[아이티데일리] 세상은 끊임없이 변화하고 있다. 무인점포가 늘어나고, 사람이 하던 일을 로봇이 대체하는 등 디지털 전환이 가속화됨에 따라 산업 간 경계를 뛰어 넘는 혁신적 변화가 계속되고 있다. 이제는 현실과 가상을 구분하기 어려운 수준에 이르렀으며 현실에서만 가능하다고 생각됐던 여러 일들이 점차 사이버 세상에서도 하나 둘 실현되고 있다. 그리고 그 중심에는 인공지능(AI)과 자동화가 있다.

어느덧 우리 생활 속에 스며든 인공지능 기술은 영화에서나 볼법한 일들을 가능하게 했고, 이는 자동화를 기반으로 향상된 생산성과 더불어, 이제껏 불가능한 일들에 대한 갈망을 일으켜 혁신의 선순환 환경을 조성하는 계기가 됐다.

그렇다면 보안 업계는 어떠할까? 보안의 역할은 사이버 세상에서 발생하는 불법 침입시도, 내부 유출과 같은 다양한 악의적인 행위로부터 정보자산을 안전하게 보호하는 것이다. 이에 악의적인 행위에 대해 인지하고, 방어하고, 조치하는 것이 가장 기본이면서도 핵심적인 요소라 할 수 있다. 이러한 프로세스에 인공지능과 자동화가 접목된다면? 스스로 보호하고 예방하고 탐지하고 대응하고 더 나아가 조치까지 할 수 있다면, 정말 이상적인 모습을 보여주는 게 아닐까?

오늘날 변화의 중심에 있는 인공지능과 자동화가 보안업계에 어떠한 영향을 미치고 있는지 알아본다.

보안관제의 변천사

현재 통상적인 보안관제 서비스는 예방, 탐지, 분석, 대응, 관리라는 일련의 프로세스를 통해 이뤄진다. 기업 및 기관은 날로 진화하는 사이버 공격에 대응하기 위해 많은 보안장비를 구매하고 활용하지만, 이러한 장비들이 제공하는 수많은 정보들에 대한 처리의 어려움과 관리 미흡으로 발생할 수 있는 사고를 방지하기 위해 보안관제 서비스를 통해 대응하고 있다.

보안관제는 고도화되는 사이버 공격에 발맞춰 변화해왔다. 공격 포인트 증가와 공격 유형의 다양화, 피해 대상 확대 등으로 정보보안의 범위가 넓어지면서 관제 방식도 자연스럽게 변화한 것이다. 초기의 보안관제는 단위보안시스템 기반에서 이벤트를 분석해 공격의 유무를 판단했다. 공격으로 의심되는 IP가 있으면 방화벽에서 차단하는 등의 대응이 대부분이었다.

그 후 정보 인프라의 규모가 확대되고 공격이 한층 다양해지면서, 2세대 보안관제는 통합보안관제 체제로 진화했다. 각각의 단일 장비에서 발생되는 이벤트와 시스템에서 발생되는 로그를 수집해 실제 공격에 대한 판단의 정확성을 높였다. 또 단일 이벤트 경보에만 의존했던 초기 방식에서 이벤트와 로그를 통합적으로 상관 분석하는 방식으로 바뀌면서 보다 상세한 분석이 이뤄졌다.

그러나 네트워크 중심의 관제에 대한 한계가 드러나기 시작했다. 지극히 정상적인 행위인양 속여 내부에 침투하는 한껏 교묘하고 지능적인 공격이 크게 늘어났기 때문이다. 이로 인해 네트워크 중심의 경계 보안은 무너지게 됐고, 내·외부 구분 없이 인프라 전체를 대상으로 하는 관제를 수행할 필요가 생기면서 3세대 보안관제는 범위가 크게 확대됐다. 빅데이터 기반 SIEM을 활용해 공격을 신속하게 탐지하고, 주요 집중 모니터링 관제를 구분하게 됐으며, 서비스뿐만 아니라 사용자의 이상 행위까지 관제 대상에 포함됐다.

지능형 보안관제의 필요성

3세대 보안관제에서는 관제 포인트가 내·외부로 확장되면서, 처리해야 할 이벤트가 기존 1~2세대 때와 비교해 크게 증가했다. 이글루시큐리티 보안관제센터에 따르면, 어느 한 기관을 대상으로 한 공격 이벤트 처리량이 2017년 이후 약 2배 가까이 증가한 것을 확인할 수 있다. 이는 경계나 경계 안의 데이터를 보호하기 위한 이벤트 중심의 수동적 관제에서 외부 공격자와 내부 사용자를 모두 아우르는 선제적 관제로의 변화를 촉발하는 계기가 됐다. 한층 지능화된 공격에 대응하기 위해 도입되는 보안 장비가 늘어났고, 그로 인해 각 장비에서 발생하는 이벤트와 로그는 기하급수적으로 증가했다.

