전두용 이글루시큐리티 인프라사업본부 파견관제팀 차장

▲ 전두용 이글루시큐리티 인프라사업본부 파견관제팀 차장

[컴퓨터월드] 최근 몇 년간 인공지능은 정보보안업계를 비롯 ICT 분야의 주요 기술로 세간의 관심을 받아왔다. 특히나 보안관제에서 분석되는 보안로그는 잘 정의된 템플릿에 따라 규칙적으로 생산되기에 인공지능을 적용하기 가장 이상적인 데이터로 손꼽혔다.

그렇다면 지금 현장에서는 인공지능 기술이 보안관제의 단순 반복적인 프로세스를 대신하고 복잡한 판단을 신속하고 일관성 있게 처리해 주고 있을까? 안타깝게도 아직 본격적인 성장 궤도에 오르지 못해 이렇다 할 성과를 내지 못하고 있는 것으로 보인다.

필자는 인공지능이 수행하는 고차원 데이터 분석이 인력의 한계를 극복하고 보안 사각지대를 상당히 제거해줄 것으로 기대하고 있다. 보안관제업에 종사하는 엔지니어로서 또 보안과 인공지능을 연구하는 학자로서 더 이상 지체되는 일 없이 보안관제와 인공지능의 융합이 성숙기 궤도에 올라서기를 바라며, 보안 분야에서 인공지능을 적극적으로 활용하는데 망설이게 만드는 요소에는 무엇이 있는지 진단하고 보안관제 인력과 인공지능 솔루션 측면에서 그 해답을 제시하는 시간을 가져보고자 한다.


보안관제 서비스의 주마등

IT 인프라 및 보안 시스템에 대한 운영 및 관리를 통해 실시간으로 침해위협을 탐지하고 대응하는 보안관제는 20여년 동안 여러 사건을 겪으며 단단하게 뿌리를 내려왔다. 보안관제 서비스는 정보시스템이 쏟아내는 보안로그를 체계적으로 분석하고 위협에 발 빠르게 대응하기 위해 1999년 코코넛에서 처음 시작됐다.

보안관제를 위한 전문 인력과 관제센터, 통합보안관제 소프트웨어가 갖춰진 것은 2000년도부터였으며 사이버패트롤, 해커스랩, 시큐아이닷컴, 코코넛 그리고 이글루시큐리티가 선두주자로 두각을 드러냈다. 그 후 1-2년간 치열한 경쟁이 있었는데 그 경쟁에서 생존한 업체는 실력과 서비스 레벨을 충족한 다섯 업체로 이 중에서도 현재까지 사업을 영위하고 있는 기업은 이글루시큐리티와 현 시큐아이의 전신인 시큐아이닷컴, 안랩의 투자로 창업돼 지금은 안랩의 관제와 컨설팅조직으로 흡수된 코코넛뿐이다.

그러던 중 2003년 1.25 인터넷 대란을 겪으며 국가정보원에서 2004년 국가사이버안전센터를 창설하고 2005년에는 국가사이버안전매뉴얼을 제정하게 됐다. 이후 2009년 7.7 DDoS공격으로 정부기관, 포털, 은행 사이트 등이 마비되고 사이버 공격의 피해가 국가적으로 확대됨에 따라 정보보안에 대한 중요성이 더욱 강조됐다.

2010년 국가사이버안전관리규정개정안에서 국가 공공기관에 보안관제센터 구축 및 보안관제 전담인력 배치를 명문화했다. 이후 보안관제에 대한 수요는 크게 늘어났고 2011년에는 국가에서 지정한 최초 보안관제전문업체 12개가 탄생하기에 이르렀다.

