[아이티데일리] 지금부터 약 1년 전 시작된 코로나19(COVID-19)의 여파로, 전 세계는 예상치 못한 위험에 빠졌다. 세계를 강타한 이 원인 불명의 바이러스는 개인, 기업, 국가를 불문하고 모든 영역에영향을 줬으며 많은 변화를 야기했다. 특히 개인위생 관리를 위한 마스크 착용이 의무화됐고, 전염 및 확산 방지를 위해 모임 최소화 등 사회적 거리두기가 일상화됐다. 그 뿐만 아니라 업무 환경에도 영향을 미쳤다. 비대면 근무가 적극 권고됐으며, 재택근무 및 원격 지원 등 비대면 업무 환경으로의 전환이 가속화됐다.

이렇듯 갑작스러운 사회 변화로 정보 보안 담당자들 역시 새로운 도전에 직면하고 있다. 대표적으로 비대면 업무 환경이 보편화됨에 따라 이에 맞는 솔루션 도입과 보안 정책의 수립, 그리고 취약점 조치 등 변화된 환경에 발맞춘 통합보안관제 체계를 새로이 수립해야 하는 계기가 되고 있다. 코로나19가 야기한 변화를 정보 보안 관점에서 살펴보고, 앞으로의 언택트 근무 시대에 맞는 통합보안관제 체계에 대해 알아본다.

언택트 시대에 맞춰 변화하는 보안체계

코로나19 이전의 보안관제 체계는 기본적으로 내가 가지고 있는 자산을 목록화하고, 그에 따른 네트워크 시스템과 보안 시스템을 구축해 구역을 정하고, 중요 자산에 대해서는 그에 맞는 호스트 보안 시스템을 구축해 각 자산 성격에 알맞은 대응을 해나가는 것이 가장 일반적인 모델이었다. 그러나 코로나19라는 특수한 상황을 계기로 업무 환경이 크게 변화하면서 외부에서 내부로의 ‘인바운드(inbound) 관제’와 내부에서 외부로의 ‘아웃바운드(outbound) 관제’의 접근 방법이 달라지고 있다.

대표적인 예로 업종을 불문하고 재택근무가 확대되면서 가상사설망(VPN)이 필수 보안 솔루션으로 자리 잡았다. VPN은 외부에서 회사 내부 인트라넷이나 데이터베이스 등에 접근하도록 하기 때문에, VPN을 통한 인바운드(inbound) 트래픽의 24시간 모니터링은 언택트 시대의 통합보안관제 체계에서 필수불가결한 요소가 됐다.

더불어 정보 보안 담당자들은 재택근무와 원격 지원 업무에 맞는 보안 솔루션을 새로이 도입해야 하고, 모호해진 내외부 경계에 대한 보안을 보다 철저히 하기 위해 SIEM과 같은 빅데이터 기반 통합보안관제 시스템으로 모니터링, 경보 설정, 분석, 대응 등의 관제 업무를 한층 강화해야 할 필요가 생겼다. 또 장비별 이상 행위를 통합적으로 모니터링할 수 있는 SIEM 맞춤형 통합대시보드 등을 활용해 내외부 사용자의 이상 징후를 그룹화해 분석하는 등 종합적인 분석도 요구되고 있다. 

한편 과학기술정보통신부는 ‘2020년 재택근무 시 지켜야 할 정보보호 6대 실천 수칙’을 발표하고 각 사용자 및 보안 관리자에게 비대면(Untact) 근무 환경에 맞는 실천 사항들을 권고한 바 있다.

코로나19가 장기화됨에 따라 각 기업 및 기관의 보안 담당자들은 반드시 준수해야 할 기본 사항들을 다시 한번 확인하고, 이를 지원하는 보안 솔루션을 갖추고 있는지 점검해야 할 것이다.

다시 말해 코로나19로 인해 촉발된 비대면 시대는, 조직 내부를 신뢰할 수 있는 공간으로 조직 외부는 신뢰할 수 없는 공간으로 구분하는 경계형 보안의 한계를 보여주고 있다. 동시에 ‘제로 트러스트(Zero Trust)’라는 새로운 보안 전략으로의 전환 필요성을 다시금 부각하는 계기가 됐다.

제로 트러스트 전략은 모든 접근이 잠재적 보안 위협이라는 것, 결국 아무도 신뢰해서는 안 된다는 것을 기본 전제로 한다. 접근 및 제어에서부터 보안 정책까지, 이제는 내부와 외부를 따로 구분하지 않고 데이터를 중심으로 모든 사용자를 의심하고 검증해나가야 한다.

