[아이티데일리] 2016년 알파고(AlphaGo)와 이세돌 9단의 바둑 경기 이후, 인공지능 기술은 전 세계적인 트렌드가 됐으며, 이미 많은 분야에 AI 기술이 적용돼 활용되고 있다. 보안 분야 역시 예외는 아니다. 사이버 위협 탐지부터 업무 자동화 등 다양한 부분에 AI 기술이 적용되고 있다.

특히 고도화, 지능화되는 사이버 위협에 대응하기 위해 보안 업계는 AI 기술을 적극적으로 활용하고 있다. 기존의 시그니처 기반 탐지 시스템, 행위 기반 분석 시스템들을 회피하는 사이버 위협이 증가하면서, 이에 대응하기 위해 AI 기술을 적용하고 있는 것이다. 보안 분야의 AI 기술 활용 트렌드를 살펴봤다.

2016년부터 AI 기술에 관심

2016년 알파고와 이세돌 9단의 바둑 경기 이후, AI 기술은 전 세계적인 트렌드로 자리잡았으며, 보안 업계 역시 AI 기술을 접목할 수 있는 방안을 모색하기 시작했다. 특히 최근 사이버 위협이 보안 솔루션을 우회하는 등 고도화·지능화됨에 따라 전통적인 보안 기술로는 한계가 나타나고 있어, 이를 보완하기 위해 AI 기술이 떠오르고 있다.

실제 보안 기업들은 5~6년 전부터 정보보안 분야에서 인공지능(AI) 기술을 활용하기 시작했다. 시간이 많이 소요되는 악성코드 분석을 시작으로 보안관제, 분산형 서비스 거부(DDoS) 공격 대응 등 다양한 분야에 AI 기술을 접목하고 있다.

정보보안 분야에서 AI 보안이 차지하는 비중은 계속해서 늘어날 것으로 보인다. 마켓앤마켓에 따르면, AI 보안 시장 규모는 2019년 88억 달러에서 연평균 23.3% 성장하며 2026년에 382억 달러 규모를 형성할 것으로 전망된다.

포티넷 관계자는 “2012년경부터 글로벌 시장에서는 사이버 위협과의 싸움에 AI 기술이 투입되기 시작했다. 이전까지는 사이버보안 분야에서 AI 기술에 대한 투자가 많이 이뤄지지 않았으나, 포티넷을 비롯한 글로벌 벤더들이 이 시기부터 자체 연구소를 통해 AI 기술에 투자하기 시작했다. IDC 조사에 따르면 2016년부터 2020년까지 AI 기술에 대한 투자가 6배 증가했다”고 설명했다.

그는 이어 “포티가드(FortiGuard)에서는 AI와 머신러닝(ML)을 사용하는 SEDS(Self-Evolving Detection Systems)를 기반으로 신종 및 변종으로 발생하는 제로데이 위협의 특성을 빠르게 찾아 패턴을 업데이트하면서 신종공격에 대한 방어력을 높인다. 더불어 ‘모든 공격 면을 보호한다’는 의미인 시큐리티 패브릭(Security Fabric) 관점에서 포티넷이 공급하는 다양한 보안 솔루션들의 기능에 AI 및 머신러닝 기능을 탑재해 탐지 및 자동화 역량을 강화하고 있다”고 덧붙였다.

황용석 안랩 인공지능팀장은 “역사적으로 AI 기술은 오래된 기술이다. 다만 이전에는 성능 이슈가 있었기 때문에 실제 활용되는 사례는 적었다. 하지만 ‘알파고’ 이후 AI 기술로 성과가 나타나기 시작하면서 AI 붐이 일어났으며, 보안 분야에서도 관심도가 높아지기 시작했다”면서 “안랩에서는 이미 2008년부터 데이터 기반 처리 방식에 관심을 갖고 데이터를 확보하고 있었다. 이후 하드웨어 성능이 향상되면서 AI 기술을 본격 도입하기 시작했다. 현 시점에서 보면 AI, 머신러닝을 활용하지 않는 보안 분야는 없다고 할 수 있다”고 말했다.

SGA솔루션즈 관계자 역시 “최근 유행하는 변종형 랜섬웨어, 크립토재킹 뿐만 아니라, 보안 위협을 식별하기 위해 AI 기술을 활용하는 기법이 적극적으로 도입되고 있다”고 설명했다.

이글루시큐리티 관계자는 “보안업계에서 AI 활용 범위가 점점 넓어짐에 따라, 최근에는 AI 알고리즘이 도출한 결과에 대해 보안 전문가들이 이해할 수 있게 알려주는 ‘설명 가능한 AI(XAI, eXplainable AI)’ 기술의 필요성도 부각되고 있다. 더불어, 오염(Poisoning), 회피(Evasion) 등 AI 기반 시스템을 노리는 적대적 공격 기법이 고도화됨에 따라, 이를 막아내기 위한 방어책에 대한 연구도 활발히 이뤄지고 있다”고 덧붙였다.

