만병통치약이 존재할 수 없는 이유는 ▲첫째 사람마다 몸 상태나 체질 등이 다르고 ▲둘째 세상에는 여러 가지의 질병이 존재하는 만큼 증상이 서로 반대되는 질병도 있으며 ▲셋째 약이라는 것은 필연적으로 부작용을 수반해 한 가지 약이 모든 질병에 맞는 효과를 내기가 사실상 불가능하기 때문이다.

그러나 만병통치약이라는 단어는 비유적으로 모든 문제에 두루 효력을 나타내는 해결 방안을 가리킬 때도 사용된다. 마치 최근 인공지능이 보안업계의 모든 문제를 해결해줄 강력한 대안으로 여겨지는 것처럼 말이다. 과연 인공지능은 보안업계의 만병통치약이 될 수 있을까? 보안관제가 직면한 현황 및 여러 이슈들을 짚어보며 이 물음에 대한 답을 찾아보도록 한다.

보안관제 현황 및 이슈는 오탐과 미탐 그리고 인력

보안관제는 시스템적으로 보면 ▲단위 보안시스템을 기반으로 하는 단위보안관제 ▲통합보안관제시스템을 기반으로 하는 통합보안관제 ▲다양한 보안 이벤트 및 로그 등 빅데이터를 기반으로 하는 빅데이터 보안관제 ▲머신러닝, 딥러닝 등 인공지능을 기반으로 하는 인공지능 보안관제 등 차세대 IT기술 발전에 발맞춰 끊임없이 발전하는 모습을 보이고 있다. 그러나 이렇듯 도약을 거듭해온 보안관제 시장에 최근 몇 가지 고질적 이슈가 발생하고 있다.

증가하는 보안 이벤트 속 숨어 있는 오탐
IT 인프라의 발전으로 인해 네트워크 대역폭이 기하급수적으로 증가했고 이를 이용하는 사용자 역시 크게 늘어났다. 이는 곧 네트워크 트래픽 증가와 보안 이벤트 증가로 이어지게 됐으며 침입탐지시스템이 도입되면서 시그니처 기반의 탐지이벤트를 통해 보안 위협을 쉽게 탐지할 수 있었지만 아이러니하게도 잘못된 탐지, 오탐(False Positive)이라는 게 발생하게 됐다.

그리고 이러한 오탐은 빅데이터 기반의 빅데이터 보안관제 시기부터 보안관제에 큰 부담을 주는 일명 쓰레기 데이터(garbage DATA)가 되었다. 또 대량으로 발생하는 경보를 처리할 관제인력의 부족과 발생하는 경보 내 다수의 오탐은 보안관제의 능률을 감소시키는 요소로 자리잡고 있다.

지속적/지능화된 공격에 대한 탐지와 예측의 한계로 미탐 증가
2015년 맨디언트(Mandiant)가 발간한 통계 리포트에 따르면 사이버 공격이 발생하고 발견되기까지 평균 205일이 소요된다고 한다. 사이버 위협이 날로 지능화됨에 따라 단편적 공격 탐지가 아닌 APT와 같이 지속적이고 장기적인 형태의 공격 탐지가 필요해졌고 더 나아가 시계열적으로 분석해 향후 공격에 대한 예측까지 요구되고 있는 만큼, 이를 위한 분석 시스템이나 투입 인력에 한계가 드러나게 된 것이다.

그 뿐만 아니라 위 이미지와 같이 행해지는 보안관제 프로세스는 일반적으로 알려진 사이버 위협 탐지 및 대응에는 효과적이지만 알려지지 않은 위협을 탐지하기에는 역부족이다. 더욱이 탐지/대응/분석 및 운영 부분에서 대량으로 발생하는 경보를 처리할 관제인력의 부족과 발생하는 경보 내 수많은 오탐은 보안관제의 능률을 크게 감소시킬 수밖에 없으며 현재 공격이라고 판단되는 정책에 대한 차단을 수동으로 진행함으로써 효율성이 저하되고 있는 점 또한 풀어나가야 할 문제점 중 하나라고 할 수 있다.

24시간 365일 근무로 인한 전문인력 확보의 어려움
최근 IT환경이 급변함에 따라 보안 위협은 날로 다양해지고 있으며 보안의 중요성 역시 그 어느 때보다 강조되는 추세다. 보다 복잡해진 보안 위협에 대응하기 위해 24시간 365일 보안 인력을 운영한다는 것은 보안관제의 필요성을 나타내기도 하지만 워라벨(Work and Life Balance)이 이슈가 되고 있는 요즘, 부담이 되는 것 또한 사실이다. 게다가 지속적으로 변화하는 IT환경이나 이를 이용한 위협의 형태는 관련 지식에 대한 꾸준한 습득 없이 대응하기 어렵다.

