01. 개요

 

이글루시큐리티 보안관제방법론(IGMSM, IGLOO SECURITY Management Security Methodology)의 서문을 보면 “이글루시큐리티의 보안관제방법론이란 다년간의 보안관제의 Knowhow를 바탕으로 보안관제센터(사이버안전센터, SOC)를 어떻게 운영해야 하는지에 대한 프로세스를 6개의 기능, 28개의 세부활동으로 정의 한 절차이며 문서” 라고 서술하고 있다. 관제사이트마다 그 사이트에 최적화된 방법론과 절차를 통해 보안관제 업무를 수행하지만, 당사의 관제 사이트라면 기본적으로 당사의 보안관제방법론을 기준으로 참고한다.[1]

  

[그림 1] 이글루시큐리티 보안관제방법론 프로세스 (출처 : 이글루시큐리티 보안관제방법론)

 

보안관제방법론에 표현 되어 있는 식별-예방-탐지-대응-복구-관리의 6개의 기능(Function)은 보안관제센터(SOC, 사이버안전센터 등)에서 수행하고 있는 업무들을 정의 한 내용들로 구성 되어 있다. 이러한 기능 중 빅데이터기반 보안관제시스템(이하 SIEM)이 도입 된 일반적인 보안관제센터에서 보안관제 전문인력(이하 보안관제요원)의 업무 중 대다수를 차지하는 부분은 바로 ‘탐지(Detect)’ 기능에 해당하는 업무들일 것이다. 

 

일반적으로 보안관제요원이 출근하여 교대 근무자와 인수인계를 하고 자리에 앉아 오늘의 보안 이슈들을 검토 하고 나면, 거의 하루의 모든 시간을 SIEM에 새로운 경보가 발생하는지 확인하게 된다. 경보가 발생하면 경보의 정·오탐을 분석하고, 그 결과에 따라 처리 및 대응을 수행하게 된다. 

 

그런데 만약 평화로운 우리의 보안관제센터에 인공지능기반 보안관제시스템(이하 인공지능 보안관제시스템)을 도입을 한다고 하면... 기존의 보안관제 프로세스를 그대로 사용할 수 있을까? 메인 보안관제시스템이 SIEM이 아닌 인공지능 보안관제시스템이 되어야 하나? 보안관제요원 입장에서는 고민과 궁금증이 많을 수 밖에 없을 것이다. 이번 기고에서는 이러한 궁금증을 풀어보기 위해 이글루시큐리티 보안관제방법론에서 제시하는 인공지능 보안관제 프로세스에 대해 설명해 보고자 한다. [2]

 

02. 인공지능 보안관제의 이해

 

1) 인공지능 보안관제를 바라보는 관점

 

인공지능은 사실 상당히 오래 전 부터 있어 온 학문이자 기술이지만, 현재의 사람들의 머리 속에 가장 먼저 떠오르는 인공지능은 아마 이세돌과 바둑을 두는 알파고(AlphaGo) 일 듯 하다. 사람의 지식을 학습하여 사람보다 훨씬 뛰어난 실력으로 바둑을 두는 알파고의 모습에 감탄을 한 사람도 있었을 것이고, 사람이 이제 인공지능을 이길수 없을 거라는 두려움을 느낀 사람도 있을 것이다. 지금의 알파고는 이세돌과 바둑을 두던 때의 실력을 아득히 넘어서서, 이제는 사람이 절대 이길 수 없는 수준에 이르렀다고 한다.

 

이러한 인공지능 기술을 보안관제에 처음 도입할 때의 반응은 각양각색이었다. 인공지능을 이용하여 관제를 하니 사람보다 더 빨리 더 정확하게 보안관제를 할 수 있지 않을까 하는 기대도 있었고, 반대급부로 인공지능을 도입하였으니 보안관제요원의 숫자를 줄여야 하는 것이 아닌가 하는 반응도 있었다. 처음에는 인공지능을 도입하면 모든 것 해결 될 것이다 라는 반응이었지만, 결론적으로 현실은 그렇지 않았다.

