[컴퓨터월드] 인력 위주의 사업으로 알려진 보안 관제 업무의 효율성을 높일 수 있는 수단으로 인공지능(AI)이 주목받고 있다. 사람이 일일이 분석하기 힘든 보안 이벤트와 장비별 로그 데이터를 AI 기술로 손쉽게 분석할 수 있게 되면서 보다 효과적인 위협 대응이 가능해졌기 때문이다. 여기에 최근에는 ‘생성형 AI(Generative AI)’까지 등장하면서 AI가 초급 혹은 중급 보안 인력에 준하는 조언자로 활약할 수 있다는 평가도 나오고 있다. 현재 보안 관제 부문에서 AI가 어떻게 활용되고 있는지를 조명해본다.

사이버 위협 대응, 인력만으론 한계

사이버 위협이 나날이 지능화, 정교화, 조직화되면서 수위를 높여가고 있다. 기업과 기관은 이 순간에도 계속되고 있는 각종 사이버 위협에 효과적으로 대응하기 위해 24시간 감시 체계를 마련하고 촉각을 곤두세우고 있다.

문제는 사이버 위협이 기승을 부리는 만큼 이를 감시하는 ‘보안 관제’와 관련한 업무 역시 기하급수적으로 늘어나고 있다는 것이다. 보안 관제를 수행하는 업체들은 최소 하루 수십만 건부터 많게는 수십억 건까지 ‘보안 이벤트’가 발생한다고 말한다. 이 중 실제로 위협적인 이벤트만을 추리면 그 수가 크게 줄어든다고는 하지만, 실제 보안 관제 인력이 처리할 수 있는 보안 이벤트는 하루에 적게는 몇 건에서 최대 수십여 건에 불과한 게 현실이다. 자연히 보안 관제 업무를 담당하는 인력들은 언제 심각한 위협이 발생할 지 모른다는 업무상의 압박감과 함께, 하루에도 최소 수십 건의 보안 이벤트를 처리해야 한다는 점에서 적지 않은 피로감을 호소하고 있다.

자동화 및 AI 기술 접목 활발

보안 관제 기업들은 한정된 인력과 자원으로 각종 장비에서 발생하는 수많은 데이터를 빠른 시간 내에 효율적으로 분석해 위협을 감지하고 조치를 취해야 한다는 숙제를 안고 있다. 이 때문에 보안 관제 부문은 최근 빠르게 발전하고 있는 AI 기술의 효용성이 높은 영역으로 지목되고 있으며, 관제 기업들 역시 선제적으로 자동화 및 AI 기술을 업무에 적용해오고 있다.

예를 들어, 반복적으로 같은 과정을 거치는 작업(task) 수준의 업무는 RPA(Robotic Process Automation; 로봇 프로세스 자동화) 기술을 활용해 자동화함으로써 효율성을 높이고 있다. 보안 관제 업무는 △모니터링 △탐지 △초기 분석 △상세 분석 △대응 △사후 분석 △보고 등의 과정으로 나눌 수 있고 이러한 단계를 모두 거치려면 많은 공수가 필요한데, 이미 파악된 공격 수법이라 분석이 필요 없는 경우 즉각적으로 차단하는 조치만을 자동으로 할 수 있도록 설정함으로써 효율성을 크게 높일 수 있는 것이다.

RPA를 통해 단순 업무를 자동화하면 관제 인력들은 정말로 분석이 필요한 새로운 공격이나 심각한 위협을 놓치지 않고 대응할 수 있는 여유를 가질 수 있게 된다. 또한 수작업 과정에서 발생할 수 있는 단순 실수도 줄어들고, 무엇보다 인력 대비 월등한 작업 속도가 가장 큰 장점이다.