이와 같은 이슈들은 지난 몇 년간 보안관제 분야에서 꾸준히 언급되며 반드시 해결해야 할 과제로 자리 잡았다. 앞서 언급했듯이 IT기술과 보안 위협의 진화에 발맞춰 비약적인 발전을 거듭해온 보안관제이지만 현재 직면한 문제점들을 타개하기 위한 또 한 번의 도약이 필요해진 시점이라고도 할 수 있겠다.

인공지능 기반의 보안관제를 통한 오탐과 미탐 해결의 노력

2018년 보안 업계에서 가장 주목해야 할 화두는 단연 인공지능일 것이다. 보안관제 분야 역시 빅데이터 보안관제에서부터 인공지능 기반 지능형 보안관제로 넘어오는 양상을 띠면서 인공지능을 활용해 직면한 여러 이슈들을 해결하고자 하는 움직임을 보이고 있다.

지도학습을 통해 자동화된 경보시스템 분석으로 오탐 최소화
보안관제에서 오탐을 줄일 수 있는 전통적인 방법은 크게 2가지다. 첫째는 발생하는 근거가 되는 이벤트 오탐율을 줄이는 것인데, 이는 단위보안장비의 정책 최적화(커스터마이징)로 달성할 수 있다. 사실 정책 최적화는 보안장비가 만들어지면서부터 꾸준히 논의돼온 주제로 그만큼 가장 쉬우면서 동시에 가장 어려운 방법이라 볼 수 있다. 보통 보안장비 유지보수 인력이나 운영 인력에 의해 행해지지만 각 사이트의 환경이 상이해 정책 최적화가 효율적으로 이뤄지기 위해서는 적지 않은 시간과 노력이 소요된다.

또 하나는 오탐율이 있는 이벤트에 오탐율이 없는 보안 로그를 연관시키는 방법이다. 이는 주로 보안관제시스템(SIEM) 장비에서 연관성 분석, 상관분석(Correlation) 등의 용어로 실시되고 있는데 경보 설정을 위해서는 명확한 환경분석이 선행돼야 하며 이를 기반으로 하는 SIEM에 대한 전문지식이 요구된다.

이렇듯 오탐을 최소화하기 위해 다양한 방안들이 개발되고 수행돼 왔지만 여전히 투입되는 시간이나 인력에 비해 발생하는 이벤트의 증가율이 더욱 큰 실정이었다. 이에 인공지능 기반의 보안관제에서는 지도학습을 통해 자동화된 경보대응을 구현함으로써 오탐에 대응하려는 움직임을 보이고 있다.

단위보안장비나 SIEM에서 발생한 경보 및 이벤트에 대한 처리내역을 인공지능이 지도학습을 통해 자동으로 예측할 수 있도록 한 것이다. 더욱이 이벤트에 대한 사고처리 예측, 침해사고 대응결과에 대한 피드백 등을 통해 학습 강화를 지속적으로 실시하며 실제 이 분야에 있어 괄목할만한 성과를 이뤄내고 있다.

비지도학습을 통해 알려지지 않은 위협 탐지 강화 및 미탐 최소화
미탐은 주로 시그니쳐 기반의 보안장비에서 탐지하지 못하는 경우 발생한다. 이에 보안관제에서는 보안장비 시그니쳐를 지속적으로 업데이트 하거나 정책을 강화해왔으며 빅데이터 기반의 보안관제가 가능해진 후로는 모든 접근이 기록되는 로그 분석을 통해 미탐을 최소화하고자 했다. 그러나 해당되는 데이터가 지나치게 많고 이에 대한 분석은 여전히 분석가의 몫으로 남아 미탐을 줄이는데 있어 투입되는 전문가의 많은 노력은 언제나 필수불가결한 요소였다.

인공지능 기반의 보안관제에서는 비지도학습을 통해 지능화된 알고리즘으로 사용자의 변칙 활동 및 이상행위 탐지를 구현하고 있다. 다양한 비지도학습 알고리즘을 활용해 데이터를 수집 및 분류하고 이를 기반으로 정상적인 사용자와 이상사용자를 구분함으로써 이상 행위를 도출해내는 것이다. 이는 전적으로 인공지능시스템의 알고리즘에 의지하게 돼 기존의 보안장비에서는 탐지하지 못했던 이상행위를 탐지할 수 있으며 앞서 문제되었던 데이터 분석에 투입되는 시간을 비약적으로 줄이고 전문가의 업무 편의성을 향상시키는 효과까지 기대할 수 있다.

인공지능을 보안관제에 성공적으로 적용시키기 위해 준비해야 할 것은?

지금까지 인공지능을 통해 보안관제 이슈 사항을 해결하고자 하는 다양한 시도들에 대해 살펴보았다. 인공지능이 고도화된 보안 위협에 대한 대응력을 한층 높일 수 있는 핵심 요소로 주목 받는 만큼 보안관제에 성공적으로 접목시키기 위한 만반의 준비가 요구된다. 아무런 준비가 돼있지 않은 상황에서 인공지능을 도입하고자 한다면 보안관제에 도움이 되기는커녕 오히려 관제 업무를 증가시키는 역효과를 불러일으킬 수 있기 때문이다. 인공지능의 성공적인 도입을 위해 반드시 고려하고 논의돼야 할 사항들을 살펴보도록 하겠다.

