급증하는 신종보안 위협…정보보안은 어떻게 나아가야 하는가

[CCTV뉴스=이승윤 기자] ICT 기술의 발달함에 따라 생활의 편리함이 증대됐지만, 이와 함께 다양한 보안위협이 나타나면서 각 나라별 국가기관과 기업들의 피해가 증가하고 있다. 특히 정보 보안위협은 악성코드만 방어만 하던 과거의 경우 방화벽, 안티 바이러스 등 개별 보안 솔루션을 통해 방어가 가능했지만, 현재는 지능형집중공격(APT), 알려지지 않은 취약점을 공격하는 제로데이공격(Zero Day Attack) 등 지능화된 공격이 나타나고 있어 대응이 어려워지고 있는 상황이다.

현재의 정보 보안 위협은 지능화된 공격이 발생하고 있으며, 공격방법도 집요해지고 있다. 특히 이전의 보안 공격은 사이버 범죄자들의 자신을 과시하기 위해 사이버 공격이 발생했다면, 지금은 금전적인 이득을 노린 사이버 공격이 많이 발생하고 있다.

정보보안 기업 트렌드마이크로는 자사 보고서인 ‘2018 중간 보안위협 보고서’를 통해 금전적 이득을 위해 공격하는 행위가 급증하고 있다고 설명했다. 보고서에 따르면 2017년 전체 대비 2018년 상반기에는 악성 행위를 하는 암호화폐 채굴기 탐지가 96% 증가하고 2017 년 상반기 대비 대비는 956% 증가했다고 전했다. 또한, 이런 공격을 위해 사이버 범죄자들은 서버 익스플로잇 공격, PHP 취약점, 악성 광고, 다른 형태의 멀웨어 공격, 금융 사기 사이트 등 다양한 방법을 사용하고 있다고 설명했다.

금전적 이득을 노린 공격과 함께 악성코드 유포와 DDoS와 스팸 공격을 전개하는데 주로 활용되는 봇넷(Botnet) 공격도 증가하고 있다. 카스퍼스키랩이 발표한 ‘2018년 상반기 봇넷 활동 결산 보고서’에 살펴보면 올해 봇넷을 통해 유포되는 다기능 악성코드가 증가하고 있다. 특히 원격 접속 도구(RAT) 악성 코드는 감염된 PC를 거의 무제한 수준으로 악용할 수 있다는 장점에 힘입어 크게 증가해 봇넷을 통해 유포된 악성 코드 중 RAT 파일의 비중은 2017년 상반기 대비6.55%에서 12.22%로 거의 2배 가까이 증가했다.

이처럼 지능화되고 강화된 사이버 공격으로 인해 보안 위협이 증가하고 있어 이에 보안 기업들은 지능화된 공격에 대응할 수 있도록 인공지능과 빅데이터 등 신기술을 보안 솔루션에 접목하고 있다.

지능화된 위협 공격 대응 위해 신기술 필요

국내 보안기업인 수산아이엔티, 지니언스, 이글루시큐리티, 안랩 등은 인공지능과 빅데이터 등의 신기술을 기존 솔루션에 접목시키고 있으며, 시만텍, 트렌드마이크로 등 글로벌 보안기업도 자사 보안솔루션에 신기술을 접목하고 있다. 그렇다면 신기술 접목이 필요한 이유는 무엇일까? 보안 전문가들은 지능화되고 방법도 다양화되고 있는 악성코드의 위협과 확대된 보안 영역에 대응하기 위해서는 신기술 접목이 필요하다고 말하고 있다.

보안기업 지니언스의 이대효 연구기획실장은 “보안 위협의 변화에 따른 대응의 변화가 필요해졌으며, 대응영역도 확대되었다”며 “과거의 보안 기술로는 이런 변화된 보안 위협과 확대된 영역에 대응하기 힘들어 인공지능 등 신기술이 필요하다”고 말했다.

이글루시큐리티 정일옥 관제기술연구팀장은 “많은 기기와 인프라 등이 사용자와 긴밀히 연결돼 기업과 기관, 개인 사용자를 노리는 보안 위협은 더 증가될 전망이다”며 “기술 발전과 함께 보안 위협의 종류와 공격 방식이 빠르게 진화하고 있어 방대한 보안 데이터를 통합적으로 분석하고 선제적으로 대처를 위해 신기술과 융합해야 한다”고 말했다.

수산 아이앤티 CTO 양철웅 상무 또한, “기존 보안 기술의 취약점을 노린 사이버공격은 다양한 형태로 진화하고 있으며 진화 속도도 빨라졌다”며 “다양한 보안위협에 대응하기 위해 기존의 패턴들을 분석하고 향후 공격 시나리오를 예상할 수 있어야 하는데 이런 분석과 예상을 위해서는 신기술과 접목이 필요하다”고 말했다.

기존 보안 솔루션 다양한 보안위협 대응 한계점 있어

보안위협의 변화에 따른 대응방법 변화와 대응영역의 확대에 따라 이에 대처하기 위해 신기술의 필요성과 함께, 이전의 보안 솔루션으로는 현재 발생하고 있는 보안위협을 방어하기는 한계점에 달해 신기술을 접목해 보안 솔루션을 고도화하고 있다.