이와 더불어 보다 넓은 보안 업무를 포괄해 자동화 기능을 제공하는 SOAR(Security Orchestration, Automation and Response; 보안 오케스트레이션, 자동화 및 대응) 솔루션도 활용이 확대되고 있다. 공격을 유형별로 나눠 상세한 대응 과정을 플레이북(playbook)으로 묶어 절차에 따라 자동으로 대응함으로써 탐지에서 대응까지의 과정을 단축시켜 보안을 효율화할 수 있다. 한 보안 업계 관계자는 “SOAR 솔루션을 활용한 보안 관제 및 대응 작업은 단 몇 분이면 되는 수준이다. 기존에 10분 이상, 길게는 1시간 넘게 걸리던 인력 기반의 대응 대비 작업 시간을 크게 단축할 수 있다”고 설명했다.

뿐만 아니라 최근에는 자동화를 넘어 AI 기술이 본격적으로 접목되기 시작하면서 보안 업무의 효율은 더욱 높아질 것으로 기대된다. AI 기술을 활용하면 보안 담당자 개인의 경험에 따라 발생할 수 있는 과탐, 오탐, 미탐 등의 문제를 줄이고 결과적으로 인력의 역량 편차 문제를 극복할 수 있으며, 보안 인력이 알려진 위협에 대한 단순 작업에서 벗어나 알려지지 않은 위협을 탐지하고 대응하는 데 역량을 집중할 수 있기 때문이다.

이글루코퍼레이션 정일옥 기술위원은 “AI 도입을 통해 얻을 수 있는 장점은 크게 두 가지로 나눌 수 있다. 먼저 정상·비정상 이벤트에 대한 지도학습을 통해 매일 기하급수적으로 생성되는 이벤트를 ‘위험한’, ‘덜 위험한’, ‘위험하지 않은’ 순으로 선별함으로써 공격에 대한 대응 속도를 높일 수 있다. 또한 일일이 보안 이벤트를 분석해야 하는 보안 담당자의 피로감을 해소하고, 고위험군 경보에 대한 대응 속도를 높일 수 있다”고 설명했다.

AI 보안관제 솔루션 소개

이글루코퍼레이션 ‘스파이더 TM AI 에디션’

이글루코퍼레이션은 2019년 초 보안관제 지능화를 구현할 수 있는 솔루션인 ‘스파이더 TM AI 에디션(SPiDER TM AI Edition)’을 선보였다. 정상·비정상 이벤트에 대한 지도 학습과 이상 행위·공격자 특성 등에 대한 비지도 학습을 거친 AI 알고리즘이 자체적인 판단 기준을 만들고, 이를 토대로 새로운 위협에 대한 예측 결과를 내놓는 형태다. 이 솔루션을 도입한 조직은 인력의 역량 편차 문제를 해결하고 상향된 수준의 대응 체계를 유지할 수 있게 된다.

스파이더 TM AI 에디션은 보안 특화 AI 알고리즘과 AI 데이터셋을 적용해 탐지 모델의 정확성을 보장한다. 이글루코퍼레이션은 고객이 학습 데이터 생성의 어려움을 해소하고 AI 보안 솔루션을 지속적으로 잘 활용할 수 있도록, 다년간의 보안 데이터 분석 및 AI 솔루션 구축·운영 경험을 보유한 핵심 조직을 운영하고 있다. 이들은 공격의 특징(feature)을 반영한 양질의 학습 데이터를 생성하고, 목적에 부합하는 최적의 AI 알고리즘 모델을 선별하며, 탐지 모델의 정확성을 높이는 역할을 수행한다.

스파이더 TM AI 에디션에 적용된 ‘설명 가능한 AI(eXplainable AI; XAI)’ 기술 역시 AI 예측 결과의 신뢰성을 높이는 요소다. AI 알고리즘이 특정 이벤트를 왜 고위험 이벤트로 판단했는지를 손쉽게 이해할 수 있도록 AI가 내린 예측에 대한 근거를 제시하는 형태다. 보안 담당자는 AI가 내놓은 예측 결과의 도출 과정을 확인함으로써 의도한 목적에 따라 AI가 잘 학습됐는지, 편향(bias) 등의 문제점은 없는지를 보다 명확하게 판단할 수 있다.

