한국 IBM은 29일 오전, 서울 영등포구에 위치한 서울국제금융센터에서 ‘한국IBM 보안 사업부 미디어 브리핑 세션’을 개최했다.

본 행사에는 윤영훈 한국 IBM 보안 사업부 솔루션 부문 총괄 상무가 “AI, 왜 사이버 보안에서 필수요소가 되고 있는가”를 주제로 발표를 진행하고 IBM 큐레이더와 관련한 신규 업데이트 내용을 소개했다.

▲ ‘한국IBM 보안 사업부 미디어 브리핑 세션’이 개최됐다.

▲ 윤영훈 한국 IBM 보안 사업부 솔루션 부문 총괄 상무

먼저, 윤영훈 상무는 보안 관제의 현실에 대해 “포네몬 연구기관(Ponemon Institute)과 IBM이 공동으로 진행한 연구조사(2018 Cost of a Data Breach Study)에 따르면 회사가 보안침해가 발생했다는 것을 알게 되는 데에 걸리는 시간(MTTI)이 191일(2017년)에서 197일(2018년)로 늘었고, 보안침해를 해결하는 데에 걸리는 시간(MTTC)이 66일(2017년)에서 69일(2018년)로 늘었다”며, 이는 “기존에 데이터센터 내에 있던 IT 및 보안에 대한 업무들이 클라우드 및 모바일 환경으로 점점 확대되면서 보안 관제에서 처리해야 할 범위가 늘어나면서 업무량이 지속해서 증가하고 있기 때문”이라고 설명했다.

그렇기 때문에 보안분석에 AI가 필요하고 계속해서 접목되고 있는데, AI가 보안분석에 사용되는 부분에 대해 그는 “지능 및 역량에 대한 부분을 강화하고 솔루션을 분석하는 측면에서 효과성, 정확성에 대한 부분을 AI가 지원해주는 형태로 보안분석가(사람)와 AI(기술) 과의 접목을 통해 보안 대응에 대한 효과성을 높이고자 하는 것이 AI를 사이버 보안에 적용하는 구체적인 목표가 될 것”이라고 밝혔다.

또한, 그는 “보안에 대한 인식이 바뀌고 있다. 완벽한 예방도 중요하지만, 보안이 뚫렸을 때 어떻게 빨리 인지를 하고 조치를 취하는지가 중요해졌다”며, “기존에는 보안침해를 예방하는 측면에 투자가 많이 이뤄졌다면, 내년 이후에는 예방이 안 되고 침해를 당했을 때 어떠한 대응 체계로 나서야 하느냐에 대한 투자가 활성화될 것”이라고 전했다.

그는 IBM의 AI 기반 대표적인 보안제품으로 ‘큐레이더 어드바이저 위드 왓슨 (QRadar Advisor with Watson)’을 선보였다. 본 제품을 통해 보안 분석가는 빠른 분석과 더 정확한 분석결과를 기반으로 위협 분석 업무를 50% 이상 가속할 수 있는 등의 생산성 향상과, AI 분석을 통해서 파악된 사이버공격 관련 정보, 침해근거 내용을 바탕으로 오탐/정탐의 빠른 판단과 중요한 위협의 신속한 처리를 진행하는 등의 정확도 향상의 효과를 볼 수 있다고 밝혔다. 또한, 정형 보안 데이터 외에 비정형 보안 데이터의 학습된 인사이트를 활용해 더 정확하고 폭넓은 지식을 기반으로 해서 보안전문가의 분석에 대한 효율성을 높일 수 있다고 덧붙였다.

그는 ‘큐레이더 어드바이저 위드 왓슨’의 고객사례로 소게티 룩셈부르크(Sogeti Luxembourg)를 소개했다. 소게티는 분석 업무를 약 50% 정도 가속하는 데에 성공했다고 밝혔다. AI 기반의 분석 없이 이벤트를 분석했을 때 2~3시간이 걸렸다면 현재는 2~3분이면 솔루션을 찾을 수 있다고 설명했다.

▲ IT 및 보안 업무들이 클라우드 및 모바일 환경으로 확대되면서 업무량 또한 증가하고 있어 사이버 공격에 빠른 조치가 어려워지고 있다.

▲ 보안분석가들은 ‘큐레이더 어드바이저 위드 왓슨’을 통해 보다 신속하고 효과적으로 위협에 대응할 수 있다.

다음으로, 윤영훈 상무는 ‘큐레이더 어드바이저 위드 왓슨’에 추가된 신규 기능에 대해 설명했다. 먼저, 새롭게 추가된 기능을 통해, ‘큐레이더 어드바이저 위드 왓슨’ 솔루션은 새로운 종류의 사이버 공격 패턴을 식별하고, 고객 환경에 맞춤화된 분석 및 학습이 가능하게 됐다고 밝혔다. 이와 더불어, ‘큐레이더 어드바이저 위드 왓슨’이 활용하는 다양한 사이버보안 전문가들의 실제 사례 및 지식을 바탕으로 개발된 사이버범죄 행동 관련 오픈소스 지침서인 ‘마이터 어택(MITRE ATT&CK)’을 통해, 보안분석가들은 사이버 공격의 진화 과정에 대해 이해하고 추후 전개 상황을 예측할 수 있게 됐다고 설명했다.

‘큐레이더 어드바이저 위드 왓슨’에 새롭게 추가된 2가지 기능은 다음과 같다:

 위협 처분 모델: 큐레이더 어드바이저는 조직 내에서 과거에 발생한 유사 이벤트에 대한 조치와 결과를 기반으로 새로운 알고리즘을 적용하여 특정한 유형의 위협에 대한 모델을 구축한다. 새로운 조사가 시작될 경우 이 모델을 적용하여 오탐 가능성을 방지하거나 보안분석가가 특정한 위협을 멀웨어나 데이터 유출 혹은 기타 유형의 위협으로 보고할 것인지 여부를 판단할 수 있도록 지원한다. 이 기능은 사용 횟수가 늘어날수록 보안분석가와의 상호작용에 기반한 학습과 적응을 통해 인텔리전트 능력이 향상된다.

 조사간(Cross-Investigation) 분석: 다수의 보안분석가들이 기업의 보안관제센터(SOC) 내에서 상호간에 관련성을 갖는 상이한 공격들을 나누어 담당하거나, 장기적이며 단일한 공격으로 인해 수 개월 간격을 두고 경보를 탐지하는 경우가 발생할 수 있다. 큐레이더 어드바이저는 조사간 분석 기능을 기반으로 인지적 추론을 통해 상이한 조사들 간의 공통점을 발견할 수 있다. 아울러, 서로 연관된 조사들을 자동으로 분류하여 업무가 중복되는 상황을 방지하고 조사에 필요한 정보를 제공한다.

▲ ‘큐레이더 어드바이저 위드 왓슨’ 솔루션은 ‘마이터 어택’을 활용해, 외부의 공격과 내부의 위협이 고객의 인프라 내에서 어떻게 진행되고 있는지에 관한 분석까지도 제공할 수 있다.

Copyright ⓒ Acrofan All Right Reserved.