이글루시큐리티 "관제솔루션에 접목한 AI, 위협 찾는 눈 역할"

"탐지효율 높인 스파이더TM AI에디션 상용화…내년 AI SOC로 해외진출 가속도"

컴퓨팅입력 :2019/02/27 17:25    수정: 2019/02/27 18:12

"인공지능(AI) 기반 관제 솔루션 만드는 데 3년 정도 투자했고 이제 상용화한 제품으로 발표하게 됐다. 내년에는 AI 기반 보안관제센터(SOC)다. AI를 활용한 SIEM은 기본이고, 위협 탐지뿐아니라 (분석하고 대응하는) 마지막 단계까지, 오케스트레이션과 자동화까지 해야 한다고 생각한다. 지금 AI 기반 SIEM을 제품화하고 내년 이후 AI 기반 SOC를 통해 글로벌 시장 진출도 가속하겠다."

조창섭 이글루시큐리티 부사장이 27일 서울 양재동 엘타워 기자간담회 자리에서 이같이 말했다. 보안관제 전문 서비스와 솔루션에 AI를 활용하는 방안을 연구하기 시작한지 3년만에 AI 활용으로 보안관제 업무효율을 높여 준 솔루션 '스파이더TM AI에디션'을 출시하는 자리였다.

이글루시큐리티는 1999년 설립된 보안관제 전문회사로 올해 20주년을 맞았다. 조 부사장은 2000년 회사에 합류해 2016년부터 부사장을 맡고 있다. 이후 회사는 보안관제에 AI를 접목한 서비스와 솔루션을 확보하는 데 주력했다. 2017년 6월 대구광역시 지능형 보안관제체계 프로젝트 총괄을 맡아 AI 보안관제 시스템 구축과 업무수행 경험을 쌓고 내부적으로는 최근 3년간 AI활용 보안관제솔루션 개발에 투자해 왔다.

2019년 설립 20주년을 맞은 이글루시큐리티가 보안정보이벤트관리(SIEM) 솔루션 '스파이더TM'에 AI 알고리즘을 접목한 신제품을 상용화했다. 올해 이후 공공, 민간 고객 수요 공략을 확대하고, 향후 AI를 전면 활용한 SOC를 확보해 해외시장 진출을 가속할 방침이다. [사진=Pixabay]

조 부사장은 "우리가 보안관제 업무에 AI 기술을 어떻게 활용할 수 있을까 고민하면서 탐지분야에 접목하는 연구를 지난 2016년부터 시작했다"며 "투자 3년만에 AI기반 관제 솔루션을 만들어 스파이더TM AI에디션이라는 이름의 상용화 제품으로 발표하게 됐다"고 밝혔다.

스파이더TM AI에디션은 보안담당자 업무효율을 높일 수 있는 머신러닝 기반 학습모델과 AI 알고리즘을 기존 보안관제솔루션 '스파이더TM'에 연동해 관제업무를 수행할 수 있는 플랫폼이다. 머신러닝알고리즘 학습을 위한 22가지 이상의 보안이벤트데이터 특징(feature)과 80가지 이상의 위협탐지모델을 적용했다. 이 데이터 특징과 모델은 보안담당자가 알려진 위협을 탐지하고 대응하기까지 걸리는 시간을 단축하고, 알려지지 않은 위협의 가시성을 높일 수 있도록 설계됐다. 스파이더TM AI에디션은 현재 보안관제 현장 문제의 해법으로 소개됐다.

조창섭 이글루시큐리티 부사장. [사진=이글루시큐리티]

간담회에서 스파이더TM AI에디션을 소개한 이글루시큐리티 서비스사업본부 김미희 보안분석팀장은 보안관제업무 증가, 신규 보안위협 증가, 관제요원 기술편차, 세 가지 현상이 관제업무 현장에 맞물려 어려움을 가중시키고 있다고 지적했다. 이를 해결하기 위해 우선 보안관제솔루션에 AI 기술을 접목해 물리적인 관제업무 부담을 줄이고자 했다. 빈번하게 발생하는 경보 분석 처리 효율을 높이는 방법, 탐지되지 않는 새로운 보안위협 신호를 파악하는 방법, 두 분야에 AI 기술을 접목해 효과를 봤다고 설명했다.

■ 관제업무에 AI 접목이 요긴한 이유 "오탐·미탐 부담 덜어"

현장에 쓰이는 스파이더TM을 비롯한 일반 보안정보이벤트관리(SIEM) 툴은 기본적으로 보안장비에서 사전 구성된 규칙 기반으로 발생한 위협정보와 탐지된 보안이벤트를 분류해 제공한다. 그런데 최근 보안담당자는 현장에서 보안이벤트 증가와 함께 늘어나는 '오탐' 문제, 룰 기반으로 탐지가 어려운 '알려지지 않은(unknown)' 위협의 가시성 부족 문제를 겪고 있다. 관제인력이 경보를 처리할 시간과 자원이 부족하고 실제 집중해야 할 대상에 관심을 덜 쓰게 돼, 전반적인 관제역량은 하락하는 결과를 초래하기 쉽다.

