정보기술의 발전과 함께 영화 속에서나 보던 AI 기술이 현실에 적용되고, 수많은 사람이 매체를 통해 이 같은 소식을 접하고 있습니다. 영리를 추구하는 기업은 AI 기술을 적극적으로 도입해 상품기획·마케팅, 제조·생산 등의 영역에 적용하고 있죠. 또한 새로운 마케팅 대상을 창출하고 생산성 향상의 성과를 이뤄내고 있습니다. 이러한 결과를 바탕으로 기업에서는 AI 기술의 적용범위를 확대하며, 모든 조직에 AI 기술을 통한 혁신을 기대하고 있는데요. 기업 내 많은 조직 중에서도 특히 정보보안 조직이 AI 기술을 활용해 정보보안 모니터링을 고도화하고 있습니다. 여기에 필요한 준비사항과 달성 목표, 그리고 발전 방향에 관해 알아보겠습니다.
완벽한 보안은 없다! 점점 더 중요해지는 정보보안 모니터링
국내 대기업과 많은 스타트업 기업들이 핵심기술과 고객 정보를 활용해 시장에서 경쟁 우위를 차지하려고 노력하는데요. 기업의 정보보안 조직은 정보 유출과 외부 침해 사고로 인한 생산중단 사고를 예방하고자 다단계 방어 및 보안 모니터링 체계를 운영하고 있습니다.
정보보안의 완벽한 방어가 불가능하다는 것은 이미 널리 알려진 사실인데요. 그래서 자연스럽게 정보보안 조직의 관심은 보안 모니터링 영역으로 집중되고 있습니다. 정보기술 발전과 함께 공격기법과 악성코드가 매일 새롭게 생겨나기 때문에 보안 솔루션 기업들은 AI 기술을 빠르게 자체 솔루션에 적용하고 있습니다. 이제는 대다수의 보안 솔루션이 AI 보안 솔루션임을 홍보하고 있죠.
이런 변화 속에서 문득 의문이 생기는데요. ‘AI 기술이 적용된 보안 솔루션을 도입하면, 자연스럽게 AI 기반 보안 모니터링이 되는 것일까?’라는 의문이 생길 수 있습니다. 이에 대한 대답은 ‘부분 적용’이라 말할 수 있는데요. 그 이유를 AI 기반 보안 모니터링 구축 및 운영단계에서 필요한 사항을 통해 살펴보겠습니다.
개별 보안 솔루션에 AI 기능을 적용한 보안 모니터링을 통해 외부 침해사고와 정보 유출을 탐지하는 경우를 생각해봅시다. (그림1) 보안 모니터링으로 수집된 알람 및 경보는 ▲Network Traffic에 대한 분석결과 ▲허용되지 않은 접근에 대한 분석 결과 ▲악성코드 탐지·분석결과 등이 될 것입니다. 그리고 보안 담당자는 개별 알람에 대한 상관도 분석, 시계열 분석을 통해 침해사고와 정보 유출 사고를 탐지합니다. 또는 운영중인 탐지 시나리오를 기반으로 개별 알람에 대한 임계치를 설정하고, 이를 통해 사고를 탐지하죠.
이러한 방식은 단순 룰 기반 보안 모니터링의 한계성을 극복하기 어려운데요. 그래서 과탐(과잉탐지)과 미탐(미탐지)이 다수 존재하게 됩니다. 그리고 개별 솔루션의 AI 분석 결과를 완벽히 이해하지 못할 경우 이를 통해 만들어진 보안 운영 시나리오에 따른 탐지 결과를 설명하기 어렵습니다. 탐지 결과를 신뢰하는 경우에도 해당 인원에 대한 소명처리를 위한 증적자료 수집에 많은 시간이 걸리게 되죠. 증적자료에 대한 타당성 검증과 보안 모니터링에 많은 시간과 인적 자원이 필요하게 되는 겁니다.
AI 기반 보안 모니터링의 목표는 시간과 인적자원 최소화
위와 같은 환경을 고려할 때, AI 기술이 적용된 보안 모니터링의 궁극적인 목표는 보안 모니터링에 드는 시간과 인적 자원을 최소화하는 것입니다.