보안 담당자들은 스파이더 TM AI 에디션을 도입해 우선 대응해야 할 고위험군 이벤트를 정확히 선별하고, 기존의 보안 장비로는 탐지하기 어려운 신·변종 위협을 탐지할 수 있다. 이로써 고위험군 경보 대응 속도를 높이고 공격자가 파고들 수 있는 보안 공백을 최소화할 수 있게 된다. 더불어 보안 인력의 경험에 따라 과탐·오탐·미탐이 발생했던 역량 편차 문제를 해결하고, 상향된 수준의 대응 체계를 유지할 수 있다.

차세대는 ‘AI 보안 비서’…높아지는 기대감

AI의 가장 큰 장점은 대규모 데이터를 빠르게 식별하고, 분류할 수 있다는 점이다. 특히 최근의 IT 환경은 사내 시스템을 넘어 모바일, BYOD(Bring Your Own Device), 클라우드, 에지(edge), 사물인터넷(IoT) 등의 트렌드에 따라 전례 없이 복잡해지고 있어 보안 이벤트 관련 데이터를 단순 인력만으로 대응한다는 것은 불가능한 과제라고 할 수 있다.

이처럼 복잡한 환경에서 발생할 수 있는 위협에 대비하기 위해서는 가능한 모든 데이터 소스로부터 정보들을 수집해 분석해야 하고, 위협의 우선순위를 정해 적절히 분류하고 알맞은 대응을 펼쳐 나가야 한다. 그리고 이를 위해 AI는 이제 필수 도구라고 할 수 있다. 중요하지 않은 정보들을 빠르게 소거하고 확정적인 위협에 적절하게 대응할 수 있도록 의사결정을 하는 데 AI의 조력이 필요하다. 특히 최근에는 차세대 AI 기술인 ‘생성형 AI’가 주목을 받으면서 자연스럽게 보안 분야에서의 활약이 기대되는 상황이다.

특히 마이크로소프트(MS)는 가장 선도적으로 보안 분야에 차세대 AI 기술을 접목하며 주목을 받았다. MS는 올해 3월 ‘마이크로소프트 시큐리티 코파일럿(Microsoft Security Copilot)’을 공개, 오픈AI의 GPT-4를 기반으로 기존에 보유한 MS의 위협 인텔리전스(TI)와 전문가들의 경험, 지식을 결합함으로써 보안 팀의 역량을 보완해줄 수 있다고 소개했다.

MS에 따르면 시큐리티 코파일럿은 챗GPT를 사용할 때와 마찬가지로 프롬프트 바에 “우리 회사의 모든 인시던트(incident; 사건)에 대해 알려줘”와 같은 자연어만 입력하면 정제된 정보를 얻을 수 있다. 취약점 요약을 시키거나, 다른 보안 도구에서 발생한 인시던트 및 경보 정보도 요청할 수 있고 파일이나 URL을 첨부하면 관련 정보를 분석하기도 한다.

시큐리티 코파일럿은 TI를 이해하고 요약하며, 웹 트래픽의 노이즈를 간파하고 악의적인 활동을 식별하는 데 도움을 준다. 공격 데이터를 상호 연결 및 요약하고, 인시던트의 우선순위를 정하고, 다양한 위협을 적시에 신속히 교정하기 위한 최상의 조치를 제안할 수 있으며, 보안 팀이 놓치는 것을 포착할 수 있도록 돕는다. 또한 시큐리티 코파일럿은 보안 팀이 공격자의 전술, 테크닉, 절차 등에 대한 최신 정보를 유지할 수 있도록 최신 GPT 모델을 기반으로 지속적으로 학습하고 개선될 예정이다.

결과적으로 시큐리티 코파일럿은 팀 전반의 지식 격차를 해소하고, 보안 업무의 흐름과 위협 행위자의 프로필 파악, 인시던트 보고 기능 등을 개선함으로써 보안 관제 업체들이 겪어왔던 사이버 보안 인력의 기술 부족 문제를 해결할 수 있을 것으로 기대된다. 이를 통해 보안 팀은 기존에는 더 큰 조직이어야만 갖출 수 있었던 보안 기술과 능력을 누릴 수 있게 될 전망이다. 보안의 전체적인 수준이 한 단계 업그레이드 되는 것이다. 이와 관련, MS 보안 부문 찰리 벨(Chalie Bell) 수석 부사장은 “보안 상태를 발전시키기 위해선 인간의 독창성과 인간의 전문 지식을 속도와 규모에 맞게 키워 주는 가장 진보한 도구가 결합돼야 한다”고 말하기도 했다.