지니언스 이 실장은 ”보안위협의 양(Quantity)과 질(Quality)이 크게 증가하고 발전된 것에 비해 기존의 보안 솔루션이 이러한 변화를 대응하는데 한계에 도달했다”며, “이런 한계점 극복을 위해 신기술을 활용하고 있으며, 이와 함께 위협 대응이 과거에는 사전 예방 위주에서 탐지와 조치 위주로 바뀌고 있어 신 기술이 주목받고 있다”고 말했다.

수산 아이앤티 양 상무는 ”기존의 솔루션들은 통합적인 보안이 아닌 하나의 보안 기능을 강조한 솔루션이 많아 다각적으로 사이버 공격이 발생하는 현재의 보안위협에 대응하기는 부족하다”며 “이에 대응하기 위해서는 각 보안 솔루션들이 유기적으로 연동되어야 하고, 공격처럼 보안도 빅데이터를 분석하고 학습을 통해 보강된 보안이 필요하다”고 강조했다.

안랩 서비스플랫폼팀 최광호 팀장은 “기존의 관제서비스는 현재 나타나는 사이버 공격에 효과적이고 정교한 관제를 하기 어렵다”며 “특히, 사이버 공격이 스웜(Swarm) 공격, 하이브(Hive)넷, AI의 무기화(Weaponizing AI) 등 각종 AI 기법을 활용한 공격 등 ‘자동화된 위협’으로 발전하고 있어 이런 대량의 공격은 대응 리소스의 분산을 가져와 관제서비스의 최종 목적인 분석 및 예방에 대한 집중을 어렵게 만든다“라고 말했다.

가시성 증대와 정확한 탐지 대응 가능

빅데이터 등 신기술과 접목된 보안 솔루션들은 기존 보안 솔루션에 비해 보안 능력이 크게 향상됐다. 특히 많은 보안기업들이 주목하고 있는 신기술인 인공지능과 결합한 보안 솔루션은 보안 가시성 확장과 정확히 공격을 탐지해 대응이 가능해졌다. 지니언스 이 실장은 “인공지능과 머신러닝을 통해 시그니처(Signature)기반의 악성코드 탐지의 한계를 극복했다”며 “한계점 극복과 함께 데이터 분석에 따른 기존의 미 탐지 위협과 이상행위를 추가로 탐지해 위협에 대한 가시성(Visibility)이 확대됐다”고 설명했다.

인공지능 기술은 가시성 확장과 정확한 탐지 대응이 이외에도 매일 쏟아지는 보안 이벤트와 위협정보를 걸러내 보안담당자의 업무 부담을 줄여주는 역할도 한다. IT 기업 엑스페리즈(Experis)는조사결과 2019년 150만 명 이상의 정보보안 인력 부족이 발생하리라 예측했다.

이미 보안전문가의 수요가 부족한 상황에서 AI 보안기술은 부족한 인력을 보완할 대안으로 주목받고 있다. AI를 통해 반복적인 단순 업무를 처리함으로써 보안 업무 효율성을 높이고 업무 부담이 줄어든 보안담당자는 중요하고 생산적인 보안 업무에 배치할 수 있기 때문이다.

이글루시큐리티 정 팀장은 “보안관제에서 학습된 머신러닝 기반 시스템이 각종 보안 장비로부터 수집되는 방대한 데이터를 분석해 이중 정상적인 90%의 이벤트를 분석한다면, 보안관제 전문가는 나머지 10%의 의심스런 이벤트만 집중적으로 분석함으로써 보안관제의 효율성을 높일 수 있다”고 말했다.

파이오링크 보안관제 1팀 신용호 팀장은 “인공지능 관제 시스템은 단순 반복적인 업무량을 줄여줘 관제 효율성이 증가되고 업무 부담이 줄어든 보안관제사는 기존에 대응하지 못한 부분에 대한 대응해 보안 효과도 증대된다”고 말했다.

신기술 보안 솔루션 역기능 나타날 수 있어

신기술과 접목한 보안 솔루션은 전체적인 보안 능력을 크게 향상시켜 다양한 사이버 공격에 대응하고 가시성을 확대할 수 있는 장점도 있지만, 보안 데이터베이스 부족으로 인한 잘못 탐지하는(오탐지) 발생, 관리자가 신기술에 대한 전문지식이 부족해 발생하는 위협 등 역기능이 나타날 수 있다.

특히 보안관제에서 보안 관제사가 신기술에 대한 이해도가 부족할 경우 중요한 보안 이벤트를 놓치는 문제가 발생할 수 있다. 그래서 파이오링크는 신기술의 접목을 위해서는 기존의 보안관제 인원들이 해당 기술에 대한 이해도를 높이기 위해 준비 기간이 필요하다고 설명했다. 파이오 링크 신팀장은 “이해도와 함께 신기술을 지속 관리할 수 있는 새로운 인력도 필요하다”고 말했다.