그렇다면 지금은 어떨까? 디지털 전환이 가속화되면서 새로운 보안 위협이 크게 늘어나고 있으며 이에 발맞춰 증가하는 보안 장비와 이벤트 등 오늘날 업무 범위는 보안 전문가가 처리할 수 있는 한계를 넘어선지 오래다.

네트워크 공격이 주가 됐던 2000년대 초반과 달리, 사용자를 타깃으로 하는 공격이 성행해 아웃바운드(Outbound)와 인바운드(Inbound) 트래픽은 물론 IoT나 OT와 같이 시스템 간 통신의 취약성을 노리는 공격도 대두되고 있다. 이로 인해 들여다보아야 할 정보의 양이 기하급수적으로 증가하면서 전문 인력, 시간, 자원이 절대적으로 부족한 상황에 직면했다. 그리고 이러한 문제는 4세대 보안관제이자 인공지능을 중심으로 하는 지능형 보안관제로 전환의 계기가 되고 있다.

지능형 보안관제의 특징

보안관제 분야 속 인공지능의 가장 큰 역할은 매일 새롭게 발생하는 사이버 공격을 탐지, 분석, 그리고 대응함으로써 보안 업무의 효율성을 높이는 데 있다. 실시간으로 유입되는 공격 이벤트를 보안 전문가가 직접 대응한다면 일반적으로 이벤트가 생성되는 시간 순서에 따라 분석을 수행하게 된다. 그러나 인공지능이 접목된 지능형 보안관제라면 이벤트 분석에 돌입하기 전, 유입된 이벤트에 대한 심각도와 예측을 바탕으로 우선 처리해야 할 고위험 이벤트를 선별함으로써 방대한 이벤트 분석에 소요되는 시간을 단축할 수 있다. 공격 유형에 따른 시나리오 기반의 데이터와 사고 처리 내역 등을 지도학습으로 학습해 이벤트 처리의 효율성을 높이고 공격에 대한 선제적 대응이 가능해지는 것이다.

더불어 지능형 보안관제는 시그니처 기반 탐지에서 확인할 수 없는, 다시 말해 정상적인 경로를 통해 유입되는 공격에 대해 행위 기반 탐지를 적용한 관제를 수행할 수 있다. 비지도 학습을 활용한 행위 기반 탐지는 평소 발생되는 트래픽과 다른 비정상적인 트래픽이나 기정되지 않은 통신과 같이 이상 행위를 보다 빨리 식별할 수 있어 심각한 위협으로 발전할 수 있는 알려지지 않은 공격을 사전에 예방할 수 있다.

최근 SOAR(Security Orchestration, Automation and Response, 보안 오케스트레이션·자동화 및 대응)라고 불리는 자동화된 보안 전략이 차세대 보안 대책으로 떠오르고 있다. 관제 요원 역량에 따른 불규칙한 대응 품질, 다수 인력이 단순 반복 업무에 투입됨에 따라 발생하는 인력 부족 현상 등 기존 보안관제의 문제점으로 꼽혔던 대부분을 SOAR 기반의 자동화된 대응을 통해서라면 개선할 수 있을 것으로 보이기 때문이다.

SOAR는 다양한 보안 솔루션 간의 연동을 통해 반복적이고 목적이 확실한 공격 이벤트에 대한 처리를 자동화하고, 공격 발생 시 각 유형별 표준화된 프로세스를 따라 대응함으로써 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시킬 수 있다.

또 국내외 위협 정보를 수집하고 분석하는 위협 인텔리전스 플랫폼과의 결합으로 사전에 위협을 식별하고 대응할 수 있어 한층 고도화된 보안관제 구현이 가능하다. SOAR의 핵심은 표준화된 대응 프로세스, 플레이북(Playbook)에 있다. 생성된 플레이북이 많으면 많을수록, 또 정확하면 정확할수록 공격에 대한 대응 효과가 높아진다.

지능형 보안관제 적용을 위한 선행 조건

지금까지 지능형 보안관제를 구성하는 두 가지의 큰 축, 인공지능과 자동화에 대해 살펴보았다. 보안관제 프로세스에 두 기술이 제대로 적용된다면, 이 세상에 완벽한 보안은 없다고 하지만 꽤나 효과적인 보안체계를 구현할 수 있을 것으로 보인다. 그러나 지금 당장 인공지능을 도입하고 SOAR를 구축한다고 해서 하루아침에 우리가 생각한 이상적인 관제 프로세스를 완성할 수 있을까? 아무리 좋은 재료를 가지고 있다 한들 모래 위에 짓게 된다면 금방 허물어지기 마련이다. 한 마디로 지능형 보안관제 구현을 위해서는 그보다 먼저 튼튼한 기반이 될 선행 조건들이 갖춰져야 한다.