2000년대 중반까지만 해도 닷컴과 주요 공공 및 금융기관, 그룹사의 웹서비스를 중심으로 시스템 권한 우회 공격, 무차별 대입 공격(Brute Force), 단순 SQL 인젝션(SQL Injection), XSS와 같은 웹 취약점 공격, DDoS 등 외부에서 유입되는 공격을 방어하는 것이 보안관제의 주요 역할이었다. 그러나 후반에 이르러 내부자 위협으로 인한 정보 유출과 보안 사고를 계기로, 내부자의 행위 분석과 개인정보보호가 보안의 중요한 화두로 떠올랐고 얼마 지나지 않아 악성코드와 악성 URL이 큰 주목을 받았다.

더욱이 최근 몇 년 동안은 지능화되고 있는 공격의 동향뿐 아니라 클라우드와 망 분리, 모바일과 같이 날로 복잡해지는 컴퓨팅 환경에 대해 잘 대응할 수 있는 새로운 정보보안방법론이 요구되기 시작했다.

북한이 3차례나 핵 실험을 단행하고 사드(THAAD)문제로 중국과 외교 마찰이 있었던 2016년과 2017년은 보안업계에 종사하는 모든 인력들이 24시간 365일 긴장을 풀지 못했던 것과 같이 주변 국가와의 관계나 정치적 이슈 또한 정보 보안의 이슈로 직결되는 양상까지 보였다. 다시 말해 공격의 변화, 기술의 변화, 보안 비즈니스의 변화 등 다양한 환경 변화에 발맞춰 그 누구보다 최전방에서 가장 많이 고민하고 대응해온 분야가 바로 보안관제였던 것이다.


보안관제의 뒷모습

지난 20년 동안 현장에서는 프로세스, 기술 그리고 업무가 변경될 때마다 과연 이를 감당할 수 있을지 또 실제 침해에 대한 예방과 대응이라는 보안관제 서비스의 본질을 지켜낼 수 있을지에 대한 걱정과 긴장이 가득했다. 갖은 방법을 동원해 해커보다 빠르게 움직이려 노력했고 새로운 기술에 적응하려고 노력하며 20년을 보냈지만 변화하는 환경과의 고통스러운 전쟁을 언제까지 이어나가야 하는지에 대한 피로감은 계속될 수밖에 없었다. 이 것이 제3자는 결코 가늠할 수 없는, 보안관제 인력들의 뒷모습이 아닐까 생각된다. 보안 관제 인력들의 뒷모습에 대한 예를 하나 들자면 <그림 1>과 같다.

▲ <그림1> 보안관제 현장의 문제점(출처: 이글루시큐리티)

정보보안에서 분석에 필요한 로그는 현존하는 어떤 도구를 사용하더라도 보안관제 요원이 감당할 수 있는 양을 압도한다. 그래서 이벤트 건수로 정렬 또는 공격 명으로 그룹핑, 키워드를 등록하는 등 알람이 발생하도록 여러 가지 아이디어를 활용해 분석할 대상을 축소하게 된다. 이는 중요한 사항을 누락시킬 수 있는 위험이 있고 분석가의 주관이 많이 개입되기 때문에 결코 바람직하지 않다.

또 로그에는 육안으로 바로 분석이 불가능한 사각지대가 있기 마련이고 오늘 찍힌 로그라 할지라도 오랜 시간 누적된 사건일 수 있는데 인간에게는 이런 정보를 처리할 능력이 없다. 분석해야 할 로그들이 줄을 서 있기 때문에 보안관제요원은 어쩔 수 없이 작은 정보의 조각으로 모든 상황을 판단하는 오류를 범하게 된다.

물론 이러한 문제를 인지하지 못했거나 적극적으로 대응하지 않은 것은 아니다. 1999년 공개 IDS 데이터를 이용한 데이터 마이닝 대회인 KDD-CUP 99[1] 때 이미 보안로그 분석의 지능적인 방법이 심도 있게 논의됐다. 또한 인공지능 기술의 정점에 있는 딥러닝을 보안관제에 적용한 연구가 발표된 지도 5년이 넘었다.

