머신러닝 기반의 사이버 면역시스템, 새로운 공격 실시간 탐지

[컴퓨터월드] 다크트레이스코리아와 솔루텍시스템은 24일 여의도 콘레드호텔에서 ‘머신러닝 기반의 사이버 면역시스템’이라는 주제로 세미나를 개최했다. 병원 IT 전문가를 대상으로 한 이번 세미나에서 다크트레이스는 첨단 머신러닝과 고급 수학을 적용한 새로운 개념의 ‘기업 면역 시스템(Enterprise Immune System)’을 소개해 참석자들로부터 많은 관심을 받았다.

▲ 다크트레이스코리아와 솔루텍시스템은 24일 여의도 콘레드호텔에서 ‘머신러닝 기반의 사이버 면역시스템’이라는 주제로 세미나를 개최했다.

인간면역 체계의 생물학적 원리를 적용해 영국 캠브리지 대학의 전문가들이 개발한 다크트레이스의 기업 면역 시스템은 네트워크 보안 솔루션으로 고급 수학 기법을 활용해 네트워크와 시스템 상의 모든 행위를 인지하고 모니터링 해 학습된 정상행위에서 벗어나는 이상행위를 감지해 낸다.

기존 탐지장비들이 보안 정책이나 시그니처에 기반해 알려져 있는 공격만을 탐지해 낼 수 있는 반면 엔터프라이즈 면역시스템이 채용하고 있는 수학적 접근방식의 머신러닝은 보안정책이나 시그니처를 사용하지 않기 때문에 지금까지 알려져 있지 않은 새로운 공격형태도 실시간으로 탐지해 낼 수 있다.


사람의 면역 체계를 정보시스템에 적용

이번 세미나에서 처음 다크트레이스 소개에 나선 서현석 다크트레이스 코리아 대표는 다크트레이스 엔터프라이즈 면역시스템에 대해 머신러닝 기반으로 사람의 면역 체계를 정보시스템에 적용하고 구현했다는 점을 강조했다. 보안시스템을 중세시대의 성에 비유한 서 대표는 중세시대의 성곽은 튼튼하고 높게 쌓으면 침투가 불가능했으나 현재는 공격 방법이 다양해 그 것만으로는 성을 보호할 수 없다며 새로운 개념의 보호 대책이 필요한데 그것이 바로 머신러닝 기반의 다크트레이스의 면역시스템이라고 주장했다.

그는 이어 ‘예측할 수 없는 재앙은 없다’는 하인리의 법칙을 예로 들면서 사전 징조를 파악해 대책을 세우면 모든 문제를 해결할 수 있는데 다크트레이스 제품이야 말로 여기에 적합한 제품이라고 말했다. 또한 블랙박스와 CCTV가 결합된 블랙TV가 각종 범죄를 예방하고 문제를 해결하는데 사용되듯 다크트레이스 제품 역시 각종 보안 문제에 대한 사전 징후를 알려주고 해결하는 플랫폼이라고 주장했다.

서 대표는 마지막으로 ‘해킹 산업은 새로운 보안 취약점을 계속해서 생성시키고, 보안 산업은 이를 막기 위해 노력하고 있으나 완벽한 제품은 존재할 수 없기 때문에 최고이자 최선의 방안은 지속성을 가지고 위험을 예방하고 탐지하고 대응해야 한다’는 보안에 관한 유명 논문(논문제목 ‘보안은 제품이 아니고 프로세스 즉 과정이다, Bruce Schneier’)을 예로 들면서 보안은 제품이 아니고 프로세스, 과정이라는 점을 강조했다. 다크트레이스 제품이 ‘보안은 지속적으로 위험을 최소화해야 한다’는 보안의 철학을 가장 잘 반영하고 있다는 것이다.

▲ 다크트레이스의 엔터프리이즈 면역시스템


‘발상의 전환이 필요하다’

서 대표의 회사 소개에 이어 윤용관 다크트레이스 과장은 자사 면역시스템을 자세히 소개했다. 머신러닝을 데이터를 지식으로 바꿔주는 과정이라고 설명한 윤용관 과장은 다크트레이스 면역시스템은 모든 사용자, 장치, 네트워크 등 내부 데이터만을 이용해 자동으로 학습한다고 말했다. 이러한 자가 학습 기술은 네트워크 활동에 대한 종합적 가시성을 제공해 기업이 위협적인 사이버 공격에 선제적으로 대응하고 위험 요소를 완화시킬 수 있도록 한다는 것이다.

