AI 사이버보안, 위협대응에서 위험관리로

[초시대가 왔다] ⑯초보안...기계와 인간의 역할 분담

컴퓨팅입력 :2019/06/04 09:29

전 산업에 영향을 끼치고 있는 인공지능(AI)이 사이버보안 분야에서도 두각을 드러낼 전망이다. 머신러닝 기반의 빅데이터 분석과 알고리즘을 도입, 사이버공격을 자동으로 탐지하는 솔루션들이 등장하기 시작했다. 기하급수적으로 증가하는 공격에 인력만으로는 제대로 대응하기 어렵다는 문제 의식에서 등장한 업계 트렌드다.

'시스코 2018 아태지역 보안 역량 벤치마크 보고서'에 따르면 국내 기업의 61%는 매일 보안 경보 5천건 이상을 탐지한다. 그러나 이 중 70%는 별다른 조치 없이 방치된다. 시만텍 '인터넷 보안 위협 보고서'에 집계된 신·변종 악성코드만 봐도 매년 수 억 개다. 악성코드를 차단하는 보안 제품에 분석된 정보를 반영하기까지는 물리적인 시간이 필요하고, 실제 파악되는 악성코드의 비중은 그리 크지 않다.

기업내 보안 담당자나 보안전문조직의 분석가 모두 일손이 모자라다. 하지만 사이버보안 분야에서 AI가 완전히 인간을 대체하기는 어려울 것이라는 의견이 주를 이룬다. 이전까지 없었던 형태나 방식의 공격들이 지속적으로 출현하는 사이버 보안 업계 특성 때문이다. 알려진 위협에 대비하는 보안 담당자의 업무와 미지의 위협을 식별하는 분석가의 업무에, AI 기반 지능형 솔루션이 대체하거나 지원하는 방식의 협업 모델이 대안으로 제시된다. 이를 염두에 둔 인력 양성, 기술 개발, AI 학습 데이터 마련 등 정부 차원의 대응도 시작되는 상황이다.

■단순 반복 보안 업무 AI 자동화로 대체

사이버보안 업계에서 AI는 기술 경쟁력을 대표하는 키워드로 자리 잡았다.

국내 기업의 한 보안 위협 대응 업무 관리자는 "보안 업계는 새 기술을 선점하지 않으면 사업성이 떨어지게 된다"며 "업체마다 AI 관련 자체 조직을 두고, 마케팅 키워드로도 AI를 적극 활용하고 있다"고 말했다.

현 수준에서 AI는 인간을 대체할 만큼 고도화된 판단력을 발휘하긴 어렵지만, 대량의 단순 반복 업무를 상대적으로 빠르게 수행하거나, 대량의 데이터를 자동으로 분류화하는 데 유리하다.

때문에 업계는 상시 대량의 통신 패킷을 감시해야 하는 사이버 보안에 있어 AI가 필수 기술로 자리잡을 것이라는 전망을 내놓고 있다.

윤영훈 한국IBM 상무는 "AI 기술은 해당 기술이 강점을 보이는 행동·트래픽 패턴 분석 알고리즘을 이용한 위협의 신속한 탐지, 보다 자동화된 방법으로 멀웨어를 분류하고, 취약점 탐지 시 높은 오탐율을 줄이고자 오탐 패턴을 학습해 보다 정확한 취약점 결과를 제공하고 있다"고 설명했다.

이어 "사이버보안에서의 AI 적용은 지속적으로 증대될 것이며, 빠른 분석, 탐지를 넘어 위협의 자동적인 격리까지 제공하는 방향으로 진화할 것으로 예상된다"고 덧붙였다.

사이버 보안은 지속적으로 등장하는 새로운 공격을 방어해야 한다. 즉 모든 상황에 대해 완벽히 대처할 수 있도록 AI를 적용하는 것은 실상 불가능하다.

업계 관계자는 "현재 업계 기술 수준은 악성코드가 탐지되는 공통적 패턴을 AI로 하여금 학습하게 해 공격 여부와 종류를 판단하게 하는 단계"라며 "AI로 정확하게 악성코드를 탐지하거나 완벽한 선제 대응을 자동화하기는 부족하고 아직 투자해야 할 부분이 많아 보안 담당자와 AI가 협업하는 업무 방식이 적합할 것"이라고 말했다.

[사진=Pixabay]

■보안 업계, 관제 서비스부터 상용화

국내외 주요 보안 업체들은 AI 보안 관제 상품을 잇따라 선보이고 있다. 머신러닝과 알고리즘을 활용해 위협을 자동 탐지, 대응하는 솔루션들이다.

지난 2017년 IBM은 AI 보안 기술 '왓슨 포 사이버 시큐리티'를 발표했다. 엔드포인트, 네트워크, 사용자, 클라우드 전반에서 발생하는 보안 위협에 대응한다.

