알려지지 않았던 취약점을 악용하는 '제로데이' 공격은 보안업계의 큰 화두다. 최근엔 국가 보안관제 차원에서도 대응책을 마련하기 위한 움직임이 나타나고 있다.
제로데이 공격은 그 특성상 이전에 보고된 악성파일을 차단하는 백신 솔루션으로는 대응이 어렵다. 보안 솔루션의 감시에서 벗어날 수 있어 조기 대응이 어렵고, 그만큼 피해도 커질 가능성이 크다.
인공지능(AI) 기반의 보안 관제는 이런 제로데이 공격을 조기에 탐지, 차단할 수 있는 기술로 주목받고 있다.
AI 보안관제는 보안 솔루션에서 수집된 데이터를 토대로 AI가 판단 기준을 만들고, 위협적인 이상 징후를 포착한다. 특정 코드나 파일 기반이 아닌, 다양한 데이터를 지속적으로 학습해 판단 능력을 높이면서 고도화된 사이버위협을 탐지해준다. AI가 이상 징후에 대한 판단을 내려주는 만큼 보안 인력의 업무 부담도 덜어준다.
정부는 지난해 일부 지방자치단체에 적용했던 AI 보안관제를 올해 전체 광역 지자체로 확대한다는 계획을 세웠다. 사이버공격 규모가 갈수록 느는 반면 보안 인력은 부족한 상황을 타개하기 위해 AI를 내세운다는 취지다.
■지자체 사이버공격 매해 26% ↑…"AI 쓰면 이벤트 처리량 3배 증가"
행정안전부에 따르면 지자체를 노리는 사이버공격은 지난 2015년 기준 8천700여건에서 지난해 2만2천여건을 기록, 매해 평균 26% 가량 증가해왔다.
보안 위협은 갈수록 증가하는 반면, 인력은 부족하다. 광역 지자체 기준 평균 인력 5.2명이, 평균 13개의 기초 지자체를 관리하고 있다. 이들은 통신망과 정보시스템 보안, 주요정보통신기반시설 보호, 개인정보 보호, 보안관제 등 다수의 업무를 수행한다. 특히 보안관제 업무는 담당 공무원 1명을 두고 외주 위탁 인력에 의존하는 상황이다.
이에 정부는 보안 인력 충원과 더불어 보안 위협에 대해 대응 시간을 단축해주는 AI 기반 사이버 위협 탐지 시스템을 구축하고 17개 시도에 축적되는 데이터로 보안 관제를 실시하기로 했다.
이같은 결정은 지난해 AI 보안관제를 일부 지자체에 적용한 결과를 참고해 이뤄졌다. 실제로 AI 보안 관제를 도입한 대구시의 경우 보안 이벤트 분석에 걸리는 시간을 20분의 1로 단축했다. 인당 이벤트 처리 건수도 이전 대비 3배 이상 늘렸다. 미탐지율은 이전 대비 6분의 1 수준으로 줄였다.
■AI 보안관제는 어떻게 처음 보는 공격도 탐지할까
AI 보안관제는 보안 솔루션 별로 수집한 데이터를 학습에 사용한다.
보안정보이벤트관리(SIEM), 위협관리시스템(TMS), 웹 애플리케이션 방화벽(WAF) 등에서 수집한 데이터는 지도학습을 거쳐 AI에 반영된다. 지도학습은 입력된 변수와 연계된 변수를 얼마나 정확히 출력하는지를 따진다.
비지도학습을 위해서는 방화벽 로그, 웹 로그, 넷 플로우를 활용한다. 원 데이터만으로는 머신러닝이 의미 있는 분석을 하기 어렵기 때문에 보안·알고리즘 전문가들의 분석을 통해 위협 모델로 부합하는 특징(Feature)을 선정하고 이에 맞게 데이터를 변환(전처리)하는 과정을 거쳐 양질의 데이터를 축적한다.
알고리즘은 데이터를 지속적으로 학습하고, 기준과 다른 이상치를 판별한다. 예를 들어 평소 데이터 전송 사이즈가 60MB인 사용자가 평소와 다른 위치에서 60MB 이상의 데이터를 주기적으로 전송하는 상황이 관찰될 수 있다. 이런 사용자 행위가 정상적인 서비스 범주에는 포함되더라도, 평소의 통계적 수치에서 벗어난 행위이기 때문에 보안 관점에서 비정상적 요소라고 판별할 수 있다.
보안업계 관계자는 "이상치 탐지 알고리즘이 과거 데이터를 학습하고 스스로 판단 기준을 만들어 새로운 데이터를 판단한다"며 "임계치, 문자 매칭 등 사람이 정한 특정 조건에 따라 분석을 수행하는 상관 분석과는 분명한 차이가 있다"고 지적했다.
또한 보안관제 인력으로 하여금 이상치 탐지 알고리즘이 ▲매우 위험 ▲위험 ▲위험하지 않음 등으로 분류한 이상 행위를 빨리 인지하고, 특정 이상 행위 관련 데이터들을 분석해 심각한 위협으로 발전할 수 있는 미탐을 최소화할 수 있게 된다고 강조했다.
