[CCTV뉴스=이승윤 기자] 인공지능(AI)을 통해 보안을 강화할 수 있을 것으로 예상되면서, 다양한 보안 분야에서 AI와 보안을 접목시키기 위한 연구ㆍ개발을 하고 있다. 특히, 보안관제 분야에서 가장 활발하게 AI에 대한 연구를 진행하고 있다. 보안 전문가들은 현재 AI를 도입했을 때 가장 뚜렷하게 효과를 볼 수 있는 분야로 보안 관제를 꼽고 있다. 그렇다면 과연 보안관제 시스템과 AI의 접목은 어떠한 시너지 효과를 기대할 수 있을까?

■ IT 환경변화에 따라 진화하고 있는 보안관제

보안관제는 사이버상의 보안 위협으로부터 정보를 보호하기 위한 일련의 모든 활동이라고 말할 수 있다. 한국 산업보안 학회는 보안관제에 대해, 불법 해킹이나 바이러스로부터 시스템과 네트워크 자원의 손상을 막기 위해 관제가 필요한 모든 시스템을 실시간으로 모니터링 해 즉각 대응할 수 있도록 하는 일련의 활동이라고 정의하고 있다. 일부 대기업 또는 정부 기관은 자체적으로 보안관제 시스템을 구축해 운영하고 있다. 자체적으로 관제 시스템을 구축할 수 없는 기업은 보안기업의 보안관제 서비스를 활용하는 것이 일반적이다.
보안관제는 사이버 보안 위협의 모든 위협 상황에 대응해야 하는 분야이므로 IT 변화에 매우 민감하다. 실제 IT 환경이 변화함에 따라 보안관제도 새로운 관제 시스템을 개발하며 진화하고 있다. 과거의 보안관제는 공격자들이 주로 기업 및 기관의 보안 솔루션을 무력화하는 방식으로 침입했기 때문에 기업 내부 경계와 방어에 중점을 두고 운영했다. 주로 침입 차단 시스템(IPS), 침입 탐지 시스템(IDS), 웹 방화벽 등 네트워크 보안 장비와 안티 바이러스를 사용해 공격을 탐지하고 방어했다.
그러나 인터넷의 발달과 함께 네트워크가 복합적인 형태로 변화되면서, 기업 내부 중심의 보안관제에 한계점이 발생했다. 공격자들이 기업에 대한 직접적인 공격뿐 아니라 스마트폰, 이메일, 웹사이트 등 다양한 경로를 통해 공격을 시도하기 때문이다. 이처럼, 사이버 공격이 다각화되면서 기업 내부 관제를 넘어 기업 전반에 일어나는 보안 이벤트를 모니터링하고, 대응할 수 있는 통합적인 관리의 필요성이 증가했다.
이에 각각의 보안 솔루션을 단일 관제 환경에서 관리하고 보안 장비에서 생성되는 보안 데이터를 수집해 연관ㆍ분석하는 통합보안 관리시스템(ESM) 기반의 보안관제가 나타났다. ESM 기반 보안관제는 보안 장비를 통합해서 운영할 수 있어 여러 종의 보안 솔루션 설치에 따른 중복 투자를 줄일 수 있다. 또한, 다양한 보안 장비에서 생성되는 정보를 실시간 수집하고, 통계 및 패턴 분석 도구를 통해 연계 분석을 진행하면 보안 위협에 대한 정확한 탐지가 가능하다.
이런 EMS 기반 보안관제는 최근 부각되고 있는 빅데이터 기술과 합쳐져 빅데이터 기반 보안관제 시스템(SIEM)으로 진화되고 있다. 정확한 탐지를 위해서는, 현재 발생하는 보안 이벤트와 과거의 보안 데이터를 연계한 분석이 필요한데, EMS의 경우 현재 발생하는 보안 데이터만 연계 분석이 가능하다는 한계점이 있다. SIEM은 빅 데이터를 통해 현재와 과거의 보안 이벤트를 연계 분석해 더 정확 한 탐지가 가능하다. 또한, 보안 이벤트만의 분석이 아닌 기업 IT 정 보와 취약점 정보를 함께 분석해 위협 행위를 예측할 수 있다.