자동화와 인공지능: 사이버 보안의 새로운 시대를 개척하다

자동화와 인공지능-사이버보안의 새로운 시대를 개척하다

디지털 기술이 발달하면서 업무방식 또한 변화하고 있습니다. 직원들은 다양한 모바일 기기를 사용해 회사 밖에서도 업무용 애플리케이션에 접속합니다. 이로 인해 데이터의 양이 늘어나고 기업 내 IT 부서들이 관리해야 할 데이터가 증가하고 있습니다. 또한 공조시스템 센서, 지능형 CCTV와 같은 최신 IoT 기기 도입으로 인해 네트워크 트래픽이 추가적으로 증가하고 있으며 지속적으로 이러한 최신 기술을 수용할 경우 IT 부서가 갖게 될 비즈니스 보안에 대한 부담은 더욱 커질 전망입니다.

서버실 전경

악성 공격과 데이터 유출의 위험이 있는 디지털 자산의 규모는 점점 늘어나고 복잡해지고 있습니다. 이처럼 공격에 노출된 접점이 많아졌지만, 여전히 보안전문가는 부족한 상황이기 때문에, 기업은 다양한 IT 시스템에서 발생하는 보안 위협에 실시간으로 대응하기 어렵습니다.

41% increase in number of devices connected to the Internet from 14.2 billion devices in 2014 to 20 billion in 2018. 160% increase in network traffic requiring security officer's analysis from 60 exabytes per month in 2014 to 156 exabytes per month in 2018. (Source: Cisco, 2018)

이러한 사이버 보안 문제를 해결하기 위해 보안전문업체들은 보안 컨설팅, 네트워크/엔드포인트 보안 솔루션, 보안 진단 및 취약점 관리, 침입 감지 등을 포함한 다양한 서비스를 제공하고 있습니다. 사이버 보안 문제에 대응하는 방법은 여러 가지가 있지만, 그 중 인공지능 기반의 보안관리서비스는 기업의 사이버 보안 계획 수립의 중요한 첫 단계라고 할 수 있습니다.

많은 보안전문업체는 사이버 위협을 더 잘 분석하기 위해 SOAR(Security Orchestration, Automation and Response, 보안 오케스트레이션, 자동화 및 대응) 솔루션과 인공지능을 도입하고 있습니다. 그러나 패턴 파악과 탐지 기능 개선만으로 인공지능을 도입했다고 할 수는 없습니다. 보안관제와 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리) 관점에서 SOAR와 인공지능을 잘 구현하기 위해서는 아래와 같은 조건을 갖추어야 합니다.

첫째, 보안전문가의 수작업 비중을 줄이고 더 선제적이고 생산적인 보안 대응에 전념할 수 있도록 자동화 수준을 강화해야 합니다.
둘째, 인공지능은 미가공 데이터에 숨겨진 위협을 탐지, 검증하고 정확도를 향상할 수 있어야 합니다.
셋째, 보안 위협이 단순한 것인지 실제 유출로 이어질 가능성이 있는지 시스템 자체적으로 판단할 수 있어야 합니다. 인공지능이 없다면, 보안전문가가 IDS(Intrusion Detection System, 침입탐지시스템)과 IPS(Intrusion Prevention System, 침입방지시스템)에서 탐지한 모든 잠재적 위협을 일일이 조사해야 합니다.

A 회사의 사례를 살펴보면, 웹사이트 접속으로 생성된 백만 건의 미가공 데이터 중 IDS를 통해 1,000건의 침입으로 예상되는 잠재적 위협을 탐지하고, 인공지능을 활용해 이 중 400건의 실제 위협을 분류했습니다. 이로 인해 보안전문가는 실제 위협을 처리하는 업무에 몰두할 수 있었으며 이는 곧 생산성 향상으로 이어졌습니다. 또한, 필터링을 거친 나머지 600건의 데이터에 인공지능 기반의 EVS(Event Verification System, 이벤트검증시스템)을 적용해 숨겨진 위협 10건을 추가로 발견할 수 있었습니다.

Raw Data 단계: 1백만 Web site connection, IDS Data 단계: Device detected 1,000 threats, AI Deployment 단계: AI classifies 400 cases, Analysis/Response 단계: Real threats 400 cases / Event verification 10 cases.

조직 내에 인공지능 역량이 없다면, 외부의 도움을 고려하는 것도 좋습니다. 최근에는 기업의 CISO(Chief Information Security Officers, 최고정보보호책임자)가 인공지능에 특화된 보안전문업체를 선택하는 사례가 늘고 있습니다. 이들 보안전문업체는 자체 보안 연구원, 컨설턴트, 관제 전문가를 보유하고 있으며, 지속적으로 보안 영역에 대해 연구합니다. 또한 위협 탐색, 프레임워크 분석, 악성코드 리버스 엔지니어링 등을 활용하여 해커의 새로운 전술과 최신 기술 및 절차(TTP)에 대응합니다. 이로써 기업은 보안의 일부분을 보안전문업체에 위임하고 다른 핵심 비즈니스 역량 개발에 집중할 수 있습니다. 다만, 보안전문업체를 채택할 때는 해당업체의 전반적인 보안관제센터 아키텍처, 감지 및 대응 프로세스, 모니터링 서비스에 인공지능과 자동화를 잘 활용하고 있는지 신중히 검토해야 합니다.

보안관제센터 모니터링 화면

하루가 다르게 발전하는 디지털 사회에서 IoT, 모바일 기기, 네트워크 트래픽의 규모는 끊임없이 증가하고 있습니다. 점점 더 복잡해지는 IT 환경에서 보안전문가는 이전보다 더 효과적이고 효율적인 방법으로 탐지, 분석, 대응을 수행할 수 있어야 합니다. 이를 위해서는 보안 자동화와 인공지능 기술이 반드시 필요합니다.

삼성SDS는 17년 넘게 삼성전자를 포함한 포브스 선정 2000대 기업을 대상으로 SOAR와 인공지능을 활용하여 보안 서비스를 제공해 왔습니다. 전 세계에 걸쳐 보안관제센터, 데이터센터, 네트워크 거점을 보유하고 있으며, 빅데이터 플랫폼을 통해 매일 40TB 이상의 보안 데이터를 처리하고 있습니다. 또한 삼성SDS의 인공지능 기반 보안관리플랫폼은 하루에 170억 건의 미가공 데이터를 수집해 660만 개의 보안 로그와 3,000개의 의심 파일을 분석하고, 42만 대의 컴퓨터와 3,000개의 웹사이트를 보안 위협으로부터 관리합니다.

"이 글은 Forbes의 Samsung SDS BrandVoice에 게재한 아티클을 역번역하여 작성하였습니다."

# References
[1] https://www.forbes.com/sites/samsungsds/2020/01/06/automation-and-ai-the-new-frontier-in-cybersecurity/#441af0026a5d



▶  해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶  해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


공유하기
전혜수
전혜수 보안 전문가

삼성SDS 전략마케팅팀

Digital Evangelist

관련 솔루션