보안 업계에서 AI 기술에 관심을 가지고 있는 것은 다른 산업과 마찬가지로 기계와의 협력을 통해 인간의 재능을 강화하고, 보다 빠르고 효율적으로 업무를 완수하고자 하기 때문이다. 일상적이고 단순한 업무는 머신러닝, 자동화 기술을 이용해 기계가 처리하게 하고, 조직 내 인력은 대신 인간의 독창성을 필요로 하는 업무에 더 많은 시간과 역량을 집중할 수 있게 지원하는 형태다.

안티바이러스 및 보안관제 등에 AI 기술 접목

현재 AI 기술 접목이 가장 활발한 분야는 안티바이러스와 보안관제다. 대용량의 로그를 처리해야하는 분야에 AI 기술을 접목해, 탐지 성능을 극대화하고 보안 담당자의 업무를 효율화한다는 것이다.

포티넷 측에 따르면, 최근 초연결·빅데이터 시대가 도래함에 따라 데이터 크기가 증가하고 네트워크 환경이 복잡해지는 등 다양한 고려요소가 생기고 있어 조직이 감당해야할 보안 영역 역시 증가하고 있는 상황이다. 또한 사이버 공격자 역시 AI 기술을 활용해 자동으로 차세대 사이버 위협을 만들어내고 있다.

이런 상황에 신·변종 공격 방어, 대량의 이벤트 속 공격 식별 등의 필요성이 증가하면서, AI 기술이 우선적으로 접목되는 분야는 보안 관제 및 운영 영역이다. 대응해야 할 이벤트 양, 데이터 양이 증가하고 있는 상황에서 처리해야할 보안 담당자는 부족하다 보니, 우선적으로 사람 대신 탐지하거나 사람 대신 업무를 수행 할 수 있는 여러 AI 기술들이 적용되고 있다.

보안 관제 조직(SOC)의 측면에서 악의적인 이벤트를 식별하고 자동으로 대응하는 것은 물론, 네트워크 운영 조직(NOC)의 측면에서 내부 인프라의 이상행위를 식별하고 자동으로 보고하는 등 SOC 및 NOC 모두의 측면에서 적용되고 있다.

두 번째는 악성코드를 분석하는 영역이다. 포티넷을 기준으로 포티가드(FortiGuard) 연구소에서 하루에 업데이트하는 시그니처 중, 28~40%는 완전히 새로운 신종 악성코드다. 공격자는 조직의 보안시스템 우회를 목적으로 악성코드를 생성하는데 인공지능 기술을 적용하고 있으며, 신·변종 악성코드의 비율은 갈수록 증가하고 있다. 이는 알려진 악성코드만을 탐지하는 방어 체계로는 한계가 있으며 딥러닝 기술을 비롯해 다양한 AI 기술이 악성코드 분석 영역에 적용돼야 함을 의미한다.

황용석 안랩 인공지능팀장은 “보안 분야에서 AI 기술을 활용하는 방안은 다른 분야와 다르지 않다. 데이터가 많이 수집되는 안티바이러스와 보안 관제 분야에 AI 기술을 접목했을 때, 효과가 가장 좋기 때문에 해당 분야에서 AI 기술 연구가 활발히 진행되고 있다”고 말했다.

이글루시큐리티 관계자는 “특히 보안관제는 AI 기술을 적용해 효율성을 비약적으로 높일 수 있다. 위협이 아니지만 위협이라고 탐지하는 오탐의 증가는 고위험군 이벤트 대응을 지연시키고 보안관제 업무의 피로감을 야기한다. 장기간 은밀하게 진행돼 탐지가 어려운 잠복형 위협과 신·변종 위협 역시 어려움을 가중시키는 요소다. 이를 놓칠 경우 심각한 보안 공백이 발생할 수 있는 만큼, 기업 전반에서 발생하는 모든 이상 행위를 빈틈없이 확인할 수 있는 가시성이 요구된다”고 설명했다.

SGA솔루션즈 관계자는 “보안 분야에 AI 기술을 적용함으로써 ▲방대한 로그의 자동화된 분석 및 의미 있는 정보 식별 ▲알고리즘 기반의 자동 학습 ▲인간이 인지하지 못한 보안 위협 탐지 ▲시간 및 인력 투입 등 비용 최소화 등의 이점을 얻을 수 있다”고 강조했다.

AI 적용한 솔루션 속속 출시

보안 시장에는 AI 기술이 적용된 다양한 솔루션이 속속 출현하고 있다. 보안 관제에 AI 기술을 접목한 솔루션은 물론, SOAR 솔루션, AI 기술을 접목해 탐지력을 극대화시킨 안티바이러스 솔루션, 엔드포인트 탐지 및 대응(EDR) 등 다양한 제품이 공급되고 있다.

국내 기업은 물론 포티넷, IBM, 다크트레이스 등 글로벌 벤더들도 국내 시장에 다양한 AI 기반 솔루션을 공급하고 있다.