 

  

 

[그림 2] 인공지능의 이상과 현실을 풍자한 이미지

 

인공지능 보안관제시스템을 보안관제에 도입했다 하더라도, 기존의 전통적인 보안관제시스템, 특히 빅데이터기반 보안관제시스템(SIEM)이 필요 없는 것은 아니다. 인공지능 보안관제시스템이 보안관제에 도입된 지 몇 년이 흘렀으나, 아직까지는 룰 기반의 보안관제를 수행하는 SIEM이 여전히 보안관제의 핵심으로 그 위치를 공고히 하고 있다. 인공지능 보안관제시스템은 보안관제에 있어 기존의 SIEM을 대체하기 보다는 상호보완 관계로서 활용되고 있다. 전통적인 방식의 공격 탐지는 SIEM을 이용하고, SIEM으로 확인 하기 어려운 공격(공격이 너무나 많거나, 공격을 찾아내지 못하거나)에 대해서는 인공지능 보안관제시스템을 활용하고 있다. [3] 그렇다면 인공지능 보안관제시스템을 활용한 보안관제는 기존의 전통적인 SIEM 기반의 보안관제와 무엇이 다른지 상세히 알아보도록 하자.

 

2) 인공지능 보안관제시스템 구축 프로세스

 

인공지능 보안관제 프로세스를 알기 위해서는 인공지능 보안관제시스템의 구축 시 필요한  다양한 활동부터 이해해야 한다. 인공지능 보안관제시스템의 구축 프로세스는 일반적인 SIEM의 구축과는 사뭇 다르다. SIEM의 경우 ‘현황분석’ – ‘수집대상 연동’ – ‘정책설정’ – ‘관제’에 이르는 프로세스라면, 인공지능 보안관제시스템은 다음과 같은 프로세스로 구축을 하게 된다. [4]

 

  

 

[그림 3] 인공지능 보안관제시스템 구축 프로세스 

 

인공지능 보안관제시스템 구축 프로세스를 보면 SIEM 구축과 달리 엔지니어 관점이 아닌 전문가 관점에서 접근해야 하는 부분이 보인다. 바로 ‘전처리’ – ‘모델생성 및 학습’ – ‘검증’ 부분이다. 인공지능 보안관제시스템이 제대로 된 보안관제를 수행하기 위해서는, 먼저 제대로 된 데이터를 가지고 학습을 해야 한다. 이를 위해 보안에 대한 이해를 바탕으로 데이터 특성(Feature)을 추출하고 추출 방법을 정형화 해야 한다. 그리고 이 추출 방법을 바탕으로 학습 및 예측 데이터를 생성하고, 학습 데이터를 통해 모델을 생성하고, 예측 데이터에 직접 레이블링을 통해 모델 성능을 검증하게 된다.  따라서, 이 일련의 과정을 잘 수행하기 위해서는 보안이라는 도메인 지식(Domain Knowledge)를 갖춘 전문가의 적극적인 참여가 필요하다.

 

3) 인공지능 보안관제 프로세스 수립을 위한 준비

 

인공지능 보안관제를 위해서 가장 중요한 것은, 인공지능 보안관제시스템을 도입한 뒤 ‘인공지능’을 어떻게 활용할 것인가를 해당 시스템을 도입하기 전 고민 해야 하는 것이다. 그렇지만 사이트에서 근무하는 보안관제요원의 경우 이러한 고민을 할 틈도 없이 시스템이 먼저 구축되는 경우가 대다수이며, 구축을 위해 열심히 지원을 하다가 구축 인원(엔지니어 및 전문인력)이 빠지고 나면 덜렁 남겨진 인공지능 보안관제시스템을 가지고 성과를 어떻게 내야 할지 미궁에 빠지는 경우가 대다수이다. 이에 필자는 보안관제요원에게 다음과 같은 실마리를 제시 하고 싶다. 

 

  

 

[그림 4] 인공지능 보안관제시스템 도입 목표 [4]

 

욕심을 부리자면 위의 모든 것들을 하고 싶겠지만, 한정된 자원(인원, 시스템 등)을 통해 할 수 있는 방법은 많지 않다. 더불어 인공지능 보안관제시스템을 도입할 때 전담 인원을 추가로 뽑아주는 경우는 극소수에 불가하고, 기존 보안관제요원의 업무량은 더욱 증가할 따름이다. AI 보안관제를 연구하는 이글루시큐리티 관제기술연구팀에서는 이와 같은 고민을 가지고 질문하는 관련 인원들에게 다음과 같은 조언을 하고 있다. “인공지능 보안관제시스템을 도입하면 똑똑한 보안관제요원을 한 명 충원했다고 생각하세요. 이 친구는 밥도 먹지 않고, 잠도 안자고 퇴근도 안하고 24시간 365일 기존의 보안관제요원들이 하기 어려운 일을 도와줍니다.” 즉 인공지능 보안관제시스템이 도입되었다고 일이 늘었다 생각하지 말고, SIEM을 통해 들어오는 수많은 경보의 자동화를 인공지능 보안관제시스템에 맡기고, 인공지능 보안관제시스템이 판단한 우선순위가 높은 경보 중심으로 기존의 보안관제요원들이 처리하면 좋을 듯 하다. 어떤 목표로 관제를 할지 결정했다면 이제 보안관제 프로세스를 수립할 차례이다.

