보안관제 대응에 새로운 패러다임을 제시하는 인공지능

[CCTV뉴스=이승윤 기자] 인공지능(AI)을 통해 보안을 강화할 수 있을 것으로 예상되면서, 다양한 보안 분야에서 AI와 보안을 접목시키기 위한 연구ㆍ개발을 하고 있다. 특히, 보안관제 분야에서 가장 활발하게 AI에 대한 연구를 진행하고 있다. 보안 전문가들은 현재 AI를 도입했을 때 가장 뚜렷하게 효과를 볼 수 있는 분야로 보안 관제를 꼽고 있다. 그렇다면 과연 보안관제 시스템과 AI의 접목은 어떠한 시너지 효과를 기대할 수 있을까?

■ IT 환경변화에 따라 진화하고 있는 보안관제

보안관제는 사이버상의 보안 위협으로부터 정보를 보호하기 위한 일련의 모든 활동이라고 말할 수 있다. 한국 산업보안 학회는 보안관제에 대해, 불법 해킹이나 바이러스로부터 시스템과 네트워크 자원의 손상을 막기 위해 관제가 필요한 모든 시스템을 실시간으로 모니터링 해 즉각 대응할 수 있도록 하는 일련의 활동이라고 정의하고 있다. 일부 대기업 또는 정부 기관은 자체적으로 보안관제 시스템을 구축해 운영하고 있다. 자체적으로 관제 시스템을 구축할 수 없는 기업은 보안기업의 보안관제 서비스를 활용하는 것이 일반적이다.
보안관제는 사이버 보안 위협의 모든 위협 상황에 대응해야 하는 분야이므로 IT 변화에 매우 민감하다. 실제 IT 환경이 변화함에 따라 보안관제도 새로운 관제 시스템을 개발하며 진화하고 있다. 과거의 보안관제는 공격자들이 주로 기업 및 기관의 보안 솔루션을 무력화하는 방식으로 침입했기 때문에 기업 내부 경계와 방어에 중점을 두고 운영했다. 주로 침입 차단 시스템(IPS), 침입 탐지 시스템(IDS), 웹 방화벽 등 네트워크 보안 장비와 안티 바이러스를 사용해 공격을 탐지하고 방어했다.
그러나 인터넷의 발달과 함께 네트워크가 복합적인 형태로 변화되면서, 기업 내부 중심의 보안관제에 한계점이 발생했다. 공격자들이 기업에 대한 직접적인 공격뿐 아니라 스마트폰, 이메일, 웹사이트 등 다양한 경로를 통해 공격을 시도하기 때문이다. 이처럼, 사이버 공격이 다각화되면서 기업 내부 관제를 넘어 기업 전반에 일어나는 보안 이벤트를 모니터링하고, 대응할 수 있는 통합적인 관리의 필요성이 증가했다.
이에 각각의 보안 솔루션을 단일 관제 환경에서 관리하고 보안 장비에서 생성되는 보안 데이터를 수집해 연관ㆍ분석하는 통합보안 관리시스템(ESM) 기반의 보안관제가 나타났다. ESM 기반 보안관제는 보안 장비를 통합해서 운영할 수 있어 여러 종의 보안 솔루션 설치에 따른 중복 투자를 줄일 수 있다. 또한, 다양한 보안 장비에서 생성되는 정보를 실시간 수집하고, 통계 및 패턴 분석 도구를 통해 연계 분석을 진행하면 보안 위협에 대한 정확한 탐지가 가능하다.
이런 EMS 기반 보안관제는 최근 부각되고 있는 빅데이터 기술과 합쳐져 빅데이터 기반 보안관제 시스템(SIEM)으로 진화되고 있다. 정확한 탐지를 위해서는, 현재 발생하는 보안 이벤트와 과거의 보안 데이터를 연계한 분석이 필요한데, EMS의 경우 현재 발생하는 보안 데이터만 연계 분석이 가능하다는 한계점이 있다. SIEM은 빅 데이터를 통해 현재와 과거의 보안 이벤트를 연계 분석해 더 정확 한 탐지가 가능하다. 또한, 보안 이벤트만의 분석이 아닌 기업 IT 정 보와 취약점 정보를 함께 분석해 위협 행위를 예측할 수 있다.