이미 상용제품으로 사용자가 다양한 머신러닝을 할 수 있도록 도와주는 일래스틱(Elastic)과 스플렁크(Splunk)부터 아예 딥러닝 기술로 이상치(Anomaly)와 오용(Misuse)을 자동 탐지하는 이글루시큐리티의 ‘스파이더 TM AI 에디션(SPiDER TM AI Edition)’과 같은 솔루션까지 출시됐다. 이들 제품은 공통적으로 인력이 일일이 확인해야 할 정보들을 빠르게 분석하고 침해 여부 또는 이상로그를 자동으로 판별해 보안관제 요원이 효과적으로 보안관제 업무를 수행하도록 돕는다.


문제는 보안관제 현장과 인공지능 솔루션의 부조화

보안은 사소한 실수로도 치명적인 결과를 야기할 수 있는 분야로, 작은 오류에도 민감하게 반응한다. 인공지능이 상황을 오판했을 경우 서비스가 마비되기도 하고 섬세하지 못했을 경우 중요한 요소를 인지하지 못한 채 자칫 완전히 다른 방향으로 나가버릴 수도 있다.

인공지능은 기본적으로 블랙박스이기 때문에 이러한 오류의 원인이나 징후를 찾는 것이 쉽지 않다. 그래서 인공지능이 주는 해답이 정확한지, 누락된 것은 없는지에 대해 반박할 수 없는 논리로 검증하지 않은 이상 100% 신뢰하기엔 조심스러운 것이 사실이다. 그러나 인공지능 솔루션에 문제없음을 인정해 줘야 하는 주체가 다름 아닌 사용자이기 때문에 사용자 역시 인공지능에 대한 이해가 선행돼야 하는 것이 이 문제 해결을 더욱 어렵게 만들고 있다.

현시점에서 가장 필요한 것은 인공지능에 대한 신뢰의 문제를 보안관제 현장과 솔루션이 상호 노력으로 풀어나가려는 강한 의지다. 인공지능을 통해 사람의 힘으로는 발견하기 어려운 위협을 찾아내고 정확한 로그 분석과 일관적이고 즉각적인 대응이 가능한 것은 과장이 아니다. 지금 당장 불편함을 느낄 수 없을지라도 패러다임의 변화에 늦게 적응하는 데는 많은 비용이 지불될 것임을 간과해서는 안 된다.

인공지능은 로그분석을 시작으로 취약점 점검, 악성코드 분석, 장애 예측, 탐지 규칙 최적화, 내부자 감시, 컴플라이언스 등 많은 영역에 응용되어 확장될 수 있다. 변화하는 패러다임에 적극적으로 대응해 인공지능 신뢰의 문제를 해결한다면 보안관제의 다음 세대, ‘보안관제 2.0’으로 부를 수 있을만한 엄청난 변화가 따라오게 될 것이다.


보안관제 2.0

보안관제 현장과 인공지능 솔루션이 조화를 이루어내기 위해서는 ‘개념 설계’에 가까운 시간과 공간의 압축이 필요하다. 개념 설계란 문제를 백지상태에서 다시 정의하고 새로운 컴포넌트와 프로세스의 밑그림을 그리는 것을 말한다. 이는 지금까지 해온 것처럼 누군가가 제시해 준 방법을 실행만 하는 것과는 정반대의 의미로 정형화된 방법론이나 경험이 존재하는 것이 아니라 많은 시행착오를 거치면서 올바른 형태를 형성해 나가야 하는 것이다. 결국 개념 설계는 철저히 현장에서 당사자들이 직접 해야한다. 다시 말해 인공지능을 통해 보안관제 2.0 세상을 열어나갈 개념 설계의 주체는 보안관제 현장의 실무자들이다.

개념 설계를 통해 튼튼한 기반을 완성한 다음에 할 일은 규모를 확장시키는 ‘스케일 업’이다. 개념 설계의 대상이 보안관제 요원이라면 스케일 업의 대상은 인공지능 솔루션이다. 인공지능 솔루션을 적극적으로 활용해 정보보안의 다양한 분야로 확장하면 보안 사각지대는 대폭 제거되고 현재 느끼고 있는 걱정과 피로감을 상당 부분 해소할 수 있을 것이다.

