[아이티데일리] 

인공지능의 시대

지난 2016년 이세돌 9단과의 대국에서 승리해 세간을 떠들썩하게 했던 알파고를 필두로, 인공지능(AI)에 대한 관심은 사회 전반적으로 빠르게 확산되고 있다. 그리고 그로부터 5년이라는 시간이 흐른 지금, 인공지능이 없는 세상은 상상하기도, 인공지능이 없는 세상으로 돌아가기도 어려워졌다.

인공지능은 이미 우리의 생활 깊숙이 자리 잡고 있다. 냉장고, 청소기, 에어컨 등 각종 생활가전에서 인공지능이 탑재된 제품들을 쉽게 찾아볼 수 있으며 더 나아가 업종을 불문하고 많은 산업 분야에서 편리성 증진, 생산성 향상 등의 여러 이유로 해당 기술 접목에 박차를 가하고 있다.

그렇다면 보안업계는 어떠할까? 보안 분야에서의 인공지능 활용 가능성 역시 여타 산업 분야와 마찬가지로 무궁무진하다. 수많은 보안 데이터를 수집, 저장, 분석 및 표현하는 보안관제는 특히 인공지능 기술을 잘 활용할 수 있는 분야로 주목 받고 있다.

한 예로 이글루시큐리티의 인공지능 보안관제 솔루션 ‘스파이더 TM AI 에디션(SPiDER TM AI Edition)’은 지도학습으로 우선 처리해야 할 고위험군 이벤트를 빠르게 선별하고, 비지도 학습으로 알려지지 않은 이상 행위에 대한 식별을 가능하게 한다. 이를 통해 방대한 보안 데이터 분석에 소요되는 시간을 줄이고, 고도화된 보안 위협에 대한 대응력을 한 단계 높여 견고한 보안 체계를 유지할 수 있도록 한다.

인공지능과 보안

사실 보안업계가 기대한 것은 이세돌과의 대국에서 승리한 알파고와 같이 탐지된 이벤트에 대해 알아서 자동 대응까지 해주는 인공지능이었다. 초창기 인공지능 기술이 접목된 보안 솔루션들이 하나둘 출시되기 시작했을 땐, 기대에 미치지 못한 수준으로 시장의 반응이 다소 냉랭했다.

그럼에도 불구하고 인공지능 보안관제는 기존 유지하던 구시대적 관제 방식에서 벗어나, 한 단계 발전된 보안관제 패러다임을 제시했다. 초반 미적지근했던 업계의 반응도 기존 보안관제에 비해 향상된 업무 처리 효율성과 분석 정확도, 그리고 놓치고 있던 공격 행위에 대한 탐지 등의 성과로 지금은 긍정적인 평가로 바뀌고 있다.

그렇다면 전반적인 업계의 반응이 아닌, 인공지능이 적용된 보안 솔루션을 활용해 직접 관제를 수행하는 실무 입장에서의 ‘인공지능 보안관제’는 어떨까? 우선 앞서 이야기한 것과 같이 인공지능 보안관제를 통해 우선적으로 처리해야 하는 고위험군 이벤트에 대한 선별로 보다 빠른 대응이 가능해진 것은 사실이지만, 인공지능 알고리즘에 의해 이상 행위로 예측되는 이벤트들에 대해서는 업무량이 크게 증가했다. 어떤 면에서는 업무 처리 효율성을 높여주지만, 또 반대로 어떤 면에서는 신규 분석 대상이 늘어난 셈인 것이다.

게다가 아직 인공지능의 판단이 100% 완벽하지 않기 때문에 이상 행위에 대한 과다 탐지 이벤트들이 보안 담당자들에게 실망감을 안겨주는 경우도 발생하고 있다.

아주 극단적인 예로, 웹페이지 서비스를 이용하는 사용자가 홈페이지 반응이 느리다고 해 새로고침을 연속적으로 눌렀을 때 네트워크 보안 장비나 통합보안관제(SIEM) 솔루션에서는 충분히 의심할만한 행위일 수 있지만 비슷한 행위의 모든 데이터들이 전부 공격이라고 단정지을 수는 없다. 이에 신뢰할 수 있는 결과 도출로 인한 진정한 분석 시간 최소화, 그리고 의사결정까지 스스로 수행하는 인공지능 등을 목표로, 보안관제 분야에서의 인공지능은 현재 발전 단계에 있으며 부지런히 앞을 향해 나아가고 있는 상황이라 할 수 있다.

보안관제의 자동화 - (1) RPA

그렇다면 많은 보안 담당자들이 원하고 바라는 보안관제 자동화의 현주소를 짚어보도록 하자. 일반적인 보안관제 프로세스는 모니터링, 탐지, 초동 분석, 상세 분석, 대응, 추가 분석, 보고의 형태를 띤다. 이 긴 과정에서도 볼 수 있듯이 하나의 공격을 분석하는 위해서는 적지 않은 시간이 소요되며 관제 요원 1명이 하루에 처리할 수 있는 양에 한계가 존재한다. 또 하나의 공격을 처리하는데 거치는 단계가 많아 관제 요원들이 추가적인 업무를 수행하기에도 무리가 있다.

