티쓰리큐㈜(대표 박병훈)는 '침해 사고 종합 분석 플랫폼 SW 개발' 사업을 완료하고 AI가 SOC( Security Operation Centre)를 고도화하는 솔루션을 구축했다고 밝혔다.
최근 SOC 내에 지나치게 많은 개별 보안장비가 구축돼있으며 이에 대한 의존도와 복잡성이 증가하고 있다. 따라서 SOC의 수준 높은 대응을 위한 인력 운영에도 많은 어려움이 있는 게 현실이다. 더욱 지능화고 장기간의 지속적인 공격에 대한 대응과 신규 위협에 대한 피해를 억제하는 데에도 물리적으로 시간과 인력 면에서 그 한계가 있다.
이러한 보안체계를 한 단계 더 도약시켜 효과적인 SOC 운영을 제공하기 위해선 보안 인력 운영 효율화 및 전문화를 꾀해야 한다. 그뿐만 아니라 AI 분석 기반의 보안 업무를 상호 유기적으로 연결하고 지능화된 보안 위협에 대해 지속적, 적극적으로 대응하며 신규 위협에 대한 사전 예측을 통한 선제적 대응이 필요하다.
SOC에서 수집하는 보안 데이터를 위한 빅데이터 시스템과 분석 시스템, 보안 데이터 전문의 전처리 시스템과 외부의 보안 위협 정보를 수집하는 시스템을 구축해 AI 기반의 SOC를 구축 사전 준비가 필요하다. 이 과정에서 기존 SOC 요원들의 많은 노력과 작업이 필요하게 되며 많은 인내력을 감내해야 한다.
AI 기반의 보안 분석 플랫폼을 활용하면 보안장비의 정오