보안 모니터링 목표를 달성하기 위해 필요한 데이터 수집, 데이터 저장·분석, 소명 처리의 세 단계별 세부 요소와 고려해야 할 사항에 관해 알아보겠습니다. (그림2)
먼저 침해사고 및 정보 유출 탐지를 위해 필요한 데이터를 수집하는 단계입니다. 만일 데이터 수집 단계에서 보안 모니터링 담당자의 참여가 없으면, 다음 단계인 데이터 저장 단계에서 많은 자원 낭비가 발생하게 됩니다. 즉, 불필요한 데이터를 모두 수집하면서 저장 장치의 자원이 과다 사용되며, 데이터 전처리와 정규화 과정에서도 많은 인적 자원 낭비가 발생하는 것입니다.
AI 개발자들이 요구하는 가장 중요한 요소는 바로 모델링에 필요한 데이터를 빠르고, 정확하게 제공하는 것인데요. 그래서 데이터 수집 단계에서의 전처리·정규화 과정이 매우 중요합니다. 그렇다면 소프트웨어 개발자에게 있어 가장 기본적인 요인이며, 보안 모니터링 관점에서 필요한 데이터 수집을 이루는 요소에 관해 알아보겠습니다.
데이터 수집은 4가지 요소로 이뤄져 있습니다. 첫째, Network Packet Data는 Network Session 단위로 분석을 위한 요약 정보를 제공할 수 있는 기술들이 구현되어 있어 이를 활용해 빠른 분석 결과를 얻을 수 있습니다. 둘째, Security Solution Log Data는 불필요 데이터를 분류하고 필요한 데이터만을 수집해 자원의 낭비를 줄일 수 있습니다. 세 번째와 네 번째인 IT System과 End Point Log Data는 다양한 비정상 행위를 분석할 수 있는 좋은 데이터를 제공하는데요. 그래서 향후 보안 모니터링에 없어서는 안 될 데이터로 정의될 것으로 예상됩니다. 특히 End Point는 Files, Process, Asset 정보 등을 통합 수집해 개인별, 직군별, 조직별 데이터 비교분석에 유용한 정보를 제공하는데요. 이렇게 수집된 데이터는 효과적인 저장 방식을 통해 고속 데이터 처리 및 분석환경을 제공합니다.
다음으로 보안 모니터링의 두 번째 단계인 데이터 저장·분석 단계를 알아보겠습니다. 데이터 저장은 그 활용도와 처리속도 향상을 위해 데이터 레이크(Data Warehouse/Data Mart)를 구성하는데요. 탐지하고자 하는 목적에 따라 상세한 DM(Data Mart)이 생성됩니다. AI 모델 개발자들은 새로운 모델에 적합한 데이터 세트를 빠르게 제공받기 원하는데요. DM와 DW의 구성 및 데이터 세트의 유연한 연계 구성이 개발 시간을 단축시킬 수 있습니다. 이를 통해 신규 모델 적용에 대한 결과를 신속히 얻을 수 있죠.
개발자에 의해 개발된 모델은 반드시 검증 단계를 통해 효과성과 객관성을 확보해야 합니다. 필요에 따라 모든 결과값에 대해 일일이 확인하는 과정을 거치기도 하는데요. 이러한 검증을 통해 개선 방향을 수립할 수 있어, 최적화 단계를 진행할 수 있게 됩니다. AI 모델을 통해 Scoring 된 결과 내에서, 유효한 결과를 얻을 수 있는 값을 어느 수준으로 정할 것인가에 대한 문제를 결과값 검증을 통해서 결정해야 합니다. 그리고 수준 이하의 결과값에 대해서는 주기적 재검토 단계를 통해 모델 성능 최적화를 진행해야 합니다.
다년간 구축 경험을 통해 최적화된 결과를 위한 LG CNS만의 차별화된 접근 방법
LG CNS가 지금까지 진행한 AI 기반 보안 모니터링 프로젝트를 통해서 알게 된 중요한 결과 중 하나는 단일 AI 모델을 통한 결과값이 여전히 많은 과탐을 포함하고 있다는 것입니다. 이런 결과는 특히 정보 유출 탐지 영역에서 두드러지게 나타나는데요. 가장 큰 이유는 정보유출을 예측하고 탐지해야 하는 데이터가 방대하며, 이 데이터 중에서 상관도가 있는 데이터를 결정하기가 어렵기 때문입니다. 또한 시계열 상에서 어느 정도의 기간을 고려할 것인가 하는 문제도 있기에 만들어진 AI 모델이 최적화되기까지 일정 시간이 필요하기 때문입니다.
