SK인포섹, AI로 보안관제 고도화…"신종·변종 위협에 정밀대응"

채영우 SK인포섹 소프트웨어개발센터장

보안 위협이 점차 고도화되어감에 따라 보안업계에서도 인공지능을 활용한 보안 제품과 서비스가 늘고 있다.

국내외 보안기업 대부분이 네트워크나 시스템에서 일어나는 공격행위에 더 빠르게 대처하기 위해 보안관제에 기계학습(머신러닝)을 도입하는 추세다. 보안관제란 기업의 각종 보안시스템에서 탐지한 이상 징후를 한 곳으로 수집해 공격 여부를 가려내고 조치하는 것을 말한다.

SK인포섹은 12일 서울 종로 마이크임팩트 빌딩에서 ‘인공지능을 활용한 보안관제서비스(MSS) 고도화’ 로드맵을 발표했다.

◆더 많아지고 다양해진 보안 위협

보안업계는 최근 지능형 공격이 증가하고 시스템에서 수집되는 데이터가 늘면서 위협을 정확하게 탐지하는 데 어려움을 겪고 있다. SK인포섹 보안관제센터에서 하루에 수집·분석하는 이상징후와 보안 기록만 해도 초당 15만 건, 하루에 최소 10억 건 이상이다. 게다가 이런 보안 위협은 형식이 정해져있지 않은 비정형 데이터라 더 이상 기존의 방식으로 규칙을 만들어 탐지하기도 어렵다.

SK인포섹은 보안관제에 머신러닝을 활용해 지능형 위협의 분석 효율을 높이고 분석 결과를 보강하는 데 사용하고 있다. 인공지능을 ▲네트워크에서 일어나는 비정상적 혹은 악성 행위의 탐지 및 차단 ▲제로데이 등 신규 악성코드 분석 ▲소프트웨어 취약점 분석 등에서 주로 사용한다고 밝혔다.

◆위협여부 자동 판정

SK인포섹이 개발한 머신러닝 분석 알고리즘은 탐지된 위협 요소를 자동으로 판정할 수 있도록 돕는다. 이는 알려지지 않은 지능형 공격을 탐지하는 것보다도 탐지된 결과가 정말로 위협이 맞는지를 자동으로 판정할 수 있도록 하는데 무게를 둔 것이다.

인공지능이 실제 보안관제에 적용되기 위해서는 효과성은 물론 탐지 결과에 대한 설명과 검증을 할 수 있어야 한다. 하지만 탐지단계에는 아직까지 왜 인공지능이 그런 선택을 했는지 이유를 파악하기는 어려운 실정이다.

채영우 SK인포섹 소프트웨어개발센터장은 "기계학습을 적용하기 이전에는 탐지 결과를 다시 분석하고 대응하기까지 인력 등 자원이 과도하게 사용됐다"며 "적용 이후에는 재차 분석하는 경우가 70%나 줄어들었다"고 말했다.

채 센터장은 이어 "SK인포섹은 기계학습으로 줄어든 자원을 위협 가능성이 높은 부분 분석에 집중시켜 전체적으로 서비스 품질을 개선하는 효과를 얻었다"고 설명했다.

SK인포섹은 탐지단계에서의 기계학습 연구도 할 계획이다. 인포섹 측은 서울대학교와 산학협력을 통해 축적한 기술과 자동 판정 단계의 기계학습을 활용한다면 충분히 만들어 낼 수 있을 거라고 내다보고 있다.

◆인공지능 고도화 관제시스템 내년 구축 완료

SK인포섹은 인공지능 보안관제를 중장기적인 관점에서 확대해 나갈 계획이다. 특히 보안관제를 구성하는 보안 전문 인력과 프로세스, 기술 세 가지 요소를 고도화한다는 방침이다.

보안전문가들은 인공지능이 대체하는 위협 분석 이외에 인공지능이 학습할 데이터셋을 구축하는 고난도 업무에 집중시킨다는 계획이다.

도지헌 SK인포섹 전략사업본부장은 "국내외 기업의 보안관제에 인공지능을 적용하는 고도화 과제를 연초부터 진행하고 있다"며 "내년에는 고도화 관제 시스템 구축이 완료될 것"이라고 밝혔다.

[머니투데이방송 MTN = 고장석 기자 (broken@mtn.co.kr)]