[아이티데일리] 안랩이 보안위협 대응전략 컨퍼런스 ‘안랩 ISF 2020 버추얼 컨퍼런스(AhnLab ISF 2020 Virtual Conference, 이하 ISF 2020)’을 지난달 21, 22일 양일간 개최했다. 최근 비대면 트렌드에 따라 온라인 세미나 방식으로 진행된 ‘ISF 2020’에서는 보안 시장 및 기술 동향, 안랩 솔루션 구축 사례 등이 공유됐다.

이번 컨퍼런스는 이틀간 누적 접속자 1,400명을 달성, 온라인 세미나임에도 많은 호응을 받았다. 특히 발표자들이 실시간으로 질의응답하는 ‘라이브 토크’ 세션을 진행, 참가자들과의 활발한 소통도 이어나갔다. 이외에도 온라인의 장점을 살려 실시간 채팅에 올라오는 질의에 답변해주는 등 참가자들로부터 호응을 받았다. ‘안랩 ISF 2020’ 온라인 세미나의 현장을 살펴본다.

‘안랩 4.0’으로 비대면, 디지털 트렌스포메이션 트렌드에 대응

‘안랩 ISF2020’은 코로나19(COVID-19)로 인한 비대면(Untact) 트렌드에 따라 온라인 세미나로 마련됐으며, 21~22일 양일간 진행됐다. 첫날은 강선균 안랩 대표의 인사말을 시작으로 ▲이상국 안랩 EP사업기획실 상무의 ‘예기치 못한 위협의 시대, 무엇을 보호하고 어떻게 보안할 것인가’ ▲한창규 안랩 ASEC 상무의 ‘끝나지 않는 전쟁, 효과적인 공격과 방어 전략’ ▲노영진 안랩 R&D 상무의 ‘변화하는 클라우드에 작합한 구축 전략과 합리적인 보안 방안’ ▲곽희선 안랩 서비스사업기획팀장의 ‘클라우드 환경에서의 웹 위협 대응방안’ ▲김근진 스파이스웨어 대표의 ‘클라우드 네이티브 환경에서의 데이터 보안: 자동화로 위험 감소’ 등의 발표가 이어졌다.

강석균 대표는 인사말을 통해 “최근 코로나19로 인한 언택트 트렌드가 가장 큰 화두다. 안랩의 보안위협 대응전략 컨퍼런스 ‘ISF’도 변화가 요구됐으며, 이에 따라 이번 컨퍼런스를 온라인으로 마련했다”고 ‘ISF 2020’ 개최 배경을 설명했다.

이어 “올해는 안랩이 창립 25주년을 맞이한 해다. 안랩은 디지털 융합 보안 기업으로 나아가는 것을 목표로 ‘안랩 4.0’ 전략을 수립했다. 뉴노멀, 디지털 트랜스포메이션이 대세로 자리잡아가고 있다. 이에 보안 분야 역시 엔드포인트, 네트워크를 넘어 클라우드 등 다양한 환경을 보호해야 하는 과제에 직면해 있다”고 강조했다.

또한 강 대표는 “안랩은 ▲미래성장을 위한 기업구조 및 조직 혁신(New AhnLab) ▲시장변화에 대응하는 사업영역 확장(EXtend Security) ▲차세대 기술 역량 적극 확보(Transform Technology) 등으로 구성된 ‘N.EX.T 무브 안랩 4.0’ 전략을 추진하고 있다. 이 전략에 따라 올 6월 클라우드 워크로드 보호(CWPP) 솔루션 ‘안랩 CPP’를 출시했으며, 클라우드 운영을 위한 전문 서비스도 시장에 제공하고 있다”면서, “이번 ‘ISF 2020’에서는 디지털 트랜스포메이션에 대응하는 안랩의 솔루션을 소개하고자 한다”고 덧붙였다.