언택트 시대와 인공지능(AI)

인공지능(AI)이 보안업계의 화두로 부상한 지는 오래 됐다. 하지만 비대면 시대 그리고 제로 트러스트 기반의 보안체계 구축을 위한 주요 요소 중 하나로 그 중요도는 더욱 강조될 것으로 보인다.

오늘날 보안업계의 인공지능 기술은 알고리즘을 바탕으로 한 지도학습 예측이나 비지도 학습 예측 등으로 관제 업무에 적용돼 활용되는 모습을 보이고 있다. 다시 말해 데이터 분석 전문가에 의해 레이블 된 데이터로 공격 유형이나 공격 요인 등을 사전에 학습해 이벤트의 예측이 가능하도록 하거나, 사전 레이블된 데이터 없이 학습 데이터의 숨겨진 구조 및 특징을 발견해내는 비지도 학습으로 심각한 위협으로 발전할 수 있는 변칙 활동과 이상 행위를 탐지해내는 데 활용된다.

빅데이터 기반의 SIEM이 수집할 수 있는 모든 데이터의 저장 및 검색, 분석에 초점을 맞추고 있다면, 인공지능을 활용한 보안관제는 조금 더 정밀하게 적용 범위를 정하고 그에 맞는 지도학습 또는 비지도 학습 알고리즘을 적용하는 것이 핵심이다.

예를 들어 인공지능 기술의 적용 범위가 홈페이지 해킹과 같은 외부 서비스 구간 대상의 외부 위협이라면 IPS, WAF와 같은 룰 기반 탐지형 이벤트를 기준으로 데이터 분석 전문가의 사전 레이블 된 데이터를 학습시켜 공격의 예측 정확도를 높이는 지도학습 알고리즘을 1차적으로 활용해볼 수 있다. 그리고 이와 더불어 방화벽 로그와 같은 네트워크 접속 이벤트와 웹 접속 로그와 같은 홈페이지 접속 이벤트에는 비지도 학습 알고리즘을 적용해 기계적으로 인식하는 이상 행위를 찾아 위협 여부를 검증하는 방안 또한 실현 가능하다.

더욱이 최근에는 재택근무를 통한 VPN 접속 이벤트나 내부 중요 정보의 외부 유출 등 변화된 업무 환경으로 인해 야기되는 새로운 보안 위협들도 인공지능 기술 적용 범위로 점차 확대되는 추세를 보이고 있다. 내부 중요 정보 유출 관련 DRM, NAC, 개인정보탐지 등의 이벤트에는 지도학습 알고리즘을 적용해 오탐률을 낮추고 VPN 접속 이벤트, 망간 자료 전송 시스템 이벤트, 메일 전송 이벤트 등에는 비지도 학습 알고리즘을 적용해 미탐의 발생을 줄여나간다면, 비대면 근무 시대에 알맞은 통합보안관제 체계를 갖춰나갈 수 있을 것이다.

변화하는 환경에 따라 보안도 달라져야 한다

코로나19 팬데믹 상황으로 디지털 전환이 가속화되고 있다. 오프라인으로 진행되던 업무들이 온라인을 통해 이루어지고, 이에 보다 복잡해진 IT 환경 속에 그 빈틈을 노리는 새로운 사이버 공격이 등장하게 되는 것은 어떻게 보면 지극히 당연하다고 할 수 있다. 그리고 현 사태가 종식된 이후에도 세계는 이전 환경으로 돌아가지 않을 것이라는 게 많은 전문가들의 공통된 의견이다. 우리는 이처럼 변화하는 환경에 맞는 새로운 보안 전략에 대해 고민해야 한다.

그리고 그 해답은 앞으로의 인공지능에 달려있다고 예상된다. 특히 인공지능 알고리즘 기반의 지도학습 결과와 비지도 학습 결과를 SIEM의 수집 이벤트와 상관 분석함으로써, 보다 종합적인 예측 데이터를 얻을 수 있고, 더 나아가 SOAR를 통한 보안관제 자동화에도 인공지능이 큰 역할을 하게 될 것으로 전망된다.

보안업계의 인공지능 기술은, 초반 제한적이었던 적용 범위를 넘어서 점차 영역이 확대되고 있다. 이에 따라 예측 결과도 한층 정확해지면서 새로운 환경에 맞는 통합보안관제를 위한 필수적인 기술로 자리매김할 것으로 기대된다.