“1초마다 15만 개의 사건이 전송되는 상황에서 AI가 아니면 해결할 수 없다” 

[디지털투데이 석대건 기자] 채영우 SK 인포섹 소프트웨어개발센터장은 미래 보안 관제에 있어서 AI는 필수임을 강조했다. 

SK인포섹은 향후 ‘인공지능을 활용한 보안관제 서비스(MSS) 고도화’ 전략을 12일 공개했다. 

보안 관제는 보안 정보를 취합하여 공격 여부를 탐지 및 판정하고 조치를 취하는 일련의 과정을 말한다. 

채영우 센터장은 “SK 인포섹의 보안관제 시스템인 시큐디움(Secudium)에는 국내외 2,000여 곳, 8,000대 이상의 시스템에서 탐지한 이상징후가 모여든다”며, “수집된 사건 데이터를 분석 규칙을 통해 공격 여부를 판별한다”고 말했다.

채영우 SK인포섹 소프트웨어개발센터장(사진=SK인포섹)
채영우 SK인포섹 소프트웨어개발센터장(사진=SK인포섹)

디도스(DDos) 공격 등 기존 사이버 공격의 경우에는 데이터센터 수준에서 방화벽만 구축하면 됐지만, 새로운 공격 패턴은 ATP, 메일, 웹 기반으로 사용자에게 직접적으로 피해를 끼치기 때문에 데이터도 기하급수적으로 증가한다. 

시큐디움에서 수집·분석하는 이상징후와 보안로그는 하루에 10억 건이 넘는다. 

또 텍스트 문서, PDF, 이미지, 동영상 파일 등 비정형화된 데이터 형태라서 공격 여부를 판별하기도 쉽지 않다.

게다가 수집된 엄청난 데이터 중에서 실제 공격은 많지 않다는 점이 판별을 어렵게 하는 이유다. 공격 판별을 하지 못하면 조치를 할 수 없다.

AI을 활용하는 4가지 고도화  보안관제 모델

AI를 통한 보안 관제 고도화 작업은 수집된 데이터를 판별하는 과정에서 활용된다. 채영우 센터장은 AI가 활용되는 네 가지의 식별 모델을 소개했다.

먼저 ‘미탐 식별 모델’이다. 아직 탐지되지 않는 위협의 식별하는 이 모델은 정상상태를 포함한 모든 데이터를 머신러닝을 통해 식별한다. 

어떠한 사건 데이터가 공격인지 아닌지 예측하고, 머신러닝을 통해 진짜 공격 여부를 판별하는 것이다. 

(사진=SK인포섹)
(사진=SK인포섹)

SK인포섹에 따르면, 이 ‘미탐 식별 모델’은 2017년 1~12월 사이 네트워크 기업 K사와 S사의 750만 건의 데이터를 분석한 결과 공격 여부 판별에 대한 보충 정보로서 효과를 확인했다고 설명했다. 

K사와 S사 사례에서 볼 수 있듯, 사건 데이터가 ‘Normal’로 예측됐으나, 실제 ‘Attack’으로 드러난 경우는 0건이었다. 

'미탐 식별' 과정의 머신러닝 학습모델은 LSTM-RNN 모델이, 탐지 모델에는 Clustering 모델이 사용됐다.

“충분히 보안관제에 적용 가능할 만큼 AI 모델 오차율 줄여"

식별된 데이터의 공격 유효 여부를 확인하는 ‘판정 검증 모델’도 있다.

‘판정 검증 모델’은 '출력-입력’의 오차값은 이용하여 노드 가중치를 최적화를 학습한 딥러닝을 통해 구현된다. 

SK인포섹은 S사의 NTA 로그 308,042개 중 정상 로그 51,979개, 공격 로그 52,075개 데이터를 ‘판정 검증 모델’로 분석한 결과 93.1%의 분석 유효성을 확인했다.

채영우 센터장은 "93.1%로는 고도화됐다고 볼 수 없다"며, "2019년까지 검증 유효성을 97% 이상으로 높일 계획”이라고 밝혔다.

‘정오탐 분류 모델’은 기존의 전문가가 사건 데이터를 분석하고 판단하는 방법을 AI가 학습하여 자동 판정하는 모델이다. 

AI는 반복(Iteration)을 통해 탐지 모델을 정립하고, 위협으로 판정된 데이터와 정상으로 판정된 데이터를 분류한다. 

채영우 센터장은 “6개월간의 머신러닝 학습을 통해 정오탐 분류 모델은 0.0074% F/N이라는 결과를 얻었다”며, “충분히 보안관제 서비스에 적용할 수 있다고 판단했다”고 말했다.

이상탐지모델의 시큐디움 적용 모식도 (사진=SK인포섹)
이상탐지모델의 시큐디움 적용 모식도 (사진=SK인포섹)

마지막으로 ‘이상 탐지 모델’이 있다. ‘이상 탐지 모델’은 팩킷(Packet), 플로우(Flow), 시스템 로그 등 학습 대상으로 삼아 데이터 애널리틱스 룰(Rule) 모델을 학습한 후, 공격 데이터의 유입-수평이동-유출에 이르는 전 영역의 이상징후를 실시간·주기적으로 식별하는 모델이다. 

채영우 센터장은 “머신러닝 적용 이전에는 탐지 결과를 재차 분석하고, 대응까지 하는 과정에서 과도하게 리소스가 사용됐다”며, “머신러닝을 적용시킨 후에는 70%의 소요를 줄였다”고 말했다. 

도지헌 SK인포섹 전략사업부문장은 “2019년 중순이면 개발센터 설립과 함께 AI 고도화가 마무리될 것”이라며, “글로벌 경쟁력을 갖추기 위해 인공지능을 활용해 위협 분석 효율을 높이고, (보안) 관제 범위를 확대하는 데 집중하겠다”고 밝혔다.
 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사