보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

자동화된 보안관제, 어디까지 왔나

2021.08.04

7,682


        ■ 인공지능의 시대   지난 2016년 이세돌 9단과의 대국에서 승리해 세간을 떠들썩하게 했던 알파고를 필두로, 인공지능에 대한 관심은 사회 전반적으로 빠르게 커져나갔다. 그리고 그로부터 5년이라는 시간이 흐른 지금, 인공지능이 없는 세상은 상상하기도, 인공지능이 없는 세상으로 돌아가기도 어려워졌다. 오늘날 인공지능은 우리의 생활 깊숙이 자리 잡고 있다. 냉장고, 청소기, 에어컨 등 각종 생활가전에서도 인공지능이 탑재된 제품들을 쉽게 찾아볼 수 있으며 더 나아가 업종을 불문하고 많은 산업 분야에서 편리성 증진, 생산성 향상 등의 여러 이유로 해당 기술 접목에 박차를 가하고 있다.   그렇다면 보안업계는 어떠할까? 보안 분야에서의 인공지능 활용 가능성은 여타 산업 분야와 마찬가지로 무궁무진할 수 있지만 수많은 보안 데이터를 수집, 저장, 분석 및 표현하는 보안관제는 인공지능 기술을 잘 활용할 수 있는 분야로 주목 받아왔다. 한 사례로 이글루시큐리티의 인공지능 보안관제 솔루션 SPiDER TM AI Edition은 지도학습으로 우선 처리해야 할 고위험군 이벤트를 빠르게 선별하고 비지도 학습으로 알려지지 않은 이상 행위에 대한 식별을 가능하게 함으로써, 방대한 보안 데이터 분석에 소요되는 시간을 단축시키고 고도화된 보안 위협에 대한 대응력을 한 단계 높여 견고한 보안 체계를 유지할 수 있도록 도움을 주고 있다.  

  

[그림 1] 이글루시큐리티 인공지능 보안관제 솔루션 적용 기술

    ■ 인공지능과 보안   사실 당초 보안업계가 기대한 것은 이세돌과의 대국에서 승리한 알파고와 같이 탐지된 이벤트에 대해 알아서 자동 대응까지 해주는 인공지능이었다. 이에 초창기 인공지능 기술이 접목된 보안 솔루션들이 하나 둘 막 출시되기 시작했을 땐, 높은 기대에 미치지 못한 수준으로 시장의 반응은 다소 냉랭하였다.   그럼에도 불구하고 인공지능 보안관제는 기존 유지하던 구시대적 관제 방식에서 벗어나, 한 단계 발전된 보안관제 패러다임을 제시해주었다. 초반 미적지근했던 업계의 반응도 기존 보안관제에 비해 향상된 업무 처리 효율성과 분석 정확도, 그리고 놓치고 있던 공격 행위에 대한 탐지 등의 성과로 지금은 긍정적인 평가로 바뀌어가고 있는 추세다.     

구분

기존 보안관제

인공지능 보안관제

탐지

시그니처 기반 이벤트 탐지

복합 위험도 산정에 의한 중요도 별 이벤트 탐지

분석

보안 장비 검색 및 로그 추적 분석

위험도 산정 분석, 자산취약점 분석, 데이터 모델링을 이용한 탐지

보안관제

영역

보안장비의 연계관계를 통한 공격과 공격간의 상관분석

인공지능의 산정, 위험도, TI, 자산취약점 정보의 인과관계를 통한 상관분석

위험

학습주체

관제 요원이 분석하여 학습

(각 개인의 역량에 따라 다름)

머신 러닝을 통한 지속적 학습 및 모델링

(시간이 지날수록 정확도 향상)