현시점에서 개념 설계를 위해 제시된 문제는 보안관제현장을 대표하는 보안관제요원과 인공지능 솔루션의 부조화이고 목표는 보안관제 인력들이 인공지능 솔루션을 완벽히 검증, 평가, 활용할 역량을 확보해 정보보안환경 전반에 인공지능 적용을 현실화할 기본 여건을 갖추는 것이다. 이에 보안관제 2.0을 위한 보안관제 인력을 다시 설계하고 인공지능 솔루션을 통해 스케일 업 하기 위한 컴포넌트와 프로세스에 대해 자세히 살펴보는 시간을 가져보도록 하겠다.


보안관제요원 재설계

보안관제 2.0에서 보안관제 요원이 인공지능 솔루션을 평가, 검증, 활용할 수 있을만한 첫 번째 컴포넌트는 데이터에 대한 역량이다. 인공지능의 시작과 끝은 데이터다. 인공지능을 이해하기 위해서는 데이터로 일을 해야 하고 데이터로 일을 한다는 것은 개인의 감이나 검증되지 않은 지식이 아닌 객관적이고 정량화된 판단 기준을 따르는 걸 의미한다.

▲ <그림2> 위협 피처 헌팅 파이프라인(Threat Feature Hunting Pipeline)
(출처: Dooyong Jeon. BlackEye: IP Blacklisting via Threat Modeling and Machine Learning from Security Logs)

보안관제에서 데이터 역량을 발휘한 한 예로, 로그를 분석할 때 어떤 정보를 찾아서 각 정보마다 가중치를 어떻게 줄 것인지에 대한 결정을 위한 ‘위협 피처 헌팅 파이프라인(TFHP: Threat Feature Hunting Pipeline)’이 있다. TFHP는 로그 데이터를 분석하기 위해 도메인 지식을 배제한 채로 가정을 검증하며 분석할 포인트를 잡아가는 방법이다. 데이터 사이언스 분야에서 ‘쓰레기를 넣으면 쓰레기가 나온다’라는 명언만큼이나 유명한 말이 ‘확인해보기까지는 모른다’이다.

지금까지의 로그 분석은 가정을 명확히 검증하지 않고 대략의 정황만을 분석하였지만 TFHP에서는 ‘장시간 차단을 많이 당한 IP는 더 위험할 것이다’와 같은 가정을 데이터에서 모두 검증해보고 기준을 세워 나가는 것이다. 확인해보기까지는 모르기 때문이다.

TFHP 프로세스는 최소한의 명확한 데이터를 이용해 새로운 기준을 만들고 이 단계까지 얻은 지식들을 조합해 다음 단계에서 더욱 세부적인 기준으로 확장해나간다. 이렇게 가정을 검증하면서 어떤 분석 요소가 얼마나 중요한지를 데이터로 확인할 수 있으며 몇 가지 데이터 분석 테크닉을 이용하면 ‘10일 이상 차단을 당한 IP의 위험도는 5이며 10일이 늘어날 때마다 위험도는 0.5씩 증가한다’와 같은 스코어링(Scoring)까지도 가능해진다. 이에 이를 객관적인 지표이자 판단의 기준으로 활용한다면 보안관제 요원의 경험과 지식에 따른 분석의 편차를 줄여 누가 분석하든지 동일한 INPUT에 대한 동일한 OUTPUT을 제공할 수 있게 된다.