AI는 효율적인 보안 돕는 ‘조력자’

AI 보안 ‘비서’라는 표현에서도 알 수 있듯, 현재의 AI는 보안을 완전히 자동화하고 보안 전반을 책임지지는 않는다. 즉 AI가 사이버 보안과 관련한 모든 것을 알아서 처리하는 것이 아니라, 인간이 하는 업무를 도와 보다 효율적으로 일할 수 있게 해주는 ‘조력자’가 등장했다고 보는 것이 옳다. 이러한 맥락에서 MS 사티아 나델라(Satya Nadella) CEO는 “우리는 오토파일럿(Autopilot, 자동조종)에서 코파일럿(Copilot, 공동조종) AI 시대로 이동하고 있다”고 말하기도 했다.

특히 AI 보안 비서의 핵심은 챗GPT, 즉 대규모언어모델(LLM)의 등장으로 인해 숫자와 같은 단순 데이터가 아닌 자연어를 통해 보다 쉽게 명령을 전달하고, 요청에 대한 결과를 받아보는 것이 가능해졌다는 데 있다. 결론적으로 ‘AI 비서’는 기존의 AI 기능과 보안 담당자 간에 발생할 수 있는 소통의 격차를 줄이는 역할을 할 수 있을 것으로 기대된다.

이글루코퍼레이션 정일옥 기술위원은 “보안 분야에 비해 AI 관련 지식이 많지 않은 보안 담당자들의 눈높이에 맞춰, 보안 담당자가 AI의 판단 근거를 이해할 수 있도록 돕는 AI 보안 비서를 활용하는 기업이 늘어날 것으로 예상한다”면서 “AI가 어떤 기준에 따라 특정 행위를 이상 혹은 정상으로 탐지했는지를 설명해주는 ‘설명 가능한 AI(XAI)’ 기술과, 기존 콘텐츠에 대한 학습을 토대로 AI의 판단 근거에 대한 서술형 콘텐츠를 만들어내는 ‘생성형 AI’ 기술이 대표적이다. 보안 담당자들은 AI 보안 비서를 활용해 AI의 예측 결과에 대한 신뢰를 높이고, 보다 정확하면서 빠른 의사결정을 내릴 수 있게 될 것이다”라고 말했다.

AI 보안 관제 기술, 국내도 빠르게 성장

국내 보안 관제 기업들 가운데서는 이글루코퍼레이션이 AI 기술을 가장 선도적으로 적용하고 실제 활용하고 있다고 평가받고 있다. 회사는 지난 7월 AI가 판단한 공격 결과에 대한 신뢰성과 이해도를 높이는 AI 탐지모델 서비스 ‘에어(AiR)’를 출시했다.

에어(AiR)는 ‘AI Road’를 뜻하며, 분류형·설명형·생성형 AI 기술을 바탕으로 AI 모델의 예측 결과 및 근거를 자연어 형태로 설명해주는 서비스다. 보안 담당자가 보안 로그 및 이벤트의 정·오탐 여부를 명확히 판별·이해하기 위한 기능을 제공하는 데 중점을 두고 있다.

‘에어’는 이글루코퍼레이션 고유의 AI 역량에 기반한 자체 분류형·설명형 모델과 함께 챗GPT 등 외부의 생성형 AI 모델을 조합하는 하이브리드 형태로 제공된다. 이글루코퍼레이션은 적합한 AI 모델을 지속적으로 추가하며 고객의 선택 폭을 넓힌다는 방침이다.

