급증하는 사이버 위협을 인공지능(AI)으로 막는 시대가 열렸다. 미국 샌프란시스코 모스콘센터에서 열린 세계 최대 보안 콘퍼런스 RSAC 2017 화두는 `위협 분석 자동화와 신속 대응`이다.
기업은 수십 개에 달하는 보안 솔루션을 설치하고 이들을 관리하는데 어려움을 겪는다. 보안 제품에서 나오는 엄청난 로그는 분석되지 않는다. 보안 경고가 너무 많아 정확성이 떨어진다. 보안전문가와 예산은 늘어나지 않는다. 사이버 위협은 IT 장애를 넘어 비즈니스 근간을 흔드는 리스크로 떠올랐다.
◇AI 공격 AI가 막는다
사이버 보안 업계는 AI를 활용한 위협 대응 방어에 첫발을 내디뎠다. 방대한 사이버 위협 정보를 수집하고 분석해 우선순위를 정하는 과정을 AI로 대체한다. 기업이나 조직, 기기에서 발생하는 비정상행위를 신속히 파악한다.
미국 정부는 사이버 방어와 사기 탐지에 인공지능 활용을 주도한다. 백악관이 지난해 12월 말 발간한 `인공지능과 자동화가 경제에 미치는 영향` 보고서에 따르면 보안을 자동화하면 저렴한 비용으로 광범위한 시스템과 애플리케이션을 보호한다고 설명했다.
AI는 끊임없이 진화하는 사이버 위협을 감지하고 신속 대응 태세를 유지한다. AI는 변화하는 방대한 데이터를 분석해 실제 위협으로 이어지는 사이버 공격을 예측한다. AI는 네트워크, 노드, 링크, 장비 아키텍처, 프로토콜 등에서 나오는 데이터를 해석하고 사전에 취약점을 식별한다.
AI와 머신러닝 시스템은 공격 대응에서 사이버 공간 복잡성을 극복하고 인간이 효과적 의사 결정을 내리도록 지원한다.
RSA 알고리즘 창시자 중 한 명인 에디 샤미르 보르만 이스라엘 와이즈먼대학 교수는 “AI는 비정상적 행동과 특이사항을 찾아내고 경고하는 대응 측면에서 효과를 발휘할 것”이라고 설명했다.
◇AI 방어 시대 개막
IBM은 AI 보안기술 `왓슨 포 사이버 시큐리티`를 발표했다. 왓슨은 지난해부터 100만건이 넘는 보안 문서를 학습해 사이버 범죄를 인식했다. 왓슨은 보안 분석가가 최신 솔루션을 이용해 접근할 수 없던 수천 건에 달하는 자연어 연구 보고서를 분석한다. 왓슨 포 사이버 시큐리티는 보안관제센터 운영 솔루션인 `IBM 큐레이더 왓슨 어드바이저`에 적용됐다.
왓슨 포 사이버 시큐리티는 보안 블로그, 웹 사이트, 조사 보고서 등 방대한 자료를 분석한다. IBM 큐레이더에서 인식한 보안사고 데이터와 연관해 위협 정확성을 높인다. 최대 몇 주까지 걸리던 보안 조사 기간을 단 몇 분으로 단축하는 등 위협을 신속하게 대응한다.
시만텍은 머신러닝을 엔드포인트와 사물인터넷(IoT) 보안에 적용했다. 시만텍은 비정상 행위를 탐지하는 IoT 보안 `시만텍 어노멀리 디텍션 포 오토모티브 솔루션`을 내놨다. 머신러닝을 기반으로 차량에 적용하는 보안 애널리틱스다. 차량에 영향을 주지 않고 모든 CAN(Controller Area Network) BUS로 모니터링해 운행 정상 상태를 자동으로 학습한다. 공격 가능성이 있는 이상행동이 발생하면 알린다.
마이크로소프트는 머신러닝과 AI 인텔리전스를 활용해 사용자와 기기의 의심스러운 동작을 분석하고 감지한다. 사이버범죄대응조직(DCU) 실시간 모니터링 위협 정보를 통합한다. 브레드 스미스 마이크로소프트 사장은 “AI가 매월 3000억 사용자 인증과 10억대 이상의 윈도 디바이스 업데이트, 2000억개 이메일과 스팸, 악성코드를 분석한다”면서 “마이크로소프트 보안 서비스로 관련 정보를 배포한다”고 말했다.
◇사이버 시큐리티 플랫폼 대결
글로벌 보안 기업은 각 분야별로 세분화한 제품보다 단순하게 관리하며 위협 대응력을 높인 사이버 시큐리티 플랫폼을 강조했다. 사이버 위협 대응을 완전히 자동화하는 AI가 완성되기 전까지 과도기 성격이다.
포티넷은 기존 보안 장비를 연결해 서로 정보를 공유하며 대응하는 `포티넷 보안 패브릭` 전략을 편다. 보안 패브릭은 클라우드, 사물인터넷(IoT), 원격 기기 등 분산 네트워크에서 각각 다뤄지던 보안을 네트워크 인프라 중심에서 통합 관리한다. 차세대 방화벽부터 샌드박스, 엔드포인트 클라이언트, 게이트웨이, 웹방화벽, 스팸, 웹필터 등 모든 포티넷 제품이 위협을 공유하고 자동 대응한다. 포티넷은 보안 패브릭 전략을 발표한 후 42개 파트너 제품이 연동을 시작했다.
지능형지속위협(APT) 시장을 이끌었던 파이어아이는 맨디언트, 아이사이트, 인보타스를 인수하며 보안플랫폼 기업으로 탈바꿈했다. APT 단일 솔루션을 넘어 보안 운영을 단순화, 통합, 자동화하는 `헬릭스`를 선보였다. 헬릭스는 인텔리전트 기반 플랫폼이다. 파이어아이 아이사이트 인텔리전스와 맨디언트 침해 사고 조사 노하우를 집대성해 네트워크부터 엔트포인트 보안을 한눈에 보게 돕는다. 타사 보안 제품까지 모두 관리한다.
샌프란시스코(미국)=
김인순 보안 전문기자 insoon@etnews.com
