[아이티데일리] 2016년 알파고(AlphaGo)와 이세돌 9단의 바둑 경기 이후, 인공지능 기술은 전 세계적인 트렌드가 됐으며, 이미 많은 분야에 AI 기술이 적용돼 활용되고 있다. 보안 분야 역시 예외는 아니다. 사이버 위협 탐지부터 업무 자동화 등 다양한 부분에 AI 기술이 적용되고 있다.

특히 고도화, 지능화되는 사이버 위협에 대응하기 위해 보안 업계는 AI 기술을 적극적으로 활용하고 있다. 기존의 시그니처 기반 탐지 시스템, 행위 기반 분석 시스템들을 회피하는 사이버 위협이 증가하면서, 이에 대응하기 위해 AI 기술을 적용하고 있는 것이다. 보안 분야의 AI 기술 활용 트렌드를 살펴봤다.

AI 기반 솔루션 도입 시 ‘데이터’가 가장 중요

보안 기업들은 AI 기반 보안 관제 솔루션 도입의 장점으로 데이터를 기반으로 이상행위 및 악성코드를 탐지하기 때문에 미탐을 최소화할 수 있다는 것을 꼽는다.

포티넷 관계자는 “트리거 조건 설정을 통한 룰 기반 탐지 방식과는 다르게 평상시 행위 및 사전학습된 데이터를 활용해 이상행위, 악성코드 여부를 탐지하므로, 룰 기반 탐지로 인한 미탐 제약사항들을 해소할 수 있다. 또한 대규모 이벤트의 홍수 속에서 사람이 놓칠 수 있는 이벤트들을 기계적으로 찾아내 미탐 발생을 줄인다. 전문보안분석가 수준으로 기계적 파워를 통해 일부 영역에서는 사람보다도 정확한 탐지 및 대응 능력을 보이는 경우도 있다”고 설명했다.

SGA솔루션즈 관계자 역시 “AI 기술을 적용함으로써 방대한 데이터를 기반으로 신·변종 악성코드에 대한 비교, 분석이 가능하며, 나아가서는 행동 패턴을 기반으로 해 알려지지 않은 또는 잠재적인 위협들을 탐지할 수 있는 기술적 바탕이 조성되고 있다”고 말했다.

이글루시큐리티 인공지능팀 관계자는 “AI 보안관제 도입을 통해 얻을 수 있는 장점은 크게 두 가지다. 먼저, 정상/비정상 이벤트에 대한 지도학습을 통해 매일 기하급수적으로 생성되는 이벤트를 위험한, 덜 위험한, 위험하지 않은 순으로 선별함으로써, 공격에 대한 대응 속도를 높일 수 있다. 보안관제 요원들은 일일이 보안 이벤트를 분석하는 어려움을 해소하고, 고위험군 경보에 대한 대응 속도를 높일 수 있다”고 설명했다.

이어 “이상 행위·공격자 특성 등에 대한 비지도 학습을 통해 AI 알고리즘이 정상 범위를 벗어나는 행위를 분류하게 함으로써, 알려지지 않은 보안 위협에 대한 단서를 얻을 수 있다. 보안관제 요원들은 수많은 이벤트 속에 숨겨져 있는 이상 행위를 심층 분석함으로써, 보안 공백을 최소화할 수 있게 된다”고 덧붙였다.

하지만 AI 기술이 만능은 아니다. AI 기반 보안 관제 솔루션을 이용하기 위해서는 충분한 준비가 필요하다. AI 기반 솔루션에 투입할 데이터와 이를 기반으로 학습 방향을 정하는 레이블링 작업 등 고려해야 할 사항이 많다.

포티넷 관계자는 “AI 기술 특성상, 사전학습데이터 및 고객망 최적화가 되지 않은 상태라면 그레이(Grey) 영역의 결과 값이 나오는 경우가 있다. 탐지된 결과에 대해서 정·오탐 분류를 할 때 사람에 비해 직관력이 떨어지는 경우가 있어, 운영적으로 안정화해주는 작업이 별도로 필요하다. 또 제품의 완성도가 낮을 경우 운영 불가능한 수준의 과탐 이슈가 발생할 수 있다”고 설명했다.