“보안의 우선순위가 중요하다” 

첫 순서로 이상국 안랩 EP사업기획실 상무의 ‘예기치 못한 위협의 시대, 무엇을 보호하고 어떻게 보안할 것인가’라는 주제 발표가 있었다. 이상국 상무는 “이번 세션을 통해 무엇을 어떻게 보호할 것인가에 대해 이야기를 나눠보고자 한다”면서 “보안에서는 ‘모든 것을 다한다’가 ‘모든 것을 안한다’와 동일하다. 조직들은 실제 실행할 수 있는 보안을 고민해야 한다”고 말하며 발표를 시작했다.

이 상무는 “조직은 정확한 내부 가치 산정을 통해 보안의 우선순위를 정하는 것이 중요하다. 보안 벤더가 정해주는 것이 아니라, 스스로 판단해서 우선순위를 설정해야 한다”고 강조하며, “특히 우선순위를 설정할 때는 대상을 판단하는 것뿐만 아니라, 사이버 위협의 우선순위도 설정해 이에 대응할 수 있는 체계를 구축해야 한다”고 설명했다.

이상국 상무에 따르면 사이버 위협의 경우 가장 생각하기 쉬운 부분인 ‘취약점’부터 ‘위협’, ‘리스크’ 순으로 우선순위를 설정할 수 있다. 취약점(알려진 위협)은 주로 소프트웨어에서 발견되는 보안상의 문제점으로, SW 개발기업에서 보안 패치를 통해 보완한다.

‘위협’은 알려지지 않은 위협(Unknown Threat)을 의미한다. 주로 지능형 지속 위협(APT) 등을 뜻하며, 공격자는 사용자가 느끼지 못하는 수준을 임의로 정하고 공격을 실행한다. 이와 같은 공격은 하나의 보안 방법론으로는 대응이 어렵기 때문에, 다차원적인 방법론이 필요하다.

마지막 ‘리스크(Risk)’는 사용자가 식별하지 못하는 위협이다. ‘리스크’가 문제가 되는 이유는 사용자가 위협을 느낄 수 없기 때문이다. 이런 위협에 대응하기 위해서는 우선적으로 가시성을 확보해야 한다.

사이버 위협의 우선순위까지 설정했다면, 이에 대응하기 위해서 탐지 역량을 확보해야 한다. 사이버 공격은 악성파일을 이용한 공격부터, 파일리스 공격, 행위 기반 공격 등 다양한 방식으로 진행된다. 각 방식마다 대응 방법이 다르며, 이에 맞는 탐지 기법이 필요하다. 대표적으로는 시그니처, 룰, 패턴 등의 기법을 꼽을 수 있다. 최근에는 효과적인 탐지를 위해 머신러닝, AI 역량도 요구되고 있다.

또한 침해지표(IoC: Indicator of Compromise) 및 공격지표(IoA: Indicator of Attack)에 맞춘 탐지 기법도 고민해볼 수 있다. IoC는 침해 흔적을 중심으로 방어자 대응에 초점을 맞춰 분석한다. IoA는 침해의도를 중심으로 공격자 입장에서 공격을 탐지하는 방법이다. 방어자와 공격자의 입장에서 분석한 결과로 입체적인 탐지 기법을 만들어야 한다. 조직은 탐지 대상과 기법에 대한 이해를 통해 정책을 설정할 수 있어야 한다.

대응 역량도 중요하다. 고객의 기대치는 탐지된 위협에 자동으로 대응하는 것이다. 대응의 주체는 고객 스스로가 된다. 자동 대응을 위해서는 룰을 만들고, 오탐을 줄이기 위한 개선 등을 위한 시간이 필요하다. 최근 솔루션 대응 방법은 고객에 위협을 알려주고 고객사가 대응할 때 판단의 근거를 마련해주는 것이 트렌드다.

최근 보안 방법론 중 ‘위협 사냥(Threat Hunting)’이 주목받고 있다. 이러한 방법론을 실행할 때는 판단의 근거가 되는 데이터가 중요한데, 조직 내부자료만으로는 한계가 있다. 이에 산업 전반에 걸쳐 정보를 제공하는 ‘위협 인텔리전스’ 시장 또한 커지고 있다. 더불어 탐지 및 대응 역량을 기존의 보안 영역인 온프레미스뿐만 아니라 클라우드 등 다양한 환경도 보호할 수 있도록 확장해야 한다.

