`빅데이터·행위기반 분석·머신러닝·위협 인텔리전스`
삼성이 제시한 사이버 보안 위협 대응 4대 키워드다. 한성원 삼성SDS 사이버보안사업팀 상무는 지능화한 사이버 공격은 기존 네트워크 방어에 머물렀던 대응책에 변화를 요구한다고 밝혔다. 삼성은 20년간 자체 보안관제를 수행하며 다양한 대응책을 마련했다. 한 상무는 삼성 보안정책 수립과 취약점 진단, 포렌식을 총괄한 전문가다.
한 상무는 최근 열린 `국제사이버범죄대응 심포지엄`에서 신규 보안 위협에 따른 기업 고민과 대응방향을 제시했다. 기업을 노린 사이버 공격은 매년 증가했다. PwC 조사에 따르면 2011년 2270만건이었던 기업 사이버 공격은 2015년 5900만건으로 증가했다. 연간 사고 증가율이 27%에 달한다. 재무적 피해도 2013년 평균 200만달러에서 2015년 250만달러로 늘었다.
기업 사이버보안 위협은 85%가 외부 공격이다. 악성코드와 피싱, 지능형지속위협(APT), 서비스거부 공격 순이다. 최근 이메일을 이용한 표적 공격이 증가세다. 직원이 자주 가는 외부 웹사이트에서 감염되는 악성코드도 늘었다.
한 상무는 이런 위협을 대응할 보안 빅데이터 융합 플랫폼을 강조했다. 한 상무는 “급증하는 사이버공격에 효과적으로 대응하려면 보안 로그는 물론이고 침해 사고정보, 이메일과 소셜 활동, 뉴스 등을 모아 시큐리티 빅데이터 통합 플랫폼을 만들어야 한다”고 말했다. 보안정보이벤트관리(SIEM)기업이 내놓은 빅데이터 분석 플랫폼은 자사 제품 로그 분석에 그친다. 한 상무는 “서버, 네트워크, 보안장비, 엔드포인트에서 발생하는 대규모 로그를 클라우드에 저장하고 확장성을 가져야 한다”고 설명했다.
백신에 의존하던 엔드포인트 대응은 행위분석으로 대체한다. 한 상무는 “보안 솔루션은 특정 영역만 보호해 이를 우회하면 탐지하지 못한다”며 “사용자가 아무 입력도 안 했는데 데이터를 보내는 상황 등을 행위를 인식해야 한다”고 말했다. 이상 패턴을 만들고 시나리오로 구성하는데 시간이 걸리는 작업이다.
머신러닝 기반 보안 위협 분석도 필요하다. 그는 “사이버 보안은 가장 많은 데이터를 다루는 영역”이라며 “머신러닝은 기존에 사람이 하던 일을 대체하는 개념이 아니다”라고 설명했다. 그는 “사람이기 때문에 못 보던 영역을 인공지능이 자동으로 대응할 수 있다”고 덧붙였다.
위협 인텔리전스 정보 공유 생태계 마련도 촉구했다. 한 상무는 “동종 업계에 사이버공격이 발생한 정보를 신속히 공유 받으면 동일한 피해를 방지한다”며 “기업이 사고를 공개했을 때 파장 때문에 공유가 되지 않는다”고 지적했다.
그는 “대기업은 향후 시큐리티 빅데이터 통합 플랫폼으로 위협을 예측하고 행위분석과 머신러닝으로 방어하며 보안 전문가가 탐지하는 구조로 대응체계를 만들어야 한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com