스파이더TM AI에디션은 우선 처리해야 할 고위험 보안이벤트를 선별해 '경보분석' 효율을 높여 준다. 여기에는 지도학습 기반의 정상·비정상 이벤트 판정 모델이 쓰였다. 모델 지도학습엔 기존 관제업무 수행을 통해 확보된 보안이벤트 처리결과가 활용됐다. 실제 솔루션을 도입한 환경에선 보안 분석가의 피드백을 이 AI 시스템에 반영하는 프로세스를 적용해 모델을 지속 개선할 수 있다. 이로써 오탐 이벤트수를 줄이고 분석 시간을 단축시키면서 보안관제역량을 높이는 효과를 기대할 수 있다는 게 이글루시큐리티 측 설명이다.

AI를 적용한 스파이더TM AI에디션의 기대효과를 설명하고 있는 이글루시큐리티 김미희 보안분석팀장.

또 스파이더TM AI에디션은 이글루시큐리티가 양질의 학습데이터를 통해 검증한 '이상치 탐지' 알고리즘을 활용해 미확인 보안위협에 대응할 수 있게 해준다. 여기에는 비지도학습 기반의 이상행위·공격자 특성 점수화 모델이 쓰였다. 모델은 AI 알고리즘으로 향후 심각한 위협으로 발전할 수 있는 이상행위를 선제 판별한다. 이로써 기존 관제업무 수행환경 대비 '미탐' 여지를 줄이고 복합적인 위협 가시성을 확보할 수 있다는 게 이글루시큐리티 측 설명이다.

김미희 팀장은 "일반적으로 보안관제 프로세스에서 관제요원이 가장 많은 공수를 들이는 영역은 경보분석인데 여기에 AI를 접목하면 분석시간 단축효과를 가져올 수 있고, 이상행위탐지에 AI를 접목하면 이상행위 탐지로 종합적인 모니터링과 분석이 결합된 위협인사이트를 확보해 탐지되지않던 위협을 파악하고 보안분석 프로세스 전반을 개선할 수 있다"고 강조했다.

■ "AI 기반 SOC 운영환경 구현…해외사업 기회 보겠다"

이글루시큐리티는 중장기 AI 로드맵을 제시했다. 그에 따르면 회사는 먼저 구축한 AI 표준 플랫폼을 토대로 위협 예측에서 거버넌스까지 모든 보안 단계에 인공지능을 적용하는 차세대 AI 기반 SOC를 구현할 방침이다. 위협 선제 예측 및 예방, 행위 기반 이상행위 탐지 고도화, 보안 오케스트레이션 및 자동화, 위협 헌팅, 데이터 사이언스 기반 분석 및 정책 최적화 등 기술을 단계적으로 적용한다.

이글루시큐리티 간담회에서 공개된 회사의 AI 보안관제 기술연구 배경과 향후 로드맵.

조 부사장은 "AI 보안관제는 보안관제 솔루션, 보안전문가, 보안관제 방법론, 3요소가 유기적으로 결합될 때 가장 큰 효율을 낼 수 있다"며 "이글루시큐리티는 양질의 학습 데이터를 만들어낼 수 있는 전문 보안인력을 보유했고 보안관제 역량을 끌어올릴 수 있는 방법론 개발과 개선에 힘을 기울여온만큼, 이번에 선보이는 스파이더TM AI에디션을 통해 보안관제 효율을 극대화하겠다"고 강조했다.

관련기사

AI 기반 SOC는 AI SIEM 툴 활용을 기본 전제하지만, 최종 목표는 위협 탐지부터 최종 대응까지 전체 보안관제업무를 아우르는 환경을 갖추는 것으로 요약된다. 이글루시큐리티는 이번에 상용화한 스파이더TM AI에디션을 그에 필요한 AI SIEM 툴로 내세워 구심점으로 삼고 이를 활용한 보안 오케스트레이션 및 자동화 프로세스를 수행할 수 있는 체계를 갖춰, 내년 이후 AI 기반 SOC 운영환경으로 고도화할 계획이다.

조 부사장은 "보안관제전문회사인 우리가 스스로 보안관제 환경의 문제를 해결해야 한다고 판단하고 AI 머신러닝을 도입한 것이었는데, 그 기술을 받아들이려면 결국 도메인 지식이 있어야 했다"고 설명했다. 이어 "보안관제 경험을 20년간 축적해 온 이글루시큐리티가 AI 도입 효과를 볼 수 있는 배경은 우리 보안관제요원이 보안 로그와 시스템에 발생한 이벤트정보를 알아볼 수 있는 눈을 갖고 있기 때문이었는데, 향후 다른 분야도 보안의 눈과 AI, 머신러닝이라는 기술을 활용할 수 있는 영역을 확대해 향후 20년을 준비할 필요가 있다"고 언급했다.

조창섭 이글루시큐리티 부사장.