이상국 상무는 마지막으로 “보안성을 높일수록 직원들의 편의성은 떨어지게 된다. 직원들이 공감하고 호응할 수 있어야 조직내 보안을 강화할 수 있다. 보안 담당자는 직원들이 보안 강화에 적극적으로 참여할 수 있도록 해야 한다”고 강조했다.

“사이버 공격의 경제성을 악화시켜라” 

이상국 상무에 이어 한창규 ASEC 상무가 ‘끝나지 않는 전쟁, 효과적인 공격과 방어 전략’을 주제로 발표를 진행했다. 한창규 상무는 2차 대전 당시 프랑스의 마지막 한계선이었던 ‘마지노선’을 예시로 들며, 사이버 공격 또한 가장 취약한 부분을 노린다고 강조했다. 대표적인 사이버 공격 사례를 리뷰하며, 여전히 공격자는 정치·사회적인 목적과 금전적인 이득을 위해 사이버 공격을 감행하고 있다고 설명했다.

한 상무에 따르면, 여전히 웹, 이메일, 취약점이 사이버 공격에 가장 많이 활용되고 있다. 공격 성공확률이 높기 때문이다. 조사결과를 살펴보면 웹과 이메일을 통한 사이버 공격은 전체 사이버 공격의 91%를 차지하고 있다. 또한 사이버 공격 그룹의 65%는 이메일을 활용해 공격을 진행하고 있는 것으로 나타났다. 조직에 악성코드가 유입되는 경로는 주로 이메일(94%)이었으며, 취약점을 악용한 공격 또한 지속되고 있다.

웹과 이메일을 통한 사이버 공격에 활용되는 대표적인 기법이 사회공학적 기법이다. 타깃이 흥미를 가질 수 있는 내용으로 위장해 공격하는 방식으로, 보안에서 가장 취약한 부분인 사람을 노리는 것이다. 이러한 공격에 대응하기 위해 시그니처, 행위 분석 등 다양한 탐지 기술이 활용되고 있다.

하지만 방어기법이 발전할수록 공격기법 또한 발전하고 있다. 파일 외형을 변조하면서 시그니처 기반 탐지 기술을 우회하고, 가상환경을 악성코드가 인지해 우회하는 기법도 사용된다. 물론 이에 대응하기 위해 새로운 방법론, 기술들이 꾸준히 개발되고 있다.

한 상무는 “최근 보안 업계에서는 공격자의 금전적인 이득 부분에 집중하고 있다. 100% 막는 것은 불가능하기 때문에 공격자가 공격에 드는 비용을 늘려 금전적인 이익을 없애는 것이다. 공격자도 수익성이 악화되면 굳이 공격할 이유가 없어진다는 점을 노리고 있다”고 설명했다.

“클라우드 환경에 맞춘 보안 필요하다”

노영진 안랩 R&D 상무는 ‘변화하는 클라우드에 적합한 구축 전략과 합리적인 보안 방안’이라는 주제로 발표를 진행했다. 노영진 상무는 “국내 클라우드 시장은 AWS 한국 리전 설치를 기점으로 본격 개화되기 시작했다. 2017년 리전 설치 이후 15% 이상의 성장률을 지속해 왔다”며 “클라우드 전환이 본격화됨에 따라 클라우드를 제대로 이용하기 위한 ‘클라우드 네이티브(Cloud Native)’가 주목받고 있다. 이번 발표에서는 클라우드 네이티브와 함께 보안을 강화할 수 있는 방안을 살펴보겠다”고 말했다.

노 상무는 클라우드 전환의 대표적인 사례로 넷플릭스를 소개하며, ‘클라우드 네이티브’의 중요성을 강조했다. 클라우드 전환만으로도 서버 관리자 인건비 절감 등의 장점이 있지만, 빠르게 비즈니스에 대응할 수 있다는 클라우드의 장점을 활용하기 위해서는 클라우드 네이티브가 반드시 추진돼야 한다는 것이다.