 

03. 인공지능 보안관제 프로세스

 

1) 이글루시큐리티 표준 탐지 프로세스

  

 

[그림 5] 이글루시큐리티 표준 탐지 프로세스

 

이글루시큐리티 보안관제방법론에서 제시하는 표준 탐지 프로세스는 [그림 5]와 같다. [2]

 · 보안이벤트 수집(DE.EC) 단계에서는 보안관제 대상의 보안이벤트 및 로그를 수집하고 이에 대한 경보를 설정한다.

 · ​탐지 및 분석(DE.DA) 단계에서는 보안관제요원이 가장 집중적으로 해야 하는 업무를 표현하며, 관제대상 시스템에서 이벤트 및 경보가 발생했을 때 기본정보를 분석하고, 정탐여부를 판단하고, 초동대응 및 상세분석을 수행한다.

 · ​대응 및 조치(DE.RA) 단계에서는 상황전파 및 사고이관, 필요 시 추가대응을 수행하고 이슈가 종결 되었을 시 보고 및 종결을 하게 된다.

 · ​탐지프로세스 관리 및 정책 최적화(DE.PH) 단계는 평상 시 주기적인 수행 또는 오탐 발생 시 수행하게 되며 탐지정책을 검증하거나 변경 또는 최적화를 수행한다. 

 

해당 표준 탐지 프로세스를 살펴보면 SIEM을 활용한 보안관제 프로세스와 인공지능 보안관제 프로세스가

다른 점이 없고, 보안관제 프로세스는 보안관제 시스템을 어떠한 것을 활용 하느냐와 상관 없이 일정한 프로세스를 유지하고 있는 것으로 보인다. 그렇다면, 인공지능 보안관제시스템을 도입 했을 때의 보안관제 프로세스는 어떠한 부분에서 차이가 나는 것일까? 이 부분을 좀 더 자세히 알아보자.

2) 인공지능 보안관제 프로세스

 

이글루시큐리티 보안관제방법론에서 제시하는 상세한 인공지능 보안관제 프로세스는 [그림 6] 상세 탐지  프로세스를 통해 표현 되어 있다. 

보안이벤트 수집(DE.EC) 단계에서는 SIEM을 활용한 빅데이터기반 보안관제 프로세스와 크게 다른 부분은 없다. 그러나 인공지능 보안관제의 효율적 활용을 위해서는 위협인텔리전스(Cyber Threat Intelligence)를 통한 다양한 정보의 연동을 권장한다. 또한 인공지능 보안관제시스템에서는 학습데이터를 수집하고 위협 모델링을 적용한다. 이 부분은 SIEM 구축 시 표준 경보설정을 하는 것과 마찬가지로, 인공지능 보안관제시스템 구축 시 사전에 수행해야 하는 부분이다. 

 

  

 

[그림 6] 상세 탐지 프로세스 [5]

 

실제 관제 업무에 해당하는 탐지 및 분석(DE.DA) 단계에서 기본적인 보안관제의 시작은 경보에서 시작 하게 된다. 이는 SIEM을 메인으로 모니터링 하는가, 인공지능 보안관제시스템을 메인으로 모니터링 하는가와 상관 없이, 관제의 시작 지점은 보안관제요원의 판단에 따른다. 다만 인공지능관제시스템을 메인으로 모니터링 할 경우 가급적 위협인사이트 화면을 중심으로 모니터링 하기를 권장한다. 위협인사이트에서 표시 되는 ‘위험도’의 등급을 기준으로 분석 우선순위를 정하면 관제 효율성이 증가할 것으로 판단 된다.

 

  

 

[그림 7] 위협 인사이트 화면

 

경보가 발생한 후 기초정보 분석의 단계에서 인공지능 보안관제시스템이 있다면 분석할 내용이 풍부해진다. 

 

정· 오탐 탐지의 경우 ‘경보분석’ 화면을 통해 다음과 같은 내용을 분석할 수 있다. 