■ IT기술 발전에 따른 관제센터의 한계점

IT환경의 변화에 따라 보안관제도 지속적으로 진화를 거듭하면서, 현재는 IT 전반에 대한 보안관제를 운영할 수 있는 환경이 마련됐다. 그러나 IT 환경에서 발생하는 보안 위협을 분석ㆍ대응하는 보안관제센터는 다양한 IT 영역에 대한 관제로 인해 복잡성이 증가하면서, 모니터링의 어려움이 발생하고 있다. 또한, 지능형 지속공격(APT), 랜섬웨어, 디도스(DDoS) 공격, 봇넷을 활용한 공격 등 다양한 공격 방법을 활용한 사이버 공격이 매일 대규모로 발생하고 있어 대응에 한계도 나타나고 있다.
실제로, 보안관제센터를 운영하고 있는 이글루시큐리티에 따르면, 하루 약 2억 5000건 정도의 이벤트가 발생하고 있으며, 경보가 필요한 이벤트도 약 4600여 건에 이른다고 한다. 그러나 보안관제센터는 인력, 시간, 자원 등이 부족해 평균적으로 한 사이트당 약 60여 건의 보안 이벤트만 처리하고 있다. 관제센터가 대응력을 높이기 위해서는, 인력 충원이 중요하다.
그런데 일반적으로 관제센터는 한정된 공간에서 운영되기 때문에 마음대로 인원을 늘릴 수가 없다. 그래서 많은 관제센터들은 한정된 인력, 자원으로 보안 이벤트에 대한 대응 강화할 수 있는 방법에 대해 고민이 깊어지고 있는 상황이며, 이 문제를 해결할 수 있는 방안으로 AI가 주목받고 있는 것이다. AI를 보안관제에 적용 시 학습한 보안 데이터를 토대로 자동으로 보안 위협을 분석ㆍ대응할 수 있을 것으로 전망된다. 이에 많은 보안관제 기업들은 AI 기반 보안관제 시스템을 개발하기 위해 서두르고 있다.


■ 보안 이벤트에 대한 대응 효율성 향상 필요

AI 기반 보안관제는 사이버 공격 이벤트 처리 효율성을 비약적으로 높이고, 정보 인프라의 자기 방어 능력을 강화할 수 있다. 또한, 보안담당자의 역량도 강화할 수 있는 가능성을 제공할 것으로 예상된다.
기존 보안관제 시스템은 모니터링→탐지→초등 분석→상세 분석→대응→추가 분석→보고의 형태로 프로세스를 운영하고 있다. 프로세스 과정이 많다보니 초등 대응까지 많은 시간이 걸려 위험한 이벤트 탐지도 어려웠다. AI 기반 보안관제는 모니터링→탐지→대응→보고라는 단순화된 프로세스로 진행된다. 이런 과정에서 위협주체 검증, 위험도 산정, 취약점 분석, 데이터 모델링 탐지 등의 복합적인 분석을 통해 초동 대응시간을 최소화하고 우선적으로 대응해야 할 고위험군 이벤트에 집중할 수 있다.
또한, 정상ㆍ비정상 이벤트에 대한 지도학습을 통해 매일 생성되는 방대한 보안 이벤트 중 우선 처리해야 할 고위험 이벤트를 빠르게 선별해 공격에 대한 대응 속도를 높일 수 있다. AI 시스템이 내놓은 결과(이벤트에 대한 사고처리 예측, 침해사고 대응결과 등)에 분석가의 피드백을 반영하는 프로세스를 통해 모델을 지속적으로 개선함으로써, 고위험 이벤트에 대한 예측률을 높일 수 있다. 이와 함께 오탐 및 미처리 이벤트 수를 줄여 분석시간을 단축시키는 효과도 얻을 수 있다.
이 외에도 이상 행위, 공격자 특성 등에 대한 비지도 학습을 통해, 룰 기반 보안 장비로는 탐지해낼 수 없는 알려지지 않은 보안 위협에 대한 대응력도 한 단계 높일 수 있다. 악의적 행위ㆍ공격자 특성 등의 양질의 학습 데이터가 담긴 탐지 알고리즘을 AI에 적용하고, 이를 통해 정보 수집성 트래픽, 멀웨어 C&C 활동 등의 이상 행위를 빠르게 판별할 수 있다.

■ 인력 대체가 아닌 보안 강화에 주목

AI는 기존의 보안관제에 전반적인 보안 향상의 효과를 이끌어낼 수 있을 것으로 예상된다. 그러나 AI 기반 보안관제가 기존의 관제 인력을 대체하는 것은 아직까지 불가능할 것으로 보인다. 기본적으로 보안관제센터는 적은 수의 관제사를 투입해 운영을 하고 있어 여기서 더 인원이 줄어들면 관제 모니터링이 정확하게 이뤄질 수 없다. 또한, AI 기반 보안관제는 데이터베이스에 저장된 보안 이벤트는 자동으로 탐지ㆍ차단 할 수 있지만, 의심되는 보안 이벤트는 관제사를 통해 처리하고 있어 관제 인력 없이 단독으로 운영하기는 어렵다.
향후 양질의 보안 데이터가 축적되고 이를 학습해 AI가 고도화 된다면, 기존의 관제 인력 수를 줄일 수 있을 것으로 예상된다. 그렇지만, 현재는 관제 인력 대체가 아닌 보안 강화를 목적으로 활용해야 할 것으로 보인다.