이글루시큐리티 인공지능팀 관계자 역시 “AI 보안관제 도입에 앞서 사용자의 충분한 준비가 요구된다는 점을 강조하고 싶다. 솔루션 도입만으로 기존의 모든 어려움을 해결할 수 있는 것은 아니다. 솔루션에 투입할 데이터를 추출, 분석, 가공하는 전처리 작업, 학습 방향을 정하는 레이블링 작업, 데이터에 부합하는 머신러닝 알고리즘을 선택하는 작업 등의 여러 과정이 함께 이뤄져야 한다”고 말했다.

이어 “보안 영역에서 AI의 진가는 오랜 기간 공격의 연결고리를 끊어온 보안 전문가와 빅데이터·데이터 마이닝·데이터 시각화, UI/UX 등 다양한 분야의 전문가들의 유기적 협업이 이뤄질 때 발휘될 수 있다. 이에 AI 보안관제 솔루션을 검토하고 있는 기업들은 ▲알고리즘의 정확성이 보장되는지 ▲다년간의 보안 경험에 기반해 양질의 피처와 학습 데이터를 개발할 수 있는 데이터 사이언티스트가 있는지 ▲기업 사이트에 최적화된 피처 및 모델 생성, 검증이 잘 이뤄질 수 있는지를 검토해야 한다”고 조언했다.

황용석 안랩 인공지능팀장은 “AI 기반 솔루션을 도입할 때는 데이터 확보가 가장 중요하다. AI 모델을 학습시킬 수 있는 데이터가 확보돼야, 도입 효과를 극대화할 수 있다. 특히 구축 시 데이터 확보부터 레이블링 작업 등 머신러닝을 위한 사전 준비 작업도 필요하다”면서, “AI 기반 보안 솔루션을 선택할 때, 데이터 확보 및 머신러닝 사전 작업을 지원하는 역량이 하나의 기준이 될 것으로 보인다. 안랩은 보유한 데이터 및 노하우를 반영해, AI 기반 보안 솔루션을 빠르게 구축할 수 있도록 지원하고 있다”고 설명했다.

포티넷은 학습 데이터 및 환경에 따라 효과가 달라지는 AI 제품의 특성 상, 단순히 남들이 도입하는 제품을 따라가는 경우 쉽게 실패로 이어질 수 있다며, 성공적인 제품 선정을 위해서는 ▲트렌드를 쫓지 않을 것 ▲AI 솔루션 도입으로 얻는 명확한 기대효과 및 목표 설정 ▲현재 어려움을 겪고 있는 부분 파악 ▲목적에 따라 AI 기술 및 제품 후보를 파악하고 세부적인 기능 요건 검토 ▲목적에 적합한 양질의 데이터 활용이 가능한 제품인지 검토 ▲제조사가 고품질의 학습데이터 확보 및 제공 할 수 있는 역량을 갖추고 있는지 확인 등의 기준을 참고해 조직에 환경에 맞는 평가 기준을 세워야 한다고 조언한다.

AI 기술은 필수 요소로 자리잡을 것

보안 업계에서는 향후 AI 기술이 보안 분야의 필수 요소가 될 것으로 전망하고 있다. 특히 최근에는 실질적 활용 가능한 AI 적용 방안을 솔루션으로 제공하기 위한 투자가 활발해지고 있다.

포티넷 측은 “AI 보안 시장의 성숙도 측면에서 살펴보면, 다양한 벤더들이 많은 개발 투자를 통해 제품 개발 시도를 해왔으며, 이제 제품화 및 판매가 이루어지면서 성과가 발생하기 시작했다. 시장에서도 사용 고객이 점차 확보되고 있는 성장기에 있다고 판단하고 있다. 최종 사용자인 구매 고객의 니즈가 반영되고, 운영 가능한 AI 기술이 적용된 솔루션이 활성화 상태에 접어들었으며, 성숙기/표준화 시기까지 발빠르게 달려갈 것으로 전망한다”고 말했다.

