IBM 큐레이더, 인간 보안분석가 돕는다

IBM이 보안분석솔루션 큐레이더에 인공지능(AI)을 접목한 '큐레이더 어드바이저 위드 왓슨(QAW)' 새 버전을 통해 인간 보안분석가의 업무효율을 높여 주는 신기능을 선보였다. 일상적인 보안관제 업무간 상당비중을 차지하는 '오탐' 처리 부담을 줄이고 실질적인 보안 분석 및 대응업무에 집중하게 해준다는 메시지다.

한국IBM은 29일 서울 여의도 서울국제금융센터 사무실에서 미디어브리핑을 진행해 QAW 새 버전이 기업 고객 환경에 맞춤형 분석 및 학습을 수행하고 실제 사이버범죄 사례 정보 '마이터 어택'을 활용하며 더 나은 공격 식별과 사후 대응 예측을 할 수 있게 됐다고 밝혔다.

큐레이더는 IBM의 보안정보이벤트관리(SIEM) 솔루션 브랜드다. 큐레이더 SIEM을 기반으로 AI 보안 기능을 접목해 보안관련 이벤트를 탐지하는 솔루션으로 '큐레이더 시큐리티 인텔리전스 플랫폼'이 있다. 인간 분석가는 이 플랫폼으로 탐지된 보안 이벤트 데이터를 조직 안팎의 다른 정보와 엮어 전체 상황을 파악해야 하는데, 이 때 QAW를 쓸 수 있다. QAW는 AI를 통해 인간 분석가가 분석 초기에 참고해야 하는 정보를 파악하고, 이벤트 데이터의 실제 사고여부를 더 빨리 판정할 수 있게 돕는다. 보안관제센터(SOC) 일상업무 프로세스를 가속해 준다.

한국IBM 보안사업부 윤영훈 상무가 이날 미디어브리핑 발표에 인용한 고객사들의 평가를 근거로 설명한 기존 QAW의 가치는 3가지다. 첫째, 반복적인 보안관제업무를 자동화해 보안팀역량을 확대, 강화한다. 둘쨰, 일관되고 심층적인 조사를 유도해 보안위협 및 사건에 실행가능한 통찰력을 확보한다. 셋째, 공격체류시간을 단축시키고 조직이 더 빠르게 핵심 조치 및 대응에 나서도록 한다. 한 마디로 QAW는 자연어처리(NLP) 및 머신러닝 기법으로 보안전문지식을 학습한 AI를 통해 위협상황을 판단, 대응에 필요한 정보를 제공한다.

QAW 새 버전은 신기능을 통해 새로운 사이버공격 패턴을 식별하고 맞춤형 분석과 학습을 지원한다. 신기능은 뭘까.

하나는 사이버범죄행동 관련 보안대응 지침서 '마이터 어택'을 활용한다는 것이다. 마이터 어택은 위협 단계별 유형과 행위를 정의한 프레임워크다. 이는 미국 연방정부에 기술지원 및 시스템 운영업무를 수행하는 비영리법인이자 국제표준 보안취약점 식별체계 CVE번호부여권한(CNA)을 관리하고 있는 '마이터(MITRE)'가 만들었다. 이를 통해 분석가는 사이버공격 양상을 이해하고 예측할 수 있다.

이를 통해 예를 들어 악성 소프트웨어가 조직에 지금 침투했는지, 패스워드나 신용카드 정보 등 데이터를 이미 수집했는지 파악한 분석 결과를 제공할 수 있다. 분석 결과의 신뢰수준, 각 공격 단계 관련 증거도 제시한다. 이 기능은 분석가가 공격 진행 상황을 시각화하도록 지원하기도 한다. 이를 통해 인간 분석가는 특정 사건이 위협 수명주기의 어느 단계에 있는지, 다음 행동은 뭐가 될지 이해할 수 있다.

한국IBM에 따르면 QAW는 강화된 AI 학습능력도 갖췄다. 분석가는 정형, 비정형 보안 데이터를 외부 소스로부터 수집, 판독, 이해하고 관련성 높은 정보로 특정 위협 관련 사실을 파악할 수 있다.

다른 신기능인 '위협 처분 모델'은 조직 내에서 과거 발생한 유사 이벤트 조치 및 결과를 기반으로, 특정 유형의 위협을 판단하는 모델을 구축한다. 보안 분석가가 어떤 유형 위협으로 보고할지 판단하도록 돕는다. 모델의 판단력은 많이 쓸수록 분석가와 상호작용으로 향상된다.

또다른 신기능 '교차조사(Cross-Investigation) 분석'은 실제로는 장기적인 단일 공격일 수 있지만 표면상 개별적인 여러 공격간 연관성을 찾는다. 기업 SOC 안에서 연관된 조사를 자동분류해 업무 중복상황을 방지하고, 인지적 추론으로 서로 다른 조사간의 공통분모를 끌어낸다.