  · 경보분석(지도학습, Supervised Learning)을 통해 분석할 수 있는 내역 

    : 과거분석 이력, 자동 일괄 처리, Label에 따른 분석 등

 

  

 

[그림 8] 경보분석(지도학습) 화면

 

이상행위분석의 경우 ‘이상행위분석’ 화면을 통해 다음과 같은 내용을 분석할 수 있다.

  · 이상행위분석(비지도학습, Unsupervised Learning)을 통해 분석할 수 있는 내역

    : 특성(Feature)에 의한 비정상행위 탐지, 근거 분석, 위협인사이트 분석 등

 

[그림 9] 이상행위분석(비지도학습) 화면

 

기초정보 분석 후 정오탐판단 → 초동대응 → 상세분석 및 유효성 검증으로 이루어지는 탐지 및 분석(DE.DA) 과정 및 대응 및 조치(DE.RA) 과정은 기존 방식을 활용하되, 필요 시 인공지능 보안관제시스템의 내역을 추가적으로 활용 할 수 있다. 

 

SIEM과 인공지능 보안관제시스템을 활용한 탐지 및 분석의 예시는 [표 1]과 같다.

 

[표 1] SIEM과 인공지능 보안관제시스템을 활용한 탐지 및 분석 예시

 

만약 보안관제센터에 위협정보공유시스템(CTI)이 있다면 탐지 및 분석(DE.DA) 과정의 기초정보 분석 시 보다 명확한 정보를 제공 받아 분석에 활용할 수 있을 것이며, SOAR(Security Orchestration, Automation and Response) 제품이 있다면 탐지 및 분석(DE.DA)과 대응 및 조치(DE.RA) 과정을 좀 더 자동화(Automation) 시킬 수 있을 것이라 판단 된다.

 

탐지프로세스 관리 및 정책 최적화(DE.PH) 과정에서 보안시스템과 SIEM은 일반적인 정책 검증 및 최적화 과정을 수행하게 되지만, 인공지능 보안관제시스템은 다음과 같은 추가적인 과정을 통해 탐지정책 검증 및 정책 최적화를 수행하게 된다. 

 · ​탐지정책 검증 : 탐지성능측정(지도학습), 예측성능측정(비지도학습)

 · ​탐지정책 변경/최적화 : 피드백(지도학습), 필터(비지도학습) → 재학습

 

이러한 일련의 과정을 통해 인공지능 보안관제시스템이 도입되었을 때의 보안관제 프로세스를 간단히 살펴 보았다.

 

04. 결론

 

지금까지 인공지능 보안관제란 무엇이고, 이글루시큐리티 보안관제방법론에서 제시하는 인공지능 보안관제 프로세스는 어떠한지 알아보았다. 결론적으로 인공지능은 만능이 아니고 인공지능 보안관제시스템이 도입 되더라도 보안관제요원의 업무가 획기적으로 줄어들지는 않는다. 다만 앞서 말한 대로 인공지능 보안관제시스템은 보안관제요원과 함께 근무하는 ‘똑똑한 보안관제요원’임을 인지하고, 이에 맞춰 보안관제 사이트의 목표에 최적화 된 보안관제 프로세스를 수립한다면 [그림 10]에서 제시 된 바와 같이 명확한 보안관제 성과를 낼 수 있으리라 생각 된다. 

 

  

 

[그림 10] 인공지능 보안관제 성과를 위한 목표

 

05. 참고자료

 

[1] 이글루시큐리티의 보안관제방법론 – 관제기술에 관리를 더하다. (이글루시큐리티 월간보안동향 ,2018.9.)

[2] 인공지능 보안관제 프로세스 : 이글루시큐리티 보안관제방법론 표준문서 - IG.SOC-031 탐지매뉴얼 (2020.12.)

[3] 인공지능 보안관제 : 허와 실 (이글루시큐리티, 2020.9.) http://www.igloosec.co.kr/BLOG_인공지능 보안관제: 허와 실?searchItem=&searchWord=&bbsCateId=17&gotoPage=1

[4] 인공지능 보안관제시스템 구축 프로세스 : 이글루시큐리티 보안관제방법론 표준문서 – IG.SOC-015-06 머신러닝기반 보안관제시스템 구축 가이드

[5] 상세 탐지 프로세스 : 이글루시큐리티 보안관제방법론 표준문서 - IG.SOC-031-08 상세 탐지 프로세스