클라우드 네이티브는 클라우드의 장점을 최대한 활용하는 방안을 의미한다. 마이크로서비스아키텍처(MSA), 컨테이너 등으로 앱을 재개발해 비즈니스에 빠르게 대응한다는 전략이다. 이를 위해서는 기존 서비스를 MSA로 재설계해야 한다. 서비스를 잘게 쪼개고 컨테이너에서 구동해야 한다. 클라우드 네이티브로 재설계하는 것은 많은 시간과 비용이 들기 때문에, 어떠한 전략이 더욱 효과적일지 잘 판단해야 한다.

노 상무는 “클라우드 전환을 준비하면서 보안을 간과하는 경우가 있다. 클라우드 전환에 있어 리스크 관리도 매우 중요하다. 최근 CSP의 책임 공유 모델이 많이 홍보되면서 클라우드로 전환하는 기업들이 보안 방안도 많이 고민하고 있다. 하지만 클라우드 환경에서의 보안은 기존 온프레미스 환경에서의 보안과는 차이가 있다. 가트너에서는 클라우드 환경을 위한 보안을 ‘CWPP’로 명명하고, 가이드라인을 제시하고 있다. 최근 CWPP는 클라우드 네이티브 보안의 기본 요소로 자리잡고 있다”고 말했다. 또한 노 상무는 “클라우드 네이티브 보안이 되기 위해서는 데브섹옵스(DevSecOps)도 중요하다. SW를 개발할 때 코드에 보안 취약점이 없는 지 검사할 수 있는 환경을 만들어야 한다”고 덧붙였다.

“보안 관제 서비스로 클라우드 환경 보호”

이어 곽희선 안랩 서비스사업기획팀장이 ‘클라우드 환경에서의 웹 위협 대응 방안’을 주제로 발표를 진행했다. 곽희선 팀장은 “온프레미스와 클라우드 환경의 차이를 인지하고, 각각에 맞춘 보안 체계를 구축해야 한다. 실제 클라우드 보안 담당자들은 보안 및 관제에 대한 고민을 많이 하고 있다. 이번 발표를 통해 클라우드 환경에서의 보안 위협 대응 방안을 살펴보고자 한다”면서 발표를 시작했다.

곽희선 팀장에 따르면, 온프레미스 환경의 경우 내·외부의 공격이 명확하기 때문에 이를 보완할 수 있는 방안이 마련돼 있다. 하지만 클라우드 환경에서 서비스를 제공할 때에는 위협 경로를 특정할 수 없다. 특히 클라우드 환경은 온프레미스 환경에 비해 웹 기반 공격이 많은 점이 특징이다.

곽 팀장은 클라우드 환경에 맞는 새로운 보안 체계를 고민해야 한다고 강조했다. 또한 안랩은 이러한 시장 수요에 대응하기 위해 2015년부터 클라우드 보안 관제 서비스를 제공하고 있다고 설명했다. 안랩은 AWS, MS애저는 물론, KT, NBP 등 국내 CSP들과도 협력해 관제 서비스를 제공하고 있다.

특히 CSP들은 책임 공유 모델을 통해 보안 사고에서의 책임 범위를 명확히 하고 있다. 인프라를 제외한 부분은 클라우드를 이용하고 있는 기업에서 보안 체계를 구축해야 하는 것이다. 안랩은 이러한 기업들을 지원하기 위해 관제는 물론, 보안 설정 및 솔루션 운영 방안 등을 포함해 컨설팅 서비스도 제공하고 있다. 특히 지난 6월에는 AWS WAF 이용자를 대상으로, 보안관제센터 전문 인력이 원격으로 AWS WAF를 운용해, 고객의 AWS 클라우드 기반 웹서비스에 대한 보안관리 및 모니터링을 제공하는 서비스 ‘AWS WAF 관제 서비스’를 출시했다.