이글루시큐리티는 보안관제에서 신기술과 접목한 보안 솔루션을 효과적으로 활용하기 위해서는 ‘다양한 경험을 가지고 있는 보안전문가 보유’, ‘의미 있는 정보를 수집·선별·분석할 수 있는 솔루션의 도입 유무’, ‘보안위협에 대응할 수 있는 최적의 보안관제 프로세스 보유’ 등이 확인돼야 한다고 강조했다.

이글루시큐리티 정 팀장은 “신 기술과 접목된 솔루션이 높은 활용도를 발휘하기 위해서는 보안 전문가, 보안 솔루션, 보안 프로세스 등의 필수 요건이 필요하다”며, “이런 요건이 부족하면 기대에 미치지 못하는 결과가 도출될 수 있어 의미 있는 결과를 위해 반드시 요구되는 핵심 요소들을 잘 갖추고 있는 지 점검해야 한다”고 말했다.

안랩 또한, 신기술을 접목한 보안관제를 하기 위해서는 ▲데이터 거리 기반의 비지도(Anomaly Detection) 학습기법을 사용해 탐지 ▲정/오탐 분석에 대해 사람의 인지 능력을 최대한 모방하는 지도학습기법을 사용해 위협을 구성하는 의도에 대해 자동으로 식별 ▲공격 유효성 판단의 경우 전문가가 지정한 자동화된 점검 순서에 따라 빠르게 공격 영향도를 점검필요 ▲대응관점에서 다양한 정보(Intelligence)를 통합할 수 있어야 하며, 단순한 연동이 아닌 다중소스와 단일보기(Multi Source But Single View), 작동(Operation)가능해야 한다고 설명했다.

안랩 최 팀장은 “침해대응과 위협분석에 있어 하나의 기법 또는 알고리즘으로 구성하는 것이 아닌 침해대응의 각 요소 별로 최적화된 기법과 알고리즘 그리고 학습 방법을 지원하고 이를 통합할 수 있는 설계능력이 필요하다”고 말했다.

접목되는 신기술 중 보안 솔루션에 많이 활용되는 머신러닝 기술은 복잡한 알고리즘을 통해 대량의 데이터를 분석하고 패턴을 인식해 그것을 바탕으로 예측을 진행한다. 이 때 학습을 진행할 수 있는 데이터의 양과 질에 따라 나쁜 결과값이 나타나는 ‘오버피팅(Overfitting)’ 오류 또는 성향적(Variance) 오류가 발생할 수 있다.

ETRI 김익균 지능보안연구그룹 그룹장은 “최근 인공지능의 역기능에 대해 우려의 의견이 많이 나오고 있다”며, 인공지능은 학습단계를 거칠 수밖에 없는데, 학습 단계의 오염으로 인한 판단 오류는 인간의 생명과 직결될 경우 심각한 결과를 초래할 수 있다”고 말했다.

안전한 정보보안 환경 위해 신기술 고도화 필수

신기술이 접목된 솔루션은 오탐지, 관리자 활용 미숙으로 인해 다양한 문제점이 발생할 수 있지만, 이런 문제점만 해결할 수 있다면, 지능화되고 다양한 경로를 통해 발생하는 사이버 공격을 정확히 탐지하고 효율적으로 방어할 수 있어 향후 다양한 정보보안 위협을 대응하기 위해서는 신기술 접목이 필수가 될 것이다.

그래서 다양한 보안기업들은 신기술을 접목한 보안 솔루션 고도화를 위해 연구개발 또는 신기술 도입을 진행하고 있다. 지니언스는 자사가 보유한 머신러닝 기술을 고도화해 위협에 대한 가시성을 네트워크, 데이터와 사용자 행위 등으로 확대할 예정이다. 수산INT는 증가하고 있는 악성코드 트래픽을 방어하기 위해 네트워크 솔루션 기능을 강화하고 있다. 이와함께 블록으로 저장해 안전한 보안 환경을 구성할 수 있는 블록체인 기술을 도입한 보안 플랫폼을 준비하고 있다.

보안관제를 주요 사업으로 하고 있는 이글루시큐리티는 알려지지 않은 보안 위협을 탐지하고 보안 데이터 분석의 정탐률과 이벤트 처리 효율성을 높이는 것에서 더 나아가, 보안관제시스템(SIEM)과 인공지능 시스템이 분석·예측한 보안 경보부터 위협 차단에 이르는 과정을 자동화하고, 정보 인프라의 자기 방어 능력을 높이며, SIEM을 비롯한 다양한 단위 보안 시스템들을 연동해 보안 업무 프로세스의 효율성을 높이는 기술을 적용하기 위해 연구를 진행하고 있다.

파이오링크는 시큐레이어와 함께 진행하고 있는 보안관제시스템에 인공지능 플랫폼 적용과 외부 위협 정보 연동을 통한 보안관제 환경 고도화를 위해 연구를 진행하고 있다.

ETRI 지능보안연구그룹 김익균 그룹장은 “신기술 고도화와 함께 양자컴퓨터 시대의 도래에 따라 현존 암호체계의 한계를 극복하기 위한 양자 키 분배, 양자내성 암호(PQC) 등을 분석하기 위해 양자 컴퓨터와 연계가 필요하다”고 말했다.