이 관계자는 "AI 보안 관제를 도입한 기업이 기존 보안 장비로 탐지할 수 없던 22개 유형의 최신 보안 위협과 장기간 잠복하고 있던 이상 행위를 탐지한 사례가 있다"고 덧붙였다.
■이글루시큐리티, 지자체 AI 보안 관제 구축…"위협 대응 시간 줄이고 스타트업 발굴"
보안 기업 이글루시큐리티는 올해 지자체에 확대되는 AI 기반 보안관제 시스템을 구축한다. 회사는 한국지역정보개발원이 주관하는 '2020년 인공지능 기반 지자체 보안관제시스템 확대 구축 사업' 사업자로 선정됐다. 이 사업은 지난해 구축이 완료된 3개 시도를 제외한 전국 14개 광역시도를 대상으로 진행된다. 해당 사업은 지난달부터 진행됐으며 12월 구축 완료 예정이다.
회사는 우선 한국지역정보개발원에 자사의 AI 보안관제 솔루션 '스파이더 TM AI 에디션'을 구축한다. 이후 14개 시도에 각각 최적화된 지도·비지도 학습 모델을 개발해 적용하게 된다. 고위험 이벤트로 판별되면 사이버침해 대응 시스템에 자동 접수되는 형태의 시스템 자동 연계 작업도 수행한다.
AI 보안관제에 대해 이글루시큐리티는 학습 데이터를 선별하고, 위협 모델의 특징을 추출하는 데 반영되는 노하우가 성능을 좌우한다고 강조했다.
이글루시큐리티 관계자는 "공격자의 흔적을 추적, 제거하는 과정에서 얻은 노하우와 경험, 그리고 다양한 경로에서 수집된 최신 위협 정보를 연계하여 복합 분석해야 한다"며 "머신러닝 시스템이 더 많은 노하우와 정보를 흡수하고 학습할수록, 해당 시스템은 보안 분석 전문가에 맞먹는 정확한 판단을 내리는 데 더욱 익숙해지게 될 것"이라고 설명했다.
이어 "아무리 뛰어난 AI 보안관제 시스템을 만들었다고 할지라도, AI가 학습하는 데이터의 수준이 떨어진다면, AI가 내놓는 결과물 역시 떨어질 수 밖에 없다"며 "이글루시큐리티는 보안에 특화된 머신러닝 알고리즘을 개발하는 것과 동시에 머신러닝 알고리즘이 지속적으로 학습을 수행하기 위한 학습 데이터를 선별하고 학습에 필요한 특징을 추출하는 데 집중하고 있다"고 첨언했다.
회사는 AI 보안 관제 관련 R&D에 투자하고 있다. 최근 4건의 특허 획득을 알렸다. ▲'그래프데이터베이스 기반 로그 데이터 유사패턴 매칭 및 위험관리 방법' ▲'공격빈도, 자산중요도 및 취약 정도에 따른 위험지수 보정시스템 및 그 방법' ▲'침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법' ▲'블록체인 기술을 활용한 보안관제 시스템 및 그 방법' 등이다. AI 보안관제의 신뢰성과 효율을 높여주는 기술들이다. 개발된 기술들은 '스파이더 TM AI 에디션'에 적용될 예정이다.
올해 이글루시큐리티는 지자체를 포함한 공공 분야와 민간을 아우르는 고객사 다수에 AI 보안관제 솔루션을 제공하겠다는 계획이다.
기술적으로는 AI 위협 탐지 모델에 SIEM, 오픈소스 침입탐지 소프트웨어 '스노트(Snort)' 등 보안 탐지 정책과 이글루시큐리티 사이버 위협 인텔리전스(CTI)를 결합, 위협 탐지에서 대응에 이르는 과정을 단축하는 데 중점을 둘 계획이다.
관련기사
- '스타일쉐어·집꾸미기' 이용자 정보 다크웹에 유출2020.05.12
- "데이터 3법, 사생활 침해 없는 빅데이터 활용 키울 것"2020.05.12
- 이글루시큐리티, AI 보안관제 특허 2건 취득2020.05.12
- 이글루시큐리티, 지자체에 AI 보안관제체계 구축한다2020.05.12
5G, 사물인터넷(IoT), 클라우드 등 차세대 IT 기술에 기반한 디지털 전환에 부합하는 차세대 기술 역량 확보를 위한 스타트업 발굴, 투자에도 힘을 기울일 방침이다. 중소벤처기업부에 액셀러레이터 기업으로 등록하는 방안도 검토 중이다. 이를 위해 작년 초 전략사업부를 신설했다.
이글루시큐리티 관계자는 "유기적 협업 관계를 구축할 수 있는 스타트업 발굴에 속도를 붙일 것"이라며 "전략적 투자 진행을 통해 다양한 분야의 우수 아이디어를 신속히 사업화해 시장에 선보일 방침"이라고 말했다.