또 다른 데이터 활용의 예로 다양한 통계 및 확률적 기법을 이용한 평균이나 매직넘버(Magic Number)의 함정에서 빠져나오는 것을 들 수 있다. 나열된 숫자를 가장 간편하게 표현할 수 있는 방법은 평균을 내는 것이지만 현실 세계에서는 아웃라이어(현저히 크거나 작은 값)에 의해 평균이 제 역할을 못하는 현상을 쉽게 볼 수 있다. 이러한 평균의 왜곡을 피하기 위해 중간 값(medium)이나 상위 25%에서 75% 값의 평균을 숫자 배열을 대표하는 값으로 대체할 수 있다.

또한 임계치 설정, 위협 점수 부여와 같은 중요한 결정에 이용되는 데이터라면 특정 구간에 많은 값이 분포됐는지, 각 구간의 값이 나올 확률을 조사하는 확률 분포를 이용해 분석을 확장할 수 있으며 특정 확률밀도함수(Probability Density Function)에 적합한지에 따라 모델링까지 한다면 100, 150, 1000과 같은 근거 없이 임의로 정하는 매직넘버 대신 최적에 가까운 숫자를 찾아낼 수 있다.

보안관제 2.0 개념 설계 두 번째 컴포넌트는 대량의 정보를 종합적으로 처리해 판단에 활용하는 업무 방식이다.

이것은 소프트웨어를 이용한 ‘자동화’로만 가능하기 때문에 보안관제 요원의 소프트웨어 개발 역량으로 압축할 수 있다. 소프트웨어 개발 역량을 통해 현장에서 상황에 따라 필요한 스크립트 수준의 소프트웨어를 직접 개발해 반복된 작업들을 정복해 나가는 것이 목표다. 침해조사 및 대응을 위해 수년간 필자가 개발한 인스턴트(Instant) 스크립트는 100여 종에 달한다. 말 그대로 인스턴트이기 때문에 지속적으로 사용되도록 발전시킨 프로그램은 많지 않았지만 단순 작업을 크게 줄여줌으로써 업무 중 많은 도움을 받을 수 있었다. 그중 지속적으로 사용하고 있는 몇 가지 프로그램을 소개해보면 다음과 같다.

1) 다량의 IP를 읽어 국적과 IP 평판 점수를 조회하는 프로그램
DDoS 공격이 발생하면 수백에서 수천 개의 호스트로부터 집중적인 접속이 시도된다. 공격자는 대부분 경유지이기 때문에 원천지를 찾기 어렵고 공격으로 인해 서비스가 중단된다면 대응에 허락된 시간도 많지 않다. 그래서 SIEM에서 공격 IP 목록을 찾아 블랙리스팅을 하려고 했더니 IP 개수가 너무 많았고 결정적으로 정상 사용자와의 구분이 어려웠다. 다행히 관제하고 있는 서비스는 국내전용 서비스라 해외 IP이면서 평판이 나쁜 IP를 자동으로 추출해 차단함으로써 빠르게 서비스를 정상화할 수 있었다.

2) 보안시스템 탐지규칙의 리스크 등급을 평가하는 프로그램
보안시스템의 탐지규칙(Rule)은 제조사마다 이름이나 임계점이 다르게 설정되기 때문에 그 위험성을 미리 판단할 수 없다. 이때 가장 좋은 방법은 필드에 쌓인 데이터의 통계를 활용하는 것이다. 이벤트 별로 발생시킨 IP의 IP 평판 Score, 출발지 또는 목적지의 해외 IP 비율, 발생 빈도, 발생 시간대, 처음 또는 마지막 발생 시점 등을 종합해 실제 조직을 위협하는 이벤트가 무엇인지 명확하게 알 수 있었다.

3) 보고서 자동화 프로그램
관제 중 발견한 특이 사항을 보고서로 작성하는 것은 그 형식만 다를 뿐 보안관제의 공통 과업이다. 그러나 수기로 작성하는 보고서에는 너무 많은 시간이 소요된다는 치명적인 단점이 있다. 많은 시간을 들이기 때문에 다수의 팩트를 고려하는 것이 어려워 주요 콘텐츠는 이벤트 건수, 트래픽 양과 같은 단순 수치나 단일 이벤트 분석 결과에 그치게 된다. 무엇보다 종이나 워드프로세서에 적힌 보고서는 미래에 다시 활용할 가능성이 매우 낮다.