‘에어’ 사용자들은 AI 모델의 판단 기준 확인을 통해 AI 답변에 대한 이해도와 신뢰도를 높이고 공격에 더욱 기민하게 대응할 수 있게 된다. SIEM(보안 정보 및 이벤트 관리), SOAR 솔루션 또는 포털 형태의 침해 대응 시스템을 사용하는 보안운영센터(SOC)의 경우, ‘에어’를 통한 질의 과정을 통해 현장에서 발생한 보안 이벤트 및 상황에 부합하는 대응 방안을 답변으로 받아볼 수 있다.

특히 ‘에어’는 생성형 AI의 편향성, AI 알고리즘 오염, AI 타깃 공격, 민감 데이터 외부 유출 등과 같은 알려진 문제점을 최소화하면서 AI의 혜택을 누릴 수 있도록 지원한다. 이는 이글루코퍼레이션이 보유한 다년간의 AI 보안 솔루션 개발 경험과 데이터셋 구축을 통해 축적한 ‘프롬프트 엔지니어링’ 및 ‘파인 튜닝’ 역량을 토대로 생성형 AI의 환각 효과 및 편향성을 최소화했기에 가능하다는 설명이다. 이글루코퍼레이션은 또한 데이터 비식별화 및 적대적 AI 공격에 대한 방어 기술을 적용해 질의 과정의 안정성도 높였다.

보안 분야 최적화된 sLLM도 국내서 개발 중

이글루코퍼레이션은 AI 솔루션 구축과 함께 학습 데이터 품질 향상에도 힘을 기울이고 있다. AI 알고리즘이 양질의 데이터를 학습해야 예측 결과의 수준도 높아질 수 있기 때문이다. 회사는 원시데이터에서 학습 데이터를 선별하고 추출·분석·가공하는 전처리와 학습 방향을 정하는 레이블링 작업 등을 전담 조직을 통해 수행하면서 학습 데이터의 품질을 지속적으로 고도화하고 있다.

또한 이글루코퍼레이션은 AI 예측 결과의 신뢰성을 높이는 ‘설명 가능한 AI(XAI)’ 기술 확보에도 앞장서오고 있다. AI 알고리즘이 특정 이벤트를 왜 고위험 이벤트로 판단했는지 이해할 수 있도록, AI가 내린 예측에 대한 근거를 제시하는 형태다. XAI를 이글루코퍼레이션의 AI 보안관제 솔루션 ‘스파이더 TM AI 에디션’에 적용해 AI가 의도한 목적에 따라 잘 학습됐는지를 판단하고, 조직의 기준에 맞지 않는 오탐 발생률을 낮출 수 있다.

이뿐만 아니라 2015년부터 AI 연구 개발에 집중해 온 이글루코퍼레이션은 국가정보원의 ‘챗GPT 등 생성형 AI 기술 활용 보안 가이드라인’을 비롯한 국내외 가이드라인을 토대로, 보안 분야에 최적화된 소형언어모델(sLLM) ‘그린 Ai(GREEN Ai)’ 구축에도 속도를 붙이고 있다. 오프라인 구축형 ‘에어’에 ‘그린 Ai’를 적용함으로써, 보안 데이터가 외부로 노출되는 위험성을 낮추면서 합리적인 예산 내에서 조직의 보안 현장에 최적화된 결과를 도출할 수 있을 전망이다.

이글루코퍼레이션 정일옥 기술위원은 “한편으로 사이버 공격자들 역시 AI를 토대로 더욱 고도화된 여러 형태의 공격을 감행하고 있다. 예를 들면, AI를 활용해 자신의 악성코드를 제작하거나 변형시키는 등 악성코드를 신속하고 다양하게 제작함으로써 방어를 어렵게 만드는 시도가 지속적으로 발생할 수 있다”고 설명하고 “이와 같이 AI를 활용하는 공격자에게 앞서기 위해서는 AI 기반의 공격 탐지 기술은 물론, AI를 악용한 보안 위협을 탐지할 수 있는 능동적인 방어 체계 구축이 필요하다. 이글루코퍼레이션 역시 정상적인 AI 서비스를 악용한 우회 공격 및 적대적 공격 등에 대한 방어 방법 등을 지속 연구 중이다”라고 덧붙였다.