과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면, 올해 상반기 침해사고 신고건수는 899건으로 전년 동기대비 35% 증가한 것으로 나타났습니다. 사물인터넷과 커넥티드 기기 사용의증가, 클라우드 도입과 하이브리드 근무를 비롯한 디지털 전환의 가속화로 ‘공격 표면(Attack Surface)’이 확대되면서 사이버 위협이증가하고 있기 때문입니다.
보안관제란 조직의 정보 시스템과 네트워크에서 발생하는 이벤트 및 시스템 로그를 모니터링하고 관리하는활동입니다. 다량으로 발생하는 사이버 위협 이벤트와 로그를 365일 24시간 모니터링해야 하는데요. 이러한 특성상 보안관제는 1) 모든 수집/로그 이벤트 분석에 대한 한계, 2) 침해위협 탐지/분석 일관성 유지의 어려움, 3) 고도화/지능화되는 사이버공격과 늘어나는 보안로그에 대해 모두 대응을 해야 하는 어려움이 존재합니다.
✅ 기존 보안관제의 어려움 3가지
① 모든 수집/로그 이벤트 분석에 대한 한계
② 침해위협 탐지/분석 일관성 유지의 어려움
③ 고도화/지능화되는사이버공격과 늘어나는 보안로그에 대한 대응
이러한 어려움을 보완하기 위해서 AI를 결합한다면 보안관제가 가지고 있는 많은 한계를 극복하는데 도움을 받을 수 있습니다.
“모든 이벤트를분석”하고 “새로운 공격에 대응”하기 위해서는 근본적으로 Un-known 위협을 탐지할 수 있어야하는데요. AI는 유사한 항목별로 구분하는 ‘군집화’ 기능이 뛰어나기 때문에 이를 알고리즘화 하여 Un-known 위협을탐지할 수 있습니다. 단계별로 살펴보면 초기에는 일정기간 데이터를 모아 학습 모델을 수행하고, 각 군집에 대해 위험성을 Labeling 합니다. 이후, Labeling을 통해 랜섬웨어 감염 같은 위협 로그를 분석하고, 이러한 학습 데이터를 통해 어느 군집에도 포함되지 않은 ‘Out-Liner’를지속적으로 축소합니다. 최종적으로 “Labeling된 위협”과 “Out-Liner(라벨링되지 않은 위협)”을 탐지/분석하면서 Un-known위협을 탐지할 수 있게 되는 것이죠.
✅ AI Un-known 위협탐지프로세스
① 군집화 알고리즘
· 일정한 데이터를 모아 초기 학습 모델 수행
· 분류된 각 군집에 대한 안전 및 위협성 라벨링 진행
② 패턴인식 알고리즘
· Labeling을 통해 위협이 될 수 있는 로그 분석
· 패턴별로 군집 형성 및 Out-Liner를 지속적으로축소
③ 분류 알고리즘
· Labeling된위협과 Out-Liner를 탐지/분석
· 지속적인 학습 및 모니터링으로 Un-known 위협 탐지
또한, AI기반 보안관제는 기존 보안관제의 한계였던 “침해위협 탐지/분석에 대한 일관성 유지” 의 어려움을 보완합니다. 위협 판단은 많은 경험이 필요하기 때문에신입관제사와 3~4년 이상의 경력을 가진 관제사의 판단은 서로 다를 수밖에 없고 이는 사건별로 다른정·오탐 결과를 낳는데요. AI기반 보안관제는 기존 정·오탐 판정 결과 Data를 학습해 일관된 판정을 유지할 수 있습니다. 이때, 과대적합* 또는 과소적합**이발생하지 않도록 다양한 Data가 필요하며, 동일한 비율의정·오탐 분포도를 갖고 중복되는 데이터는 없는 Training Data와 TEST Data를 준비해 학습하는 것이 중요합니다.
*과대적합: 지나치게 학습 데이터에 최적화되어, 새로운 데이터에 대한 판단을 하지 못하는 현상
**과소적합: 학습이 부족하여 데이터의 구조/패턴을 반영하지 못하는 현상
✅ AI 침해위협 탐지/분석 프로세스
① 정·오탐 Data 확보 및 학습
· AI 학습을 위한 정확한 정·오탐 판정결과 확보
· 과대적합*, 과소적합 * * 이 발생하지 않도록 다양한 Data 학습 진행
② Training Data와 TEST Data 준비
· 동일한 정·오탐분포도를 가진 Data 준비
· 중복되는 데이터가 없도록 선별해 학습
실제 보안관제는 탐지 이후 위협 분석, 긴급 대응, 결과 보고 등의 업무가 진행되는데요. 이때 생성형 AI가 많은 도움이 될 것으로 기대되고 있습니다. 생성형 AI는 분석 과정에서 다양한 조회를 수행할 수 있고, 대응 과정에서 SOAR(Security Orchestration, Automation and Response)과 연계해 실시간 위협에 대한 대응 조치를 수행하고 전략 수립 및 위협도를 평가할 수 있죠. 마지막으로 Chat을 통한 고객 소통 및 문의 대응과 결과 보고를 위한 보고서 작성 등을 수행할 수 있을 것으로 전망됩니다.
✅ 탐지부터 보고까지, 생성형 AI 보안관제
① 탐지
· 위험 이벤트 탐지
· 정·오탐 판정 및 예외 처리
· 상관관계 기반 위협 예측
② 분석
· 공격 상세 분석
· 영향도 평가
· 내부 확산 점검
③ 대응조치
· 위험도 평가
· 대응전략 수립
· 긴급 대응 조치
④ 보고
· 상황 전파
· 정기/비정기위협 분석 보고
· 고객사 문의 대응
국내 1위 정보보안 전문 기업 SK쉴더스는 기업의 비즈니스 환경을 자체 보유한 글로벌 수준의 보안관제센터 Secudium센터를 통해 24시간 365일 안전하게 보호합니다. 5,200여개 실시간 연동장비로 일일 약 40억 건의 이벤트를 처리하며, 보안위협과 침해사고 발생여부를 실시간으로 모니터링하고 대응합니다. 별도의전문인력이나 시스템 구축 등의 절차없이 합리적인 비용으로 쉽고 빠르게 랜섬웨어 감염과 같은 사이버 위협에 대응할 수 있습니다.
✅ 글로벌 수준의 SK쉴더스 ‘보안관제’ 서비스
① 대한민국 1위 보안관제 노하우
·공공, 금융, 통신, 교육 등 3,000여개 기업 대상 보안관제 수행
·보안관제 프레임워크와 검증된 자체 보안관제 방법론인 ISSM 보유
② 전문 보안관제 인력 및 역량
·업계 최다 보안관제 및 침해사고 대응전담 인력(Top-CERT) 보유
·프로젝트 관리 조직(VirtualPMO) 운영 및 최고 수준의 서비스와 전문 포렌식 도구로 침해사고 대응분석
③ 보안 솔루션 통합관리
·보안관제 기반 운영시스템과 장애 모니터링 및 관리 시스템 제공
[콘텐츠 내용출처]
- SK쉴더스, EQST 4월호
- 과학기술정보통신부·한국인터넷진흥원(KISA), ‘24년 상반기 민간 분야 주요 사이버 위협동향‘