그러나 자동화된 보고서는 데이터를 DB에 보존하기 때문에 언제든지 다른 분석에 재활용할 수 있고 서로 조합하고 자르고 붙여 새로운 판단 기준을 찾아낼 수도 있다. <그림 3>과 같이 잘 설계된 보고서를 자동화한다면 보다 전문적이고 상세한 분석을 지속할 수 있을 뿐만 아니라 보고서 작성의 굴레에서 빠져나오게 되어 다른 영역으로 눈을 돌릴 수 있는 여유를 얻을 수 있다.

▲ <그림3> 자동으로 생성된 보고서 예시(출처: 이글루시큐리티)

보안관제 2.0 개념 설계의 세 번째 컴포넌트는 표준화이다. 국내 보안관제 발전 방향에 대한 초기 연구인 김영진 et.al 의[2], 김성진 et.al의 [3] 등 부터 현재까지도 공통적으로 보안관제센터간 공유와 소통의 문제가 제기돼 왔다. 공유와 소통이 이뤄지기 위해서는 가장 먼저 프로세스와 용어가 표준화돼야 하고 또 각 기업이나 기관의 로그를 중앙에 모아 이벤트에서 그 패턴까지 통합적으로 분석하고 공유하기 위해서는 ‘정보비식별화’와 같은 큰 산을 넘어야 한다.

그럼에도 기꺼이 이 큰 산에 도전해야 하는 이유는 이로부터 얻을 수 있는 이점이 상당하기 때문이다. 데이터의 공유를 통해 공격 순서와 범위를 인지함으로써 해킹의 의도를 신속히 파악, 정확한 대응이 가능하며 같은 블랙리스트라도 단일 시스템에 침입한 경우와 다수 시스템에 공통적으로 침입한 경우는 분석가에게 그 경중이 다르게 평가될 수 있다. 그리고 다양한 환경에서 온 데이터가 많이 모인다면 아직도 미지의 영역인 해킹의 DNA와 공격의 징후를 밝혀내는데 상상하지도 못했던 도움을 받을 수 있을 것이다. 그렇기 때문에 박원형 et.al의 [4]와 최근 조창섭 et.al의 [5]와 같이 보안관제 방법론과 프레임워크를 마련해 관리 및 기술을 표준화하고 보편화하고자 하는 노력이 지속되고 있는 것이다.

네 번째 개념 설계 컴포넌트는 더 나은 결과를 위해 새로운 개념들을 적용하는 것에 익숙해지는 것이다. 관행을 깨고 새로운 개념을 적용해 좋은 결과를 얻은 사례로는 분석에 연결된 시간을 고려한 시계열(Time Series) 분석을 들 수 있다. 악성코드, 취약점, 네트워크 침해 등에서 행하는 보안 분석은 보편적으로 정적 분석과 동적 분석으로 나눠졌다. 그러나 이와 함께 반드시 고려돼야 하는 것은 시간을 두고 쌓이는 데이터의 변화 즉 시계열 분석이다.

어떤 이벤트의 한순간 리스크 분석 결과로 위험도가 ‘중간’이라 판단됐을지라도 시간 순서대로 쌓여 있는 데이터를 모두 연결해 분석한다면 그 위험도는 더 낮아지기도, 더 높아지기도 한다. 또 단일 이벤트에서는 아무 문제가 없었지만 과거 누적된 행위들을 조합해보니 큰 위협의 패턴을 보이는 경우도 있다. 내부자의 업무시간 외 특이사항 발생 분석, 특정 시간에 급격히 많아지는 이벤트를 분석하거나 이벤트가 발생하는 간격을 분석하는 것 모두가 시계열의 영역이라 할 수 있다.