곽희선 팀장은 “안랩은 클라우드 특화 서비스를 위한 자체 대응 시스템을 보유하고 있으며, 퍼블릭 클라우드 환경에 특화된 전문가를 확보했다. 또한 국내외 보안 기업들과 협업해 클라우드에 최적화된 보안 솔루션을 제공하고 있다”고 설명했다.

“클라우드 환경에서 데이터 보안이 중요하다” 

첫날 마지막 세션에서는 김근진 스파이스웨어 대표가 ‘클라우드 네이티브 환경에서의 데이터보안: 자동화된 위험’을 주제로 발표를 진행했다. 김근진 대표는 “급변하는 비즈니스 요구사항에 대응하기 위해서는 디지털 전환이 필수가 되고 있다. 많은 기업들이 디지털 전환을 위해 컨테이너, CI/CD(지속적 통합 및 배포) 등에 관심을 보이고 있다”고 말하며 발표를 시작했다.

김 대표에 따르면, 시장에서는 클라우드 환경에 맞는 새로운 보안 방식을 요구하고 있다. 클라우드 컴퓨팅에는 수많은 서비스 제공자가 있고 다양한 방식으로 운영되고 있다. 아키텍처도 서비스 중심으로 구성돼 작은 단위로 쪼개는 MSA가 중심이 되고 있다. 하지만 이로 인해 보안 취약점이 발생할 수 있는 가능성도 커지고 있다.

김 대표는 “이에 새로운 접근 방식이 요구되고 있다. 고려할 포인트가 많은 만큼 많은 시간이 소요된다. 전문가가 많지 않은 것도 문제다. 기존 환경에서는 네트워크 밖에서 안으로 들어오는 것을 보호하는 체계가 구축됐다면 클라우드에서는 방대한 환경을 보호하기 위한 체계가 요구되고 있다”고 강조했다.

그는 클라우드 환경 도입 시 ▲네트워크의 복잡성 ▲탄력적 운용 ▲책임 공유 모델 등을 고려해야 한다고 설명했다. 특히 클라우드 네이티브 환경에서는 데이터 보안이 가장 중요하며, 암호화는 물론, 암호키 격리, 데이터 접근제어, 감사로그 수집 등을 갖춰야 한다고 강조했다.

김 대표는 “클라우드 환경에 맞게 구성된 데이터 보안은 ▲지속적인 데이터보안 ▲생산적이고 안전한 데이터보안 ▲비용절감형 데이터보안 ▲가시성 및 성능이 확보된 데이터 보안 등 4가지를 요구한다. 스파이스웨어는 이러한 요구사항에 맞춘 데이터 암호화 솔루션을 제공하고 있다”고 설명했다.

“비대면이 주를 이루는 뉴노멀 시대를 대비하라” 

‘ISF 2020’의 두 번째 날은 전성학 안랩 연구소장의 언택트 인터뷰로 문을 열었다. 전성학 소장은 최근 주목해야 할 트렌드로 ‘언택트 시대로의 전환’을 꼽았다. 특히 비대면 트렌드가 한시적으로 끝나는 것이 아닌, 꾸준히 지속될 것으로 예상했다. 더불어 트렌드를 보안의 관점에서 주목해야 한다고 강조했다. 엔드포인트, 네트워크 부문에서 보안 강화가 필요하다고 설명했다.

주목해야할 보안 솔루션으로는 ‘보안 오케스트레이션 및 자동화, 대응(SOAR: Security Orchestration, Automation and Response)’을 꼽았다. 보안 관제 영역이 늘어남에 따라, 담당자의 업무를 효율화할 수 있는 SOAR 솔루션의 수요가 늘어날 것으로 전망했다.

전 소장은 완전한 클라우드 시대에 대비해야 한다고도 강조했다. 올해를 기점으로 국내 공공 및 금융 시장에서도 클라우드 전환이 활발해지고 있으며, 안랩은 이러한 수요를 공략하기 위해 CWPP 솔루션 ‘안랩 CPP’를 출시했다고 설명했다. 이어 올해 ‘CPP’와 ‘EDR’ 솔루션에 중점을 두고 있다고 설명했다.