SGA솔루션즈 관계자는 “최근 보안 위협은 점차 고도화·지능화됨에 따라, 기존의 정보보호 솔루션 및 전통적인 대응 서비스만으로는 대응하기가 어려워지는 상황이다. 이에 따라 보안 업계는 그동안의 노하우를 바탕으로 AI 보안 플랫폼을 도입하는 것을 적극적으로 제시하고 있다”고 말했다. 이어 “급증하고 있는 데이터와 이를 활용하려는 수요로 인해 기계화 및 자동화된 분석, 그리고 그에 따른 빠른 결과물이 절실히 요구되고 있는 상황”이라고 덧붙였다.

황용석 안랩 인공지능팀장 또한 “이제 보안 기업 중에 AI를 활용하지 않는 기업은 없다. AI 기술은 보안 역량을 높이는데, 필수 요소로 자리잡았다. 안랩은 보안 관련 업무를 모두 자동화하는 것을 목표로, AI 기술 개발에 매진하고 있다. 사이버 위협에 대해 탐지 및 대응까지 모두 자동으로 이뤄지고, 사용자는 최종 보고서만 확인하면 되는 환경을 목표로 하고 있다”고 설명했다.

이러한 상황 속에서 보안 기업들은 AI 기술을 고도화하기 위한 전략을 구상하고 있다. 이글루시큐리티는 AI 알고리즘이 왜 이러한 결과를 내놓았는지를 보안 전문가가 이해할 수 있는 형태로 알려주는 ‘설명 가능한 AI(XAI, eXplainable AI)’ 기술에 초점을 맞추고 있다. AI 알고리즘이 왜 이 이벤트를 고위험 이벤트라고 판단했는지 보안 전문가들이 AI 예측 결과의 도출 과정을 이해할 수 있게 알려주는 형태로, AI 알고리즘의 신뢰성을 높인다는 것이다.

또한 이글루시큐리티는 머신러닝에 대한 지식과 경험이 많지 않은 조직도 머신러닝의 혜택을 누릴 수 있도록, 고급 분석 모델을 손쉽게 설계·배포·관리하고 시각화된 형태로 확인할 수 있게 지원하는 ‘데이터 사이언스 플랫폼’과 학습 데이터 생성을 지원하는 ‘데이터 라벨링 서비스’ 개발에 힘을 싣고 있다.

이글루시큐리티 관계자는 “머신러닝을 활용하고 싶으나 어떻게 활용해야 할지 모르는 오늘날 기업들의 어려움을 해소하는 데 도움이 될 것으로 전망하고 있다. 더 나아가 학습 데이터를 보다 빠르고 정확하게 검증할 수 있는 AutoML 기능, 최적의 알고리즘 자동 추천 등의 기능을 추가적으로 적용해 탐지 모델 개발의 효율성을 높일 계획”이라고 설명했다.

더불어 이글루시큐리티는 그동안의 AI 개발 경험과 지식을 토대로 보안이 아닌 비보안 분야에 적용 가능한 AI 기술 확보에도 힘을 실을 계획이라고 밝혔다. 인간의 개입을 최소화하고 보다 빠르고 정확한 의사 결정을 내릴 수 있게 지원하는 데 중점을 둘 방침이며, 이를 위해 보안 이벤트, 로그 분석은 물론 다양한 산업의 데이터와 업무 프로세스에 대한 분석 및 기술 개발을 진행하고 있다는 설명이다.

SGA솔루션즈는 악성코드와 일반 파일에 대한 지속적인 학습으로 AI 모델을 발전시켜나갈 계획이다. SGA솔루션즈 관계자는 “현재 상태에서 주어진 데이터에 잘 정제된 학습모델이라고 하더라도, 완전하게 새로운 데이터에 대해서는 시간이 갈수록 점차 예측 능력이 떨어지게 된다. 이러한 상황에 대비해 지속적으로 새로운 악성코드와 일반 파일에 대한 학습이 지속적으로 이뤄져야 한다”고 설명했다.

이어 “적용돼 있는 학습 알고리즘 또한 최적의 결과가 도출될 수 있도록 튜닝하는 것이 필요하다. SGA솔루션즈는 새로운 알고리즘으로 대체하는 방안도 지속적으로 테스트를 통해서 검증하고 있다. 또한 과탐과 오탐을 방지하기 위한 튜닝 작업은 물론, 사용자의 개입을 최소화할 수 있는 방안도 함께 검토하고 개선해 나가고 있다”고 덧붙였다.