판단이 섰을 땐 별도 툴이 필요하다. 분석가가 심층분석으로 자기 노하우를 극대화해 사이버위협헌팅(Cyber Threat Hunting)을 실행할 수 툴이. 위협헌팅은 수동적인 위협대응을 넘어서 선제적으로 잠재적인 위협을 분석하는 개념이다."
한국IBM 보안사업부 김승준 전문위원은 최근 지디넷코리아와의 인터뷰를 통해 이같이 말했다. 기업 안팎으로 증가, 고도화하고 있는 사이버위협에 대응하려면 SIEM과 AI만으로 불충분하다는 지적이다. 김 위원은 기업이 SIEM으로 위협정보 취합 및 예방 조치를 취하고, AI로 수많은 이상징후 속 위협을 걸렀어도, 결국 실제 위협 요인을 추적하고 보안 수준을 최적화하는 과정이 필요하다고 강조했다.
김 위원이 강조한 위협 요인 추적 조치는 지난해와 올해 상반기 국내 시장에서 회자되기 시작한 '(사이버)위협헌팅'을 뜻한다. 위협헌팅은 실무적으로 기업 내부 IT인프라와 외부 정보, 물리적 세계의 정보까지 취합해서 위협요인을 탐색하고 대응할 수 있는 데이터 분석 작업을 전제한다. IBM은 최근 이런 데이터분석툴 'i2 엔터프라이즈인사이트애널리시스(EIA)'를 위협헌팅 솔루션으로 국내에 제안하기 시작했다.
인터뷰를 통해 김 위원은 위협헌팅 개념의 등장과 사이버보안 시장에서의 의미, i2 EIA 솔루션의 특징, 타사 위협헌팅 솔루션 대비 차이점을 설명했다. IBM 글로벌 본사 i2 솔루션 도입 고객사례, IBM 보안사업부에서 i2 솔루션이 갖는 의미, 이를 바탕으로 한국IBM 보안사업부가 i2 EIA 솔루션으로 국내 사이버보안 시장에 접근하는 전략도 제시했다.
김 위원과의 인터뷰를 아래 1문1답으로 정리했다.
- 위협헌팅이 무슨 개념이고, 사이버보안업계엔 어떤 의미인지
"사이버보안 환경의 트렌드부터. 1세대 보안은 방화벽, IDS, 웹방화벽같은 걸로 '경계보안'에 치중했다. 2세대는 이런 경계보안 솔루션, 개별 솔루션에서 발생하는 여러 로그를 통합하고 상관관계를 분석하는 '위협인텔리전스'가 가미됐다. 이 체제에서 관리자와 분석가는 공격포인트를 좀 더 빨리, 쉽게 인지하고, 위협 오탐(false positive)과 대응조치를 최소화하는 역할을 했다.
3세대는 여기에 머신러닝이나 AI를 활용해, 위협동향을 자동으로 캐치해 인간 사용자와 관리자가 인지하지 못하는 부분을 줄인다. 3세대로 넘어간 보안 관리자, 보안운영센터(SOC) 직원들에게 여전히 고민이 있다. 머신러닝, AI 도입이 좋은데 그럼 그게 모든 위협을 막아줄 수 있느냐는 거다. 그렇다고 답하는 사람 별로 없다. 계속 사고는 터지고 뉴스에 나오니까.
머신러닝이든 AI든, 그걸 적용한 SIEM이든, 그 기반은 사람들이 갖고 있던 기술과 경험이다. 전문가들의 경험치를 밑에 깔고 탐지해야 하는 룰과 패턴을 만들어서 뒷단에 집어넣는 방식으로 운영된다. 고도화한 AI는 그보다 좀 더 나아간 수준이지만, 어찌보면 대개 보안 관리 환경이라는 게 수동적으로 모니터링, 탐지, 분석하는 경우가 많다.