이 밖에도 먼저 완성된 알고리즘을 차용하여 복잡한 문제를 처리한 사례로 Zhang et.al의 [6]에서 Blacklisting에 Google의 Page lank 알고리즘을 적용하거나 Egid et.al의 [7]에서 Anomaly Detection에 경제학 이론인 Herfindahl Hershman Index(HHI)를 적용한 경우를 들 수 있다. 이렇게 보안관제 인력은 보안관제센터 밖의 지식과 현상에도 관심을 가지고 새로운 개념을 적극적으로 현장에 적용하는 노력으로 인공지능과 한 발짝 더 가까워질 수 있을 것이다.


인공지능 솔루션을 활용한 스케일 업

개념 설계의 최종 목표는 설계한 개념 프로토 타입이 충분히 일반화돼 업계의 상식이 되도록 하는 것이며, 이 ‘충분한 일반화’의 티핑 포인트는 바로 인공지능 솔루션의 지원으로 만들어낼 수 있다. 보안관제에 있어 SIEM은 OS(Operating System)와 같은 기반 환경 소프트웨어다. 이에 SIEM을 사이버 보안 분야에 인공지능을 널리 활용하도록 하는 방아쇠로 만들기 위해, 보안관제 인력 개념 설계를 기반으로 다음과 같은 스케일 업 전략을 제안한다.

첫째, SIEM의 데이터 운용기능 고도화이다. SIEM의 보안 분석을 위한 보조적 기능은 이미 높은 수준에 올라와 있다. 다만 개념 설계에 따라 데이터로 일을 하는 보안 인력을 위한 SIEM은 상용 OLAP(Online Analytical Processing)이나 데이터 마이닝(Data Mining) 도구 수준으로, 사용자가 다양한 차원에서 자유롭게 분석할 수 있는 플랫폼이 돼야 한다. 여기에 사용자 관심 데이터에 대한 통계나 통계 검정, 머신러닝 라이브러리를 제공한다면 사용자도 인공지능의 블랙박스에 조금 더 쉽게 접근할 수 있을 것이다.

둘째, 보안관제 소프트웨어를 공유할 수 있는 APP 마켓과 같은 생태계(Echo System)의 형성이다. 사용자가 현장에서 침해 분석 또는 대응에 필요한 프로그램을 개발하고 SIEM이 이를 공유할 수 있는 마켓 생태계를 제공한다면 다른 오픈 플랫폼이 가지는 빠른 자생력을 보안관제 분야에서도 얻을 수 있을 것이다. 즉 현장에서 가장 필요한 기능들이 자연스럽게 모이고 빠르게 확장된다. 단 SIEM은 등록되는 소프트웨어를 인증하고 통제해야 하는 의무 또한 더불어 가져야 할 것이다.

셋째, 데이터 및 정보공유를 위한 API 플랫폼이다. 현재 공개된 분석 및 연구용 데이터가 턱없이 부족해 아직까지도 1999년도에 발표된 KDD-Cup 99 데이터를 활용하는 연구자가 다수이며 보안전문가의 블랙리스팅과 같은 판단이 정확한지 상호 평가하는 시스템은 전무하다. 하지만 그 이전에 민감한 개인정보나 정보시스템 구성 노출에 대비해 수준 높은 비식별화가 이뤄져야 하고 공유는 API를 통해 완전히 통제돼야 하는 등 안전하게 데이터 이용을 활성화할 수 있는 중앙 관리자가 필요하다. 그리고 이 역할 역시 보안관제 중추 소프트웨어인 SIEM이 담당할 수 있다.

데이터 공유를 통해 보안관제센터 벽에 막혀 있는 정보를 활용한다면 인력 및 인공지능 분석의 질은 수직 상승할 것이다. 더욱이 SIEM이 각 전문가들의 판단과 그 근거를 수집하여 SNS의 타임라인(Time Line)과 같은 참여와 기술적 토론을 이끌어내는 플랫폼 역할까지 해낸다면 SIEM 선택의 새로운 기준으로 자리 잡게 될 것이다.