윤 과장은 특히 다크트레이스의 비지도학습 채용을 강조했다. 머신 러닝 기능을 통해 개인 사용자뿐 아니라 네트워크 상의 모든 시스템을 대상으로 행동패턴을 자동으로 지도 없이 학습하게 되고 이 과정에서 솔루션 스스로 터득한 정상 패턴을 기반으로 네트워크 상의 이상행위를 탐지한다는 것이다. 면역시스템은 설치된 이후 지속적으로 학습하기 때문에 조직에 변화가 생겨도 이에 따른 네트워크 및 시스템 사용 또한 자동으로 업데이트된다.

윤 과장은 또한 현재 위협방어에 대한 접근 방법은 경계 보안 강화를 통한 방어체계의 한계, 행위에 대한 정상 및 합법 여부 정의 어려움, 시스템과 기술을 뛰어넘는 새로운 위협의 등장 등 여러 한계를 갖고 있다며 이러한 한계를 뛰어넘기 위해서는 발상의 전환이 필요하다고 말했다. 다크트레이스 면역시스템은 보안 담당자들이 시급하지 않은 것으로 이해하고 있는 전수조사를 통해 이러한 한계를 뛰어넘었다는 것.

윤용관 과장은 계속해서 다크트레이스 제품은 정책의 유지관리, 악성코드 통제, 침해시 모니터링, 침해사고 보고, 침해사고 분석, 재발 방지 등 ISMS의 기준 항목에 대한 세부 내용을 제대로 지원하고 있다고 말했다.

윤 과장은 마지막으로 비정상적인 행동 탐지 과정을 데모를 통해 상세히 보여줬다. 특히 탐지된 위협정보를 다양한 관점에서 곧바로 알 수 있도록 2차원이나 3차원으로 시각화한 점이 참가자로부터 높은 호응을 얻었다.

디크트레이스의 김영식 과장은 국내외 다양한 사례에 대해 설명했다. 외부에서 원격제어도구를 이용한 정보유출 사례를 시작으로 내부에서 내부 공유폴더 내 민감정보 수집사례, 외부에서 스캔도구 다운로드 후 내부 스캔사례, 외부에서 스캔도구 다운로드 후 내부 시스템 브루트포스(Bruteforce) 사례, 악의적인 사이트 접속 후 내부 시스템 스캔 사례, IoT 보안/모바일 단말기에서 특정 서버로 브루트포스 사례, IoT보안/네트웍 프린터 보안 이슈, 암호화를 이용한 내부 보안시스템 우회 후 정보유출 사례, 비표준 포트를 이용한 정보유출 사례 등이 소개됐다.

▲ 다크트레이스의 비지도학습 기반 머신러닝


병원 · 공공 등 여러 분야에서 높은 관심

다크트레이스코리아와 함께 이번 세미나를 공동 주최한 솔루텍시스템의 김계홍 상무는 “다크트레이스 면역시스템은 새로운 개념의 보안 제품으로 현재 공공기관과 병원에서 많은 관심을 보이고 있어 올해 큰 기대를 걸고 있다”며 “사업다각화에 나서고 있는 솔루텍시스템의 효자 제품이 될 것”이라며 기대감을 나타냈다.

한편 2013년 7월 영국 캠브리지에 설립된 다크트레이스는 MI5/CIA/GCHQ와 같은 정보기관 출신의 다크트레이스 보안분석가를 통해 2017년에만 6만 3,500개 이상의 제로데이 위협을 발견했으며 500여 파트너를 통해 97개 국가 5천개 이상의 사이트에 제품을 공급했다.

2015년 Security Global Excellence 어워드에서 올해의 보안회사로 선정된 이후 Network Products Guide IT World 어워드 2015년 최고 내부 위협탐지 솔루션 선정, 2015년 가트너의 Cool Vendor 선정, 다보스포럼 2015년 Technology Pioneer 선정, 2016년 5월 영국 최고 Queens Awards 수상, 2017년 Info Security Global Awards 등 다양한 수상 경력을 갖고 있다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지