최근엔 위협 처분 모델과 교차조사 분석 기능을 추가했다. 위협 처분 모델은 조직 내에서 과거 발생한 유사 이벤트 조치와 결과를 기반으로 특정 유형의 위협을 판단하는 모델을 구축한다. 교차조사 분석은 실제론 장기적인 단일 공격일 수 있지만 표면상 개별적인 여러 공격 간 연관성을 찾아준다.

국내 주요 보안 업체 중 하나인 시큐아이도 지난 8월 IBM의 AI 보안 분석 기술 '왓슨 포 사이버 시큐리티'를 적용한 원격 보안 관제센터를 개소, 보안 관제 산업에 진출했다.

지난해 9월 SK인포섹은 자사 관제 플랫폼 '시큐디움'에 머신러닝을 적용했다. 이상 징후를 탐지해 분석하는 위협 인텔리전스 서비스와 탐지 결과 판정을 자동화하는 기술이 머신러닝을 기반으로 한다.

10월에는 이스트시큐리티가 보안 관제 솔루션 '쓰렛인사이드' 출시를 알렸다. AI 기반 분석 서비스를 제공, 악성코드 식별해주는 기능을 탑재하고 있다.

보안 관제 전문 업체인 이글루시큐리티도 지난 2월 AI 보안정보이벤트관리(SIEM) 솔루션 '스파이더 TM AI 에디션'을 출시했다. 향후 위협 탐지 외 분석 및 대응, 오케스트레이션과 자동화까지 지원하는 AI 기반 보안운영센터를 내년까지 출시할 계획이다.

■정부 차원 기술 개발·인력 양성도 시작

AI가 보안 업계의 주요 트렌드가 되면서 정부도 대응에 나섰다.

한국과학기술정보연구원(KISTI)은 국가과학기술연구망 침입 탐지용 AI 기술과 침입 판단을 위한 시각화 시스템 개발을 추진 중이다. 상용화가 될 경우 국가정보원에서 위험하다고 분석한 데이터 패턴을 전달받아 시스템에 입력하는 현행 절차를 생략할 수 있게 돼 보안 대응이 빨라진다.

KISTI 관계자는 "지난 2005년부터 과학기술사이버안전센터를 운영해오면서 관제 업무는 대부분 사람이 수행해왔다는데, 위협 트래픽이 상당히 많아지면서 일 수백만 건 가량의 데이터가 발생하고 이를 사람이 일일히 대응하기 어려워졌다"며 "공격에 해당하는 패턴을 지닌 데이터가 무엇인지 분석하고, 탐지하는 AI 기술을 지난해부터 개발 중"이라고 말했다.

이어 "현재는 만들어진 플랫폼에 들어갈 최적의 알고리즘을 테스트하는 단계"라며 "연내 시범 적용하는 게 목표"라고 덧붙였다.

KISTI 과학기술사이버안전센터 '사이버 예·경보 시스템' 전체 구성도. [자료=KISTI 정책연구보고서]

한국인터넷진흥원(KISA)은 오픈소스 소프트웨어 등을 활용해 자체 개발한 AI 기반 악성코드 탐지 기술을 국내 5개 대학에 전수한다. AI 기반 악성코드 탐지 이론 교육 외 대학에 악성코드 탐지 실습 시스템 분석·실습 환경을 제공하는 등 다양한 교육 지원이 이뤄질 예정이다. 하반기에는 광주, 전남 지역을 포함한 전국 대학으로 프로그램을 확대 운영할 방침이다.

박상환 KISA 정보보호R&D기술공유센터장은 "최근 보안 기술 트렌드가 자동화인 점을 감안해 AI 보안 전문 인력 양성을 위해 기술을 개발했고, 이 기술들을 우선 대학 쪽에 먼저 전수하고 있다"고 설명했다.

아울러 인터넷침해사고대응지원센터에서 수집한 데이터를 AI 학습용 데이터로 가공하는 프로그램도 운영할 계획이다.

특히 광주에 세워질 AI 산업 융합 집적단지의 보안 내재화에 대해서도 이 데이터가 기여할 것으로 보고 있다.

관련기사

박상환 센터장은 "과학기술정보통신부, 기획재정부 등과 예산안 관련 협의를 하고 있다"며 "AI 보안에 대해 대학만 염두하는 게 아니라 산업계에도 도움이 될 수 있도록 양질의 데이터를 가공해 부가가치를 창출할 수 있게 할 예정"이라고 언급했다.

업계에서는 공격 탐지 데이터를 토대로, 향후에는 사후 분석 및 전반적인 보안 대책 수립까지도 AI가 관여하게 될 것이라는 관측도 있다. 위협대응 중심의 보안방법론이 맞은 한계를 극복할 실마리가 될 수도 있다. 미처 걸러내지 못한 위협요소로 사고가능성이 상존한다는 전제로, 피해를 최소화하는 '위험관리' 중심의 보안방법론이 설득력을 얻을 전망이다.