마지막으로 악성 행위 탐지에 치중되고 있는 현재 단계를 넘어 SIEM의 다양한 모듈에 인공지능을 적용하는 것이다. 예를 들어 ▲SIEM의 검색 속도를 높이기 위해 문제 발생을 예측해 검색이 예상되는 대상들을 미리 준비하는 인공지능 ▲정상 사용자에 의한 보안장비 오탐(False Alarm) 로그를 줄이기 위한 프로그램 코드를 제안하는 인공지능 ▲공유된 데이터 용량이 너무 클 경우를 대비해 로그의 통계 및 집계 값을 통해 원본 로그를 유추하는 인공지능 등 풍부한 상상력을 통해 그 영역을 더 확장할 수 있다.


보안관제 2.0의 청사진

보안관제 2.0 시대는 현장의 인력이 넘쳐나는 데이터를 최적으로 활용함으로써 시작된다. 또한 중앙에서 공급해주는 획일적인 소프트웨어를 사용하는 것이 아닌, 현재 목적에 알맞은 소프트웨어를 현장에서 개발해 반복되는 보안관제 프로세스를 자동화하고 인력은 핵심에 집중한다.

현장 전문가들의 힘을 모으고 공유하는 역할을 SIEM이 구현해냄으로써 주먹구구식의 주관 대신 표준적인 INPUT과 OUTPUT을 유지해 현재와는 비교할 수없이 풍부한 케이스와 높은 데이터 품질, 정확한 레이블을 획득할 수 있다. 이렇게 데이터의 기반이 자리를 잡게 된다면 어떠한 인공지능이라도 상상한 대로 빠르게 구현할 수 있고 실무에 거부감 없이 적용할 수 있는 날이 오게 될 것이다.


결국엔 사람

보안관제 2.0의 청사진을 가까운 미래의 모습으로 받아들일지 말지는 이 기고를 읽는 개개인의 몫이다. 또 보안관제 2.0을 여는 기술이 인공지능이 될지 아니면 또 다른 기술이 될지는 사실 그 누구도 단언할 수 없다. 그럼에도 불구하고 우리는 변화하는 환경에 대응하기 위한 방안을 계속해서 찾고 또 찾아나가야만 한다.

자칫 인공지능이 모든 문제를 해결해줄 만능열쇠로 보일 수 있다. 그러나 보안 분야에서 가장 중요한 플랫폼은 현장과 인력이라는 사실을 잊어서는 안 된다. 시장을 혁신할 기술을 점치기에 앞서 현장의 우수한 아군을 확보하는 것이 보이지 않은 해커와의 전쟁에서 승리하는 기본 공식임은 변함없다. 그리고 우리의 아군이 새로운 기술과 무기를 활용할 준비가 된 후에야 비로소 새로운 시대를 열 만반의 준비가 완성된 것이다.

<참고자료>
[1] KDD CUP 99 - http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
[2] 김영진, 이수연, 권헌영, 임종인 - 국가 전산망 보안관제 업무의 효율적 수행 방안에 관한 연구(2009), 정보보호학회논문지
[3] 김성진, 배병철, 이철원 - 보안관제를 통한 사이버위기 대응현황과 발전방향(2010), 국가위기관리학회 학술대회
[4] 박원형, 김양훈, 임영환, 안성진 - 보안관제 위협 이벤트 탐지규칙 표준 명명법 연구(2015), 융합보안 논문지
[5] 조창섭, 신용태 - 보안관제 조직을 위한 사이버보안 프레임워크 개선에 관한 연구(2019), 융합보안 논문지
[6] J Zhang, PA Porras, J Ullrich - Highly predictive blacklisting(2008), USENIX Security Symposium
[7] Egid, Adin Ezra - Utilizing Weak Indicators to Detect Anomalous Behaviors in Networks(2017) - Los Alamos

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지