목적이 확실해야 한다
단지 막연한 도입은 안 된다. 인공지능 기반의 보안관제를 도입하기 위해서는 현 보안관제의 미흡한 부분 및 이슈 사항을 명확히 인지해야 하며, 도입 후의 목표 수준 또한 뚜렷해야 한다. 그렇지 않으면 인공지능 기반의 보안관제와 기존의 보안관제시스템의 탐지영역이 중복돼 원하는 만큼의 성과를 얻지 못할뿐더러 오히려 업무를 가중시키는 결과를 초래할 수 있다.

예를 들어 경보가 너무 많이 발생해, 이를 처리하는 관제인력의 피로가 극에 달하고 관제의 효율성이 떨어진다면 경보에 대한 정오탐 처리의 자동화가 필요하다. 또는 보안시스템에서 탐지되는 알려진 공격에 대해서는 잘 대응하는데 알려지지 않은 공격에 대해서는 탐지가 어려워 이에 대한 새로운 탐지 및 대응 방안이 필요하다 등의 명확한 현황 분석을 바탕으로 한 목표 수립이 선행돼야 한다.

필요한 데이터가 준비돼 있어야 한다
인공지능과 관련해 가장 어려운 점은 데이터이다. 인공지능에 학습시킬 데이터가 없다는 것이다. 사실 이전부터 보안관제에서 가장 중요한 부분은 데이터였다. 보안장비에서 발생하는 이벤트, 시스템 및 애플리케이션에서 발생하는 로그, 네트워크에서 발생하는 패킷 등 얼마나 양질의 데이터를 수집하느냐에 따라 탐지, 분석, 대응과 같은 보안관제의 질(quality)이 달라지기 때문이다.

비지도학습의 경우 이전과 같이 원본 데이터를 얼마나 잘 수집하느냐가 중요하지만 정오탐 자동화 처리를 목적으로 하는 지도학습의 경우, 보안관제 프로세스상 발생한 경보에 대해 대응한 경보처리 데이터가 요구된다. 기본적으로 경보는 정탐, 오탐, 무시 등의 처리로 이어지는데 보통 정탐인 경우에만 이력관리가 수행돼 왔다. 그러나 신뢰할 수 있는 학습 데이터를 만들기 위해서는 오탐 및 무시에 대한 이력관리 내역 역시 동일하게 반영돼야 하며 필요한 데이터가 모두 갖춰진 후에서야 성공적인 인공지능 도입이 가능할 것이다.

분야별 전문인력이 준비돼야 한다
인공지능을 보안관제에 제대로 적용시키기 위해서는 관련 시스템도 중요하지만 이를 잘 운영할 수 있는 인력 또한 중요하다. 머신러닝 알고리즘에 대한 이해를 가진 전문인력, 도메인에 대한 전문지식을 보유한 인력, 침해사고에 대한 뛰어난 분석력을 지닌 인력 등 각 분야별 전문인력의 확보가 뒷받침돼야 하는 것이다.

현재 인공지능이 적용된 제품을 살펴보면 관련 머신러닝 알고리즘에 대한 설명과 과정이 생략된 채 적용된 결과만을 보여주는 경우가 대부분이다. 하지만 보안관제 분야에서는 ‘왜(WHY)’와 ‘어떻게(HOW)’ 또한 중요한 요소이기 때문에 이를 보여주는 것도 인공지능 기반 보안관제 도입을 위한 하나의 과제가 될 것이며, 분야별 전문인력이 요구되는 또 다른 이유다.

도입 전, 보안관제 프로세스를 정립해야 한다
기존의 보안관제 프로세스가 정립돼 있지 않으면 인공지능 기반의 보안관제 역시 정착하기 쉽지 않을 것이다. 인공지능 보안관제는 별도의 프로세스를 구축해 기존의 것을 대체한다기보다 존재하는 보안관제 프로세스 안에 녹아들어 적용되는 부분이기 때문이다.

4차 산업혁명의 대두와 더불어 사이버 공격의 종류 및 방법이 빠르게 진화하고 있고 여러 기기와 인프라 등이 사용자와 긴밀하게 연결돼 기존 환경에서 발생하지 않았던 새로운 보안위협이 하나 둘 등장하고 있다. 급변하는 사이버 세상에 온전히 대응하기 위해, 인공지능의 도입은 더 이상 피할 수 없게 된 것이다. 인공지능이 보안관제를 한 단계 업그레이드 해줄 것은 분명하다. 모든 이들이 원하는 것과 같은 만병통치약은 아닐지라도 어떻게 준비하고 어떻게 적용시키느냐에 따라 보안관제의 부족한 부분을 채워줄 효과 좋은 좋은 약이 되어줄 것으로 기대하는 바다.