전성학 소장은 “내년에는 원격근무, 온라인 세미나 등이 뉴노멀로 자리잡을 것이다. 클라우드 전환은 더욱 가속화될 것이며, 보안도 이에 맞춰 발전해나가야 한다”면서 “안랩은 엔드포인트부터 네트워크, 클라우드 등 전 영역에서 역량을 갖춘 기업으로, 시장 요구에 적극 대응해나가겠다”고 말했다.

EPP, EDR 통해 엔드포인트 보안 강화 사례 공유

‘ISF 2020’의 두 번째 날은 안랩 솔루션의 구축 노하우를 제시하는 ‘데모 & 케이스 스터디 데이’로 구성됐다. 첫 번째 발표인 오상언 안랩 EP컨설팅팀장의 ‘엔드포인트 플랫폼 기반의 보안 고도화 사례 소개’와 두 번째 발표인 원남호 안랩 EP기술지원1팀장의 ‘슬기로운 EDR 생활’을 통해 엔드포인트 보안 강화 사례를 공유했다.

오상언 팀장은 “최근 사이버 공격은 엔드포인트에 초점이 맞춰져 있으며, 보안 또한 엔드포인트에 중점을 두고 있다. 특히 기존의 엔드포인트 보안은 EPP와 EDR이 구분돼 발전해 왔으나, 최근에는 통합되는 추세”라고 설명하면서, ‘안랩 EPP’를 통해 보안 취약 PC의 정보유출 대응 체계를 구성한 사례를 공유했다.

원남호 팀장은 “외부 위협에 대응하기 위해서는 우선적으로 탐지가 가능해야 한다. 만약 피해가 발생하더라도 포렌식을 통해 침해 원인을 파악해 재발을 방지해야 한다”고 강조하며, EDR 활용 사례를 소개했다. 특히 원 팀장은 “EDR을 운용하는 과정에서 담당자의 개입은 필수적이다. 탐지정보를 판단해주는 역할과 함께, 예외처리도 해야 탐지율을 높일 수 있다. EPP, SIEM 등을 활용하고 있었다면 EDR 도입을 통해 이벤트 수집 및 대응 역량을 강화할 수 있다”고 말했다.

“VPN으로 원격근무 환경 보호한다”

세 번째 세션에서는 정승재 안랩 NW컨설팅파트 부장의 ‘언택트 시대를 위한 원격업무 환경 구축 방안’에 대한 발표가 이어졌다. 정승재 부장은 “원격근무가 본격화되면서 VPN에 대한 관심이 높아지고 있다. 이번 발표에서는 VPN 구축 시 고려해야 하는 사항을 공유하고자 한다”면서 발표를 시작했다.

정 부장은 VPN 구축 시 ▲사용자 현황 분석 ▲계정 생성과 보안 ▲원격 근무용 단말의 보안 등을 고려해야 한다고 강조했다. 먼저 VPN을 사용하기 전에 사용자를 파악하고, 각 업무에 맞는 시스템에만 접근할 수 있도록 설정해야 한다는 것이다. 계정과 관련된 보안도 매우 중요하다. 사용자가 패스워드를 변경하는 등 보안 조치를 취하도록 적극적인 방안을 마련해야 한다.

디바이스에 대한 보안 방안도 마련해야 한다. 실제 VPN 터널을 통해 사내 시스템이 랜섬웨어에 감염된 사례도 발견된 만큼, VPN을 통해 사내 시스템에 접근하는 디바이스에 대한 보안 방안을 마련해야 한다. 하지만 문제점은 원격근무용 디바이스가 직원 개인의 소유일 수 있다는 점이다. 보안을 강화하면 자칫 사생활 침해와도 연결될 수 있다. 이에 VPN 연결 시 디바이스를 검사하는 방안 등을 고려해야 한다. VPN 터널로 들어오는 악성 트래픽 유입도 고민해야 한다. 악성 트래픽을 차단하기 위해 IPS 시스템을 구축하거나 기능을 활용해야 한다.