위협헌팅은 이런 수동적인 걸 좀 벗어나서 선제적으로 필요한 분석을 하는 개념이다. AI의 탐지결과와 이용자 이상행위를 연결해 분석할 때 그 관계도를 그린다든지, 우리 네트워크에 들어온 공격의 패턴을 바탕으로 그와 유사한 행위를 하고 있는 존재를 찾는다든지. (인간 분석가가) 더 많은 정보와 다양화한 관점으로 내부 악의적 행위를 직접 찾아내는 작업이다.
2008년 미국 국가안보국(NSA)이 사이버보안 세계에서 위협헌팅이라는 용어를 쓰기 시작했다. 원래 군사조직에서 쓰던 정보분석기법을 지칭했는데, 당시 점점 다변화, 고도화하는 사이버위협에 대응하는 개념으로 이식됐다. IT분야에서 보안사고를 막기 위한 프레임워크로 적용하는 논의가 시작됐고, 최근 RSA 컨퍼런스에서도 이어지고 있다."
- 그 트렌드에 대응해 i2 EIA를 소개한 건가
"시작은 지난 1990년 영국에서 개발된 i2다. 당시 범죄수사 목적의 디지털 분석도구로 만들어졌고 사법기관, 국방, 정부기관에서 많이 활용했다. IBM은 2011년 i2라는 툴을 인수했다. 이전에도 제조업종이나 다른 민간 산업에서 활용하긴 했지만 민간으로 보급이 확대된 건 그 이후부터다. 세계 18개 산업군에서 4천500여 고객이 사용 중이다.
i2 EIA란 이름은 2013년부터 썼다. 이전까지는 차트같은 시각화툴에 분석할 데이터를 올리고 처리하는 툴이었는데 EIA라는 이름이 붙으면서 여러 분석방법론에 응용할 수 있게 됐다. 국방분야에서 적의 위협을, 정부 분야에선 보험사기라든지 자금세탁행위 범죄자 추적을 할 수 있다. 일반 민간분야와 IT분야에서는 사이버위협을 찾아내 보안을 강화하기 위한 분석프레임워크로 널리 쓰인다.
보안 분야에 i2 EIA를 쓸 경우 악의적 행동을 하는 누군가를 직접 찾아낼 수 있다. 위협헌팅의 분석방법론 중 하나로 전통적인 IT시스템 로그와 서버의 보안이벤트 등 자산에 별개 환경의 정보를 연결해 분석하는 것을 들 수 있다. 즉 기업의 인사DB나 물리보안시스템 기록, 오픈소스인텔리전스(OSINT)나 다른 위협인텔리전스 정보, 소셜네트워크서비스(SNS) 데이터까지. IT자산과 그 이외 행위를 아울러 보는 거다.
사이버보안 위협의 주 요인이 사람이잖나. IT자산의 비정상 행위뿐아니라 그 외의 행위를 파악해서 위협이 되는 사람을 찾아내 해결하는 게 목적이다. 기성 침해사고대응팀(CERT)의 활동을 위협헌팅이라고 정의하는 관점도 있는데, i2를 통해 구현될 수 있는 위협헌팅은 그 분석범위를 넓힐 수 있다. 제조나 반도체공정 등 기밀을 다루는 곳에서는 내부자 위협 통제 차원에서 이 툴을 도입하는 걸 검토 중이기도 하다."
- 이미 국내에 출시된 타사 '위협헌팅' 솔루션 대비 특징은
"국내서 얼마 안됐을 뿐 세계 시장에서 오랜 노하우가 쌓였다. 광범위한 업종을 아우르고 있고. 사업 파트너들이 우리 SDK로 다양한 플러그인 소프트웨어를 개발해 놨기에 나름대로 생태계도 존재한다. 플러그인으로 외부 서비스의 비정형 데이터를 가져와 쓰기 쉽고, IBM의 확장기능을 쓰면 i2 EIA에서 적은 단서로 인간 분석가가 빠르게 심층분석을 시작할 수 있는 정보 지도를 자동으로 만들어주기도 한다.
i2에서 직접 코딩하지 않고 분석할 데이터를 추출하는 기능으로 '비주얼쿼리'라는 걸 제공한다. 보안관리자가 머신러닝이나 AI 패턴을 통해 내부 분석을 돌리고 알람을 띄운 데이터를 검증하고 싶을 때, 여러 객체와 속성을 찾고 그 관계도를 그려서 분석해야할 때 유용하다. 분석가, 보안 관리자의 일을 자동으로 해주진 못하지만, 그 능력을 최대치로 끌어올려준다.
