"IBM·시큐아이 보안관제, AI와 결합해 잠재 위협 잡는다"

[ATS2018] 한국IBM 권용호 과장·시큐아이 신경호 이사

컴퓨팅입력 :2018/12/12 16:28    수정: 2018/12/13 09:50

IBM은 130여 개 국가에서 보안 관제 솔루션을 운영중이다. (사진=지디넷코리아)
IBM은 130여 개 국가에서 보안 관제 솔루션을 운영중이다. (사진=지디넷코리아)

"IBM이 보안 회사라고 생각하지 않는 분들이 많다. 그러나 IBM은 서버나 스토리지, 클라우드나 서비스 이외에 보안에도 많은 투자를 하고 있다. 130여 개 국가에서 7천500여 명의 인력이 전세계적으로 보안 관제 서비스를 제공하고 있다."한국IBM 권용호 과장은 12일 서울 포시즌스호텔에서 열린 지디넷코리아 ‘아시아테크서밋(ATS) 2018’ 세션에서 이같이 밝혔다.

현재 IBM은 133개 국가의 2만 개 이상 기기에서 매일 200억 건 이상 발생하는 이벤트를 실시간으로 감시하고 위협을 탐지하는 보안 솔루션인 'X포스'를 운영중이다. 이 시스템은 IBM이 개발한 AI(인공지능)인 왓슨을 결합해 각종 경고 속에 묻힐 수 있는 위협까지 탐지하는 강점을 지녔다.

권용호 과장은 "국내는 언어 등의 문제가 있어 원격 보안 관제 서비스에 적합하지 않다는 의견이 많았다. 이런 요구에 부응하기 위해 국내 보안 전문 기업인 시큐아이와 함께 국내 실정에 맞는 보안 관제 서비스를 제공하게 됐다"고 설명했다.

■ 방대한 로그, 왓슨으로 걸러 잠재 위협 찾는다

시큐아이는 IBM AI 기반 보안 분석기술인 '왓슨 포 사이버 시큐리티'와 자사 보안관제 역량을 결합해 지난 8월부터 보안관제 서비스를 제공하고 있다.

시큐아이 신경호 이사(관제사업팀장)는 "현재 보안 전문가들의 논문이나 보안 업체들의 경고 등으로 상당량의 데이터가 쏟아지고 있지만 이 중 약 8%만 보안 강화에 쓰이고 나머지는 모두 버려지는 '다크 데이터'로 추산된다"고 설명했다.

시큐아이 신경호 이사(관제사업팀장) (사진=지디넷코리아)

또 상황마다 발생하는 많은 경고를 한정된 관리 인력으로 모두 처리할 수 없어 무시하는 경우도 발생한다. 그러나 이는 잠재적인 위협이 중대한 문제로 발생하기 전 미연에 막을 수 있는 기회를 놓치게 한다는 점에서 바람직하지 않다.

신경호 이사는 "현재 보안 관제 솔루션이 가지고 있는 여러 문제점을 보완하기 위해 IBM 큐레이더와 왓슨을 연동했다. 방화벽은 물론 IDS(침입탐지시스템) 등에서 생성되는 방대한 로그를 모두 분석 대상에 넣어서 잠재된 위협을 탐지한다"고 설명했다.

■ "왓슨은 거들 뿐, 최종 판단은 사람이"

신경호 이사는 IBM 왓슨과 연동된 시큐아이 보안관제 시스템이 악성코드에 감염된 클라이언트 PC를 포착한 사례도 함께 소개했다.

이 PC는 내부에서 외부 특정 IP로 4시간마다 한 번씩 데이터를 전송했다. 방화벽에서는 이상을 감지하지 못했지만 왓슨은 이런 활동이 악성코드와 연계된 위협적인 활동이라고 감지했다. 탐지된 IP를 바탕으로 확인한 결과 랜섬웨어와 관련 있다는 정황이 포착됐다.

관련기사

그러나 보안관제 시스템이 탐지부터 차단까지 전 과정을 자동적으로 처리하는 것은 아니다. 신경호 이사는 "왓슨은 여러 정보를 취합해 대응에 걸리는 시간을 줄일 뿐이며 대응에 대한 최종 판단은 사람이 한다. 그러나 정확도는 크게 향상된다"고 설명했다.

왓슨은 자료를 수집하고 취합하는 역할만 한다. 최종 결정은 전문 보안 인력이 처리한다. (사진=지디넷코리아)

많은 기업들이 우려하는 내부 정보 자산 유출도 불가능하다는 것이 신경호 이사의 설명이다. 신경호 이사는 "데이터 분석을 위해 왓슨에 전달하는 데이터는 내부 네트워크가 아닌 외부 망 데이터이며 이 데이터 역시 고객사의 동의 하에 전송된다"고 설명했다.