위와 같은 접근법이 최적화된 결과를 얻기까지 일정 시간을 필요로 함에 따라 LG CNS는 User Profiling 이란 보편타당한 사용자별 모델을 활용하고 있습니다. 이를 통해 1차 필터링을 수행하고 탐지된 대상자에 대한 1차, 2차, 3차 AI 모델을 적용해 단기간에 일정 수준의 결과를 얻을 수 있도록 접근하고 있습니다.
LG CNS는 이와 같은 접근법으로 정보 유출 의심자에 대한 결과도출 절차를 도식화해 나타내는데요. (그림3) 물론 단일 AI 모델을 통한 탐지 방법도 병행해서 적용하고 있으며, 정보 유출 시나리오에 따라 차별화된 접근법을 적용하고 있습니다. 또한 단순 룰 기반의 한계성을 극복하고 상세 분석 및 소명처리 대상자 후보를 최소화함으로써 보안 모니터링 담당자의 업무 효율성을 높이는데요. 1차, 2차, 3차 모델의 증적을 수집하여 소명처리 단계의 증적자료로 사용합니다.
마지막 소명처리 단계에서 중요한 증적자료 수집은 IT System과 End Point 상에 존재하는 Files 및 Process 수행근거, Network를 통해 전송되는 원본 데이터 등을 수집해 소명처리 대상자와 함께 제공하는 것입니다. 보안 모니터링 담당자는 해당 인원에 대한 소명처리 요청 전 단계에서 수집된 증적을 확인하는데요. 소명처리 대상자의 예외처리 요청 및 승인 완료 사항, 특정 연구과제에 대한 예외처리 사항 등을 확인해 소명처리 단계를 진행합니다.
이 소명처리 단계의 업무절차는 정형화할 수 있으며, 검토해야 할 내부 사항들을 정의할 수 있어 업무 자동화를 통해 생산성을 높일 수 있는데요. 예외처리 요청·승인에 의한 한시적 예외자, 상위 리더 및 본인에 의한 소명처리 완료자, 과거 보안 규정 위반자이며 예외처리자 등 다양한 분류 형태가 존재하기 때문에 꾸준히 관리 대상자를 식별하고 관리할 수 있는 체계가 필요합니다.
LG CNS는 수집·분석 데이터 범위 확대, 보안 담당자의 데이터 분석 시간을 최소화하기 위한 접근방법 및 AI 모델을 적용, 이상 행위자에 대한 소명처리 단계까지 모두 자동화로 구현합니다. 또한 AI 모델 생성에 있어서도 다양한 개발 언어를 통해 구현된 모델을 API(Application Programming Interface) 형태로 전환하여 구축되는 플랫폼에 손쉽게 적용할 수 있도록 제공합니다.
LG CNS는 외부 침해사고 탐지 모니터링에서도 정보 유출 모니터링과 유사한 접근법을 사용하여 AI 모델을 적용하는데요. Threat Hunting과 같은 전문가의 관제 서비스도 함께 적용하고 있습니다. 하지만 외부 침해사고 탐지 및 정보 유출 탐지에 있어 오직 AI 모델만이 필수 요소는 아닙니다. 전통적인 룰 기반 탐지 기법과 전문가에 의한 관제 서비스 등이 수반되어야 하죠.
정보보안 전문가들은 향후 공격자 측면에서도 AI 기술이 활용될 것으로 예측하고 있는데요. 이미 우리가 모르는 공격 기법에 활용되고 있을 가능성도 있습니다. 초기에 개발된 AI 모델에 전적으로 의존해 보안 모니터링 업무를 운영하는 것에는 어려움이 따릅니다. 그러므로 전문적 지식과 역량을 보유한 보안 전문가와 원하는 결과를 도출할 수 있도록 설계, 개발할 수 있는 AI 모델 전문가들의 협업이 필요하죠. 이런 협업을 통한 지속적인 피드백을 모델에 반영하고 최적화를 통해 완성된 모델을 운영할 수 있습니다. 이를 통해 AI 기술 고도화로 탐지된 알람에 대해서 자율적인 의사결정을 전달해 업무 효율성을 높일 수 있는 시스템으로 발전할 것으로 예상됩니다.
글 | LG CNS 사이버시큐리티팀