실무 수준에서 설명하자면, 이전까지 현업(LoB) 담당자가 데이터 분석 모델링을 하고 쿼리문(SQL)을 짜서 원하는 결과를 얻기가 어렵다. 여러 유형 데이터를 끌어와 분석하려면 4~5줄짜리 쿼리문을 데이터 전문가가 만들어 줬다. 나중에 날짜나 필드값을 고쳐서 원하는 데이터 직접 찾으려고 하면 대부분 에러 나서 못 쓴다. i2는 이미지 갖다 놓고 선 연결하는 조작으로 그런 정보를 쭉 찾아 직관적으로 표시해 준다."
- IBM 보안사업부 전략상 i2 EIA가 어떤 역할을 하나
"IBM의 보안사업부는 'IBM 시큐리티 이뮨시스템'이라는 보안 프레임워크를 제안하고 있다. 모바일, 인적접근제어, 데이터 네트워크 등 요소를 포함한다. 그 중심에 코어 테크놀로지로 SIEM인 '큐레이더'와 분석솔루션 i2 EIA와 '리질리언트'라는 사고대응 차원의 '통합조정 및 프로세스 자동화' 솔루션이 있다.
SIEM은 데이터를 통합하고, 리질리언트는 IBM 왓슨으로 그 처리를 자동화하고, i2는 인간 분석가가 추가검증이 필요한 탐지건을 심층 분석한다. 어떤 경고가 발생한 배경에 대한 의문을 해소하는 부분에서 지금으로선 AI가 해줄 수 없는 '심층분석'을 수행하는 사람은 i2 EIA라는 툴로 자기 노하우를 더 잘 발휘하게 된다. i2를 통해 찾아낸 문제점에 추가 조치를 취해야 할 때 리질리언트가 그 대응프로세스를 만든다."
- i2 솔루션의 글로벌 시장 입지와 국내 사업 전략은
"i2 EIA는 국가보안, 국방, 법집행, 정부 등 기관과 민간부문에서 다양한 형태의 조사분석 목적에 쓰이고 있다. 고객사 대부분 사례 공개를 원치 않아 특정 이름을 얘기할 수는 없다. 민간의 주요 도입 유형을 보면 위협헌팅, 감시 및 조사, 내부직원 위협 확인, VIP 보호, 사기 조사, 브랜드 보호를 위한 위협발견 등 6가지다.
관련기사
- 시스코 보안전문 조직 탈로스는?2018.08.06
- NSHC, 공개위협정보(OSINT) 모니터링기술 교육2018.08.06
- 키워드로 꼽은 2018년 사이버 공격 전망은2018.08.06
- "사이버 공격자도 머신러닝·AI 활용할 것"2018.08.06
엄밀히 말하면 국내 사업 자체는 i2를 인수한 2011년에 바로 시작했다. 다만 위협헌팅 수요에 대응하기 시작한 건 최근이다. 기존 레퍼런스를 넘어서 자금세탁방지 분야나 민간의 위협헌팅 쪽에 올해부터 본격적으로 비즈니스를 시작한다고 보면된다.
국내선 아직 대부분 '좀 어렵다'는 반응이다. 주류 시장이 당장은 AI와 머신러닝에 초점을 맞추고 있다. 위협헌팅 솔루션 자체가 이머징 마켓이다. 위협헌팅을 수행하려면 위협인텔리전스와의 통합, 시계열을 비롯한 여러 통계기법으로 분석이 가능해야 한다. 아직 타사는 툴 자체로 그 수준까지 지원하는 곳을 찾기 어렵다고 본다. 하반기 국내 고객이 솔루션을 인지하고 이해해서, 향후 예산에 반영시키는 게 목표다."