정확한 탐지 정책 수립과 현황 파악

인공지능을 도입해 공격에 대한 탐지 정확성을 높이고자 한다면, 먼저 인공지능에게 정확한 데이터를 학습시킬 필요가 있다. 날마다 무수히 많은 공격 이벤트가 발생하고 또 수집되고 있는 상황에서 실질적으로 위협이 되는 데이터를 정확히 분류해내는 것이 중요하기 때문이다. 더불어 아무런 검증 없이 다양한 보안 장비에서 발생하는 모든 경고 이벤트를 위협으로 판단해 대응하는 건 바람직하지 못하다. 각 기관 및 기업의 인프라 환경에서 실질적으로 영향이 있을만한 공격 포인트가 있는지 그 여부를 1차적으로 판단하고, 이를 기반으로 각 이벤트 별 위험도나 대응 여부에 대해 결정해야 한다. 그리고 이렇게 선별된 이벤트를 인공지능에게 학습 데이터로 제공함으로써 유효 공격 이벤트 탐지율을 높여나가는 것이 무엇보다 중요하다.

가장 쉬운 예로 윈도우(Windows) 서버로만 운영되고 있는 한 기업에서 유닉스(Unix) 계열의 공격 이벤트가 발생했다고 가정했을 때, 해당 공격 이벤트를 모두 크리티컬한 공격으로 간주해 탐지 정책을 관리하는 건 잘못된 정책 관리가 된다.

또 특정 자산의 운영 환경에서 운영되고 있지 않은 자산 관련 공격 이벤트가 발생했다고 한다면, 이 또한 유효 공격으로 판단하기 어려울 것이다. 이렇듯 공격 포인트에 대한 정확한 식별이 수행되지 않는다면 제대로 된 공격 탐지 정책을 수립할 수 없고, 이는 곧 오탐률 증가를 초래해 지능형 보안관제를 도입한다 하더라도 만족할만한 효과를 볼 수 없을 것이다.

또 각 기관 및 기업의 정확한 자산 현황 파악도 요구된다. 현재 보유하고 있는 정보 시스템이 어떤 용도로 사용되고 있으며 네트워크 구성상 어디에 위치해있는지, 중요 시스템과 개인정보 등 민감한 정보를 처리하는 시스템은 제대로 구분돼 있는지 등 자산에 대한 현황 관리와 통제가 이뤄져야 한다.

공격이 발생했다고 가정했을 때 그 대상이 파악조차 되지 않는다면, 또 안일하게 중요 시스템과 일반 시스템을 같은 네트워크 구역에 둬 모두 공격에 노출돼 버리면, 지능형 보안관제를 적용한다 하더라도 신속한 대응이 어려우며 그 판단 또한 흐려지게 될 것이다.

공격 이벤트 대응 프로세스 수립

앞서 SOAR의 핵심은 표준화된 대응 프로세스를 일컫는 플레이북(Playbook)에 있다고 언급한 바 있다. 이는 바꿔 말하면 SOAR 기반의 자동화를 구현하는 데 있어 가장 중요한 포인트는 단순 반복적인 업무에 대한 명확한 분류가 선행돼야 한다는 점이다. 기존 보안관제에서는 공격 이벤트가 유입되는 시간 순으로 처리되는 순차적 대응의 모습을 띤다. 그러나 정보 분석, 판단, 차단에 이르는 일련의 과정을 자동화하기 위해서는 그룹화를 통한 업무의 분류가 필요하다.

예를 들어 빈번하게 들어오는 공격에 대해서는 예외 처리가 될 수 있도록, 시그니처 분석 시 확실하게 공격이라 판단되는 이벤트에 대해서는 즉시 차단이 될 수 있도록 공격 유형을 그 특성에 맞게 그룹화하고 표준화하는 과정을 거쳐야 이에 맞는 대응이 자동적으로 이뤄질 수 있을 것이다.

사실 이 밖에도 지능형 보안관제의 성공적인 구축을 위해 미리 갖춰두면 좋을 조건들은 다수 존재한다. 기관 및 기업의 비즈니스 분석, 환경 진단, 그리고 이에 최적화된 운영 및 공격 대응 프로세스, 지능형 보안관제에 대한 높은 이해도를 갖춘 사용자 등 도입 전 이를 제대로 운용할 수 있는 조건이 마련돼 있다면, 아무런 준비 없이 도입을 추진하는 경우에 비해 더욱 효과적인 정착이 가능할 것이다.

지능형 보안관제가 날로 진화하는 보안 위협과 기하급수적으로 쌓이는 보안 정보에 맞설 수 있는 대안으로 떠오른 만큼 이에 걸맞은 만반의 준비도 요구됨을 명심하면서, 이를 통해 발전하고 있는 기술이 주는 이점을 최대한 활용할 수 있는 날이 오길 기대해본다.