따라서 공격이 확실해 사후 분석이 필요 없는 공격 이벤트들은 따로 분류해 ‘로보틱 프로세스 자동화(RPA, Robotic Process Automation)’ 기술을 통한 공격지 차단 자동화를 한다면, 보안관제 업무의 효율성을 크게 향상시킬 수 있다.

RPA란 기존 사람이 직접 처리해 온 표준화된 반복적인 업무를 자동화하는 시스템이다. 이를 적용해 공격지 차단을 자동화한다면, 관제 요원들은 새로운 공격 행위에 대한 이벤트 분석 등 보다 중요한 정보에 집중할 수 있게 된다. 또 사람이 일일이 수동으로 처리하면서 발생되는 실수를 줄일 수 있고, 광범위하게 설정된 보안 장비의 탐지 규칙이나 SIEM의 임계치 설정을 보다 확실하게 해 오탐, 과탐 이벤트 최소화와 미탐지 위협 행위에 대한 감소 등 관제 업무 전반에 대한 효율을 증가시키고 신속한 대응이 가능해진다.

<표 2>는 모 기업의 보안관제센터에서 실제 RPA와 SIEM을 접목해 관제 업무에 적용시킨 후의 결과다. 한 달간의 차단 데이터를 측정해본 결과 RPA의 차단 건수는 관제 요원이 직접 차단한 건수보다 월등히 많았고, 그와 동시에 관제 요원들의 불필요한 업무 부담을 줄이는 효과도 있었다.

더 나아가 관제 요원의 업무 부담이 줄어든 만큼 단순 반복적인 업무에 할당됐던 인적 자원을 고위험군 이벤트 분석에 배치할 수 있어 공격지 차단의 수준이 향상됐고, 분석 업무 인력 추가로 보안관제 효율성 증가까지 기대할 수 있게 됐다.

보안관제의 자동화 - (2) SOAR

디지털 전환이 가속화됨에 따라 보안관제 패러다임도 빠르게 변화하고 있다. 그리고 오늘날 보안관제는 제로 트러스트(Zero trust)를 기반으로 한다. 기존의 보안관제가 외부의 적을 차단하는데 집중했던 것과는 달리, 제로 트러스트는 내외부를 떠나 아무도 믿지 않고 모든 접근을 잠재적 보안 위협이라는 전제 아래 모든 행위를 모니터링하고 검증하는데 중점을 둔다.

따라서 단순 소모적인 업무 절감, 위협 수준에 맞는 명확한 이벤트 대응 등 제로 트러스트 시대에 보안관제 효율성 제고 및 복잡성 해소의 필요성이 더욱 높아졌고, ‘보안 오케스트레이션·자동화 및 대응(SOAR, Security Orchestration, Automation and Response)’ 기반의 자동화된 대응이 이를 위한 대안으로 떠오르고 있다.

물론 앞서 언급한 RPA도 보안관제 자동화를 어느 정도 실현할 수 있다는 점에서 좋은 대안이었으나, 이는 일정 영역에만 한정된다는 문제가 있다. 반면 SOAR는 그 영역이 보다 넓다고 할 수 있다. 솔루션, 업무 절차, 위협 정보 등 공격 유형별 대응을 위한 수 많은 요소들을 하나의 과정으로 묶은 플레이북에 기반해 단순 반복적인 프로세스를 표준화된 절차에 따라 자동 처리함으로써 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시킬 수 있다.

분석, 검증, 차단 등 동일한 절차에 따라 보안관제 업무를 수행한다고 가정했을 때, 사람에 의한 대응은 약 10분에서 60분 소요될 것이라 예상되는 반면 SOAR 플레이북에 의한 자동화된 대응은 5분 이내에 처리가 가능한 것으로 추정되고 있다.

이뿐만 아니라 긴 시간 대응, 불규칙한 대응 품질, 업무 프로세스 가시성 부족, 다수의 인력이 단순 반복 업무에 투입 등 기존 보안관제의 문제점으로 꼽혔던 대부분의 사항을 개선할 수 있을 것으로 예상된다. 이와 같은 배경에서 SOAR 기반 보안관제가 차세대 보안관제라고 불리는 것은 어쩌면 지극히 자연스러운 일인 것일지도 모르겠다.

지금까지 보안관제 자동화의 현주소에 대해 살펴보았다. 인공지능의 화려했던 등장만큼 스스로 모든 외부의 공격을 막아내고 내부의 위협을 탐지해 차단해줄 것으로, 마치 영화 속의 완전한 인공지능을 기대했던 사람들에겐 오늘날 인공지능이 다소 실망스럽게 느껴질 수도 있다.

그러나 인공지능은 계속해서 발전해나갈 것이며 SOAR를 통한 보안관제 자동화에도 인공지능이 큰 역할을 하게 될 것으로 기대된다. 아직 풀어야 할 숙제는 많다. 그러나 지금까지 경험하지 못했던 디지털 대전환기를 맞이하고 있는 만큼 성공적인 보안관제 자동화 실현을 위해 모두가 힘을 모아 현명하게 대응해나갔으면 하는 바람이다.