[표 1] 기존 보안관제와 인공지능 보안관제 비교

    그렇다면 전반적인 업계의 반응이 아닌, 인공지능이 적용된 보안 솔루션을 활용하여 직접 관제를 수행하는 실무 입장에서의 ‘인공지능 보안관제’는 어떠할까? 우선 앞서 이야기한 것과 같이 인공지능 보안관제를 통해 우선적으로 처리해야 하는 고위험군 이벤트에 대한 선별로 보다 빠른 대응이 가능해진 것은 사실이지만, 인공지능 알고리즘에 의해 이상 행위로 예측되는 이벤트들에 대해서는 업무량이 크게 증가하였다. 어떤 면에서는 업무 처리 효율성을 높여주기도 하였지만 또 반대로 어떤 면에서는 신규 분석 대상이 늘어난 셈인 것이다.   게다가 아직 인공지능의 판단이 100% 완벽하지는 않기 때문에 이상 행위에 대한 과다 탐지 이벤트들이 보안 담당자들에게 실망감을 안겨주는 경우도 발생하고 있다. 아주 극단적인 예를 들어 웹페이지 서비스를 이용하는 사용자가 홈페이지 반응이 느리다고 하여 새로고침을 연속적으로 눌렀을 때, 네트워크 보안 장비나 SIEM에서는 충분히 의심할만한 행위일 수 있지만 비슷한 행위의 모든 데이터들이 전부 공격이라고 단정지을 수는 없다. 이에 신뢰할 수 있는 결과 도출로 인한 진정한 분석 시간 최소화, 그리고 의사결정까지 스스로 수행하는 인공지능 등을 목표로, 보안관제 분야에서의 인공지능은 현재 발전 단계에 있으며 부지런히 앞을 향해 나아가고 있는 상황이라 할 수 있겠다.     ■ 보안관제의 자동화 – (1) RPA   그렇다면 많은 보안 담당자들이 원하고 바라는 보안관제 자동화의 현 주소를 짚어보도록 하자. 일반적인 보안관제 프로세스는 모니터링, 탐지, 초동 분석, 상세 분석, 대응, 추가 분석, 보고의 형태를 띈다. 이 긴 과정에서도 볼 수 있듯이 하나의 공격을 분석하는 위해서는 적지 않은 시간이 소요되며 관제 요원 1명이 하루에 처리할 수 있는 양에는 한계가 존재한다. 또 이렇듯 하나의 공격을 처리하는데 거치는 단계들이 많아 관제 요원들이 추가적인 업무를 수행하기에도 무리가 있다.   

  

[그림 2] 보안관제 프로세스

    따라서 공격이 확실하여 사후 분석이 필요 없는 공격 이벤트들은 따로 분류해 로보틱 프로세스 자동화(RPA) 기술을 통한 공격지 차단 자동화를 한다면, 보안관제 업무의 효율성을 크게 향상시킬 수 있다. RPA(Robotic Process Automation)란 기존 사람이 직접 처리해 온 표준화된 반복적인 업무를 자동화하는 시스템이다. 이를 적용해 공격지 차단을 자동화한다면, 관제 요원들은 새로운 공격 행위에 대한 이벤트 분석 등 보다 중요한 정보에 집중할 수 있게 된다. 또 사람이 일일이 수동으로 처리하면서 발생되는 실수를 줄일 수 있고, 광범위하게 설정되어진 보안 장비의 탐지 규칙이나 SIEM의 임계치 설정을 타이트하게 재정비하여 오탐, 과탐 이벤트 최소화와 미탐지 위협 행위에 대한 감소 등 관제 업무 전반에 대한 효율을 증가시키고 신속한 대응이 가능해진다.   아래의 표는 모 기업의 보안관제센터에서 실제 RPA와 SIEM을 접목하여 관제 업무에 적용시킨 후의 결과이다. 한 달간의 차단 데이터를 측정해본 결과 RPA의 차단 건수는 관제 요원이 직접 차단한 건수보다 월등히 많았고, 그와 동시에 관제 요원들의 불필요한 업무 부담을 줄이는 효과도 있었다.   