포티넷은 ▲AI 기반 악성코드 탐지 및 분석 솔루션 ‘포티AI’ ▲보안 오케스트레이션·자동화·대응(SOAR) 솔루션 ‘포티SOAR’ ▲행위 분석 기술인 샌드박스에 AI기술을 접목한 ‘포티샌드박스’ ▲EDR 솔루션 ‘포티EDR’ ▲네트워크 운영 인프라 모니터링 솔루션 ‘포티모니터’ ▲보안 이벤트 상관관계 분석 및 통합 관리 솔루션 ‘포티매니저’와 ‘AI옵스’ 등 다양한 솔루션을 공급하고 있다.

IBM은 보안관제(SIEM) 솔루션 ‘큐레이더(QRadar)’에 AI 기술을 적용해, 관제 효율성을 높이고 있다. 특히 시큐아이는 IBM ‘큐레이더’를 활용해 관제 서비스를 제공하고 있다.

다크트레이스는 조직 내 사이버 보안 데이터를 수집 및 분석해 이상징후를 탐지하는 데 초점을 맞춘 AI 기반 보안 솔루션 ‘면역 시스템(Immune System)’을 공급하고 있다. ‘면역 시스템’은 자율 학습 방식의 머신러닝을 활용해 조직에 대한 모든 정보를 파악한다. 사용자는 물론, 디바이스, 클라우드 컨테이너와 워크플로우를 관찰해 조직의 정상 상태를 학습하는 것이 특징이다.

국내 기업들 또한 AI 보안 기술을 확보하기 위해 발빠르게 움직이고 있다. 대표적으로 이글루시큐리티, 안랩 등을 꼽을 수 있다. 이글루시큐리티는 지난 2019년 초 AI 보안관제 솔루션 ‘스파이더 TM AI 에디션(SPiDER TM AI Edition)’을 출시했으며, 최근까지도 AI 기술 특허를 획득하는 등 연구를 지속하고 있다. 더불어 지난 1월에는 보안 오케스트레이션·자동화·대응(SOAR) 솔루션 ‘스파이더(SPiDER) SOAR’를 출시했다.

이글루시큐리티의 ‘스파이더 TM AI 에디션’은 사이버 보안 분야에 최적화된 인공지능(AI) 기술을 토대로 보안관제의 효율성을 높이고 보안관제 역량을 상향 평준화시키는 데 중점을 두고 있다. 보안관제 요원의 역량과 경험에 따라 과탐·오탐·미탐이 발생했던 문제점을 해결하고, 걸러진 핵심 정보와 의심스러운 단서를 집중 분석할 수 있는 시간을 벌어준다.

안랩 역시 안티바이러스 솔루션인 ‘V3’와 SOAR 솔루션 ‘세피니티 에어(AhnLab Sefinity AIR: Advanced Incident Response)’, EDR 솔루션 ‘안랩 EDR’, MDS, 트래픽 이상 탐지 솔루션 등에 AI 기술을 적용하고 있다.

황용석 안랩 인공지능팀장은 “안랩은 안티바이러스, 보안 관제 분야 등에서 AI 기술을 활용하고 있다. 안티바이러스 분야에서는 악성코드 탐지율을 높이는 데 초점을 맞추고 있으며, 보안 관제 영역에서는 계속해서 발생하는 로그를 자동으로 처리할 수 있는 모델을 만들어 관제 인력의 업무를 효율화하고 있다”면서 “특히 안랩은 인공지능팀을 별도로 편성해 AI 기술 연구에 박차를 가하고 있다. 인공지능팀은 안랩 내 AI 역량을 결집하기 위해 만들어졌으며, AI 기술, 알고리즘을 보안 분야에 접목, 활용하는 방안을 연구하고 있다. 더불어 제품별 사업부와도 협력해 AI 기술을 적용하는 프로젝트도 수행하고 있다”고 설명했다.

SGA솔루션즈는 최근 AI 기술이 접목된 차세대 안티멀웨어 솔루션 ‘바이러스체이서(VirusChaser) 10 AI’를 발표했다. 더불어 AI 기반 악성코드 분석 서비스인 ‘바이러스체이서 인텔리전스(VirusChaser Intelligence)’도 선보였다.

또한 보안 위협을 탐지하고 대응할 수 있는 보안 솔루션 ‘센트리체이서(SentryChaser)’도 제공하고 있다. 이 솔루션은 보안 위협 행위를 사전에 정의하고 이를 룰셋으로 정형화해 비정상적인 행동 패턴을 탐지, 대응한다.

SGA솔루션즈 관계자는 “‘바이러스체이서 10 AI’의 경우, AI 기술을 접목해 전통적인 시그니처 패턴 매칭 방식의 악성코드 탐지와 AI 기반의 학습을 통한 악성코드 탐지를 병행하고 있다. 이를 통해 악성코드 탐지율을 극대화하고 새로운 보안 위협을 식별하고 사전에 대처할 수 있는 근거를 제공한다”고 소개했다.