정 부장은 “안랩의 ‘트러스가드(TrusGuard)’는 이러한 요구사항에 모두 대응할 수 있다. VPN 기능과 함께 IPS 기능을 사용할 수 있으며, 계정 보안을 강화하기 위한 OTP 연동 기능 등도 제공한다. 또한 디바이스 보안과 관련해 ‘안랩 온라인시큐리티’와 연동해 디바이스를 검사한 뒤, VPN을 연결하도록 설정할 수 있다”고 설명했다.

보안 업무 효율화를 위한 솔루션 ‘안랩 세피니티 AIR’

이어진 세션에서는 김병선 안랩 서비스영업본부 부장이 ‘보안 업무가 한눈에 보이는 프로세스를 통한 시간 아끼기’를 주제로 발표했다. 김병선 부장은 “SOAR는 SIEM(Security Information & Event Management) 등 이상행위를 탐지하는 솔루션이 너무 많아지고 있다는 점에서 착안된 솔루션이다. 위협에 대해 대응 레벨을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있는 플랫폼으로, 오케스트레이션, 오토메이션, 콜라보레이션, 리포팅 등 4가지 주요 기능을 제공한다”고 설명했다.

SOAR의 오케스트레이션은 다양한 보안, 네트워크 솔루션과의 연동을 지원하는 기능이며, 오토메이션 기능은 보안 담당자의 반복 업무를 자동화해 효율성을 높인다. 콜라보레이션 기능은 케이스 관리 및 대응전문가와 분석가의 협업을 지원하고, 대응 내역을 기록 및 관리한다. 마지막인 리포팅 기능은 대응활동에 대한 보고 지표를 지원한다.

김병선 부장은 “안랩의 SOAR 솔루션 ‘세피니티 AIR(Sefinity AIR)’는 정·오탐 구분 및 위협요소를 평가하는데 머신러닝을 활용하고 있다. ‘세피니티 AIR’는 단순 반복 업무를 자동화해 담당자가 주요 업무에 집중할 수 있도록 도우며, 담당자간 업무 편차를 최소화해 신속한 대응이 가능하도록 한다. 프로세스 가시성 확보 및 통합적이고 유기적인 대응 등도 가능해진다”고 강조했다.

“AI로 IT 시스템 장애 예측한다”

이번 ‘ISF 2020’의 마지막 발표는 ‘보안위협과 IT 장애의 정밀탐지/미래예측 AI 시스템’이라는 주제로 김경화 제이슨 대표가 맡았다. 김경화 대표는 AI 이상징후 탐지 시스템 ‘제이머신(JMachine)’을 소개했다. ‘제이머신’은 방화벽, IPS/IDS, 안티 디도스 등 네트워크 보안 제품뿐만 아니라 DRM, DLP 등 다양한 보안 장비로부터 데이터를 수집, 분석해 이상징후를 탐지한다.

김 대표는 “‘제이머신’의 특징은 기존 AI 보안 제품과는 다르게, 탐지뿐만 아니라 분석 및 대응에도 중점을 두고 있다”면서 “AI통합관제, AI자동대응, AI정밀탐지, AI자동탐지, AI미래예측 등 5가지의 주요기능을 제공하는 것이 특징”이라고 말했다.

특히 ‘제이머신’은 이상징후 예측도 가능한 것이 특징이라고 설명했다. 그는 “‘제이머신’은 이전의 이상징후 상황을 학습해, 유사한 상황이 발생하면 예측 알람을 제공한다. 이 예측은 이상 징후 발생 시각까지도 예측할 수 있다”면서, “또한 탐지 및 예측 기능을 기반으로 자동대응 기능을 제공한다. 특히 ‘제이머신’은 대응한 기록을 다시 학습해 대응의 정확도를 향상시키고 있다”고 강조했다.