  

 

[표 2] RPA 활용 공격자 차단 횟수

    더 나아가 관제 요원의 업무 부담이 줄어든 만큼 단순 반복적인 업무에 할당됐던 인적 자원을 고위험군 이벤트 분석에 배치할 수 있게 됨으로써 공격지 차단의 수준은 상향되었고, 분석 업무 인력 추가로 보안관제 효율성 증가까지 기대할 수 있게 되었다.     ■ 보안관제의 자동화 – (2) SOAR  

  

[그림 3] 보안관제 패러다임의 세대별 변화 

    디지털 전환이 가속화됨에 따라 보안관제 패러다임도 빠르게 변화하고 있다. 그리고 오늘날 보안관제는 제로 트러스트(Zero trust)를 기반으로 한다. 기존의 보안관제가 외부의 적을 차단하는데 집중했던 것과는 달리, 제로 트러스트는 내외부를 떠나 아무도 믿지 않고 모든 접근을 잠재적 보안 위협이라는 전제 아래 모든 행위를 모니터링하고 검증하는데 중점을 둔다. 이에 단순 소모적인 업무 절감, 위협 수준에 맞는 명확한 이벤트 대응 등 제로 트러스트 시대에 보안관제 효율성 제고 및 복잡성 해소의 필요성이 더욱 높아졌고, SOAR(Security Orchestration, Automation and Response, 보안 오케스트레이션·자동화 및 대응) 기반의 자동화된 대응이 이를 위한 대안으로 떠올랐다.   물론 앞서 언급한 RPA도 보안관제 자동화를 어느 정도 실현할 수 있다는 점에서 좋은 대안이었으나 이는 일정 영역에만 한정됐던 반면 SOAR는 그 영역을 보다 넓혔다는 데 차이가 있다. 솔루션, 업무 절차, 위협 정보 등 공격 유형별 대응을 위한 수많은 요소들을 하나의 과정으로 묶은 플레이북에 기반해 단순 반복적인 프로세스를 표준화된 절차에 따라 자동 처리함으로써 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시킬 수 있다.   분석, 검증, 차단 등 동일한 절차에 따라 보안관제 업무를 수행한다 가정했을 때 사람에 의한 대응은 약 10분에서 60분 사이의 시간이 소요될 것이라 예상되는 반면 SOAR 플레이북에 의한 자동화된 대응은 5분 이내로 처리가 가능할 것이라 추정되고 있다. 또 이뿐만 아니라 긴 시간 대응, 불규칙한 대응 품질, 업무 프로세스 가시성 부족, 다수의 인력이 단순 반복 업무에 투입 등 기존 보안관제의 문제점으로 꼽혔던 대부분을 개선할 수 있을 것으로 예상된다. 이와 같은 배경에서 SOAR 기반 보안관제가 차세대 보안관제라고 불리는 것은 어쩌면 지극히 자연스러운 일인 것일지도 모르겠다.   

  

[그림 4] SOAR 도입 효과 

    지금까지 보안관제 자동화의 현 주소에 대해 살펴보는 시간을 가져보았다. 인공지능의 화려했던 등장만큼 스스로 모든 외부의 공격을 막아내고 내부의 위협을 탐지, 차단해줄 것으로, 마치 영화 속의 완전한 인공지능을 기대했던 사람들에겐 오늘날 인공지능이 다소 실망스럽게 느껴질 수도 있다. 그러나 인공지능은 계속해서 발전해나갈 것이며 SOAR를 통한 보안관제 자동화에도 인공지능이 큰 역할을 하게 될 것으로 기대된다. 아직 풀어야 할 숙제는 많다. 그러나 지금까지 경험하지 못했던 디지털 대전환기를 맞이하고 있는 만큼 성공적인 보안관제 자동화 실현을 위해 모두가 힘을 모아 현명하게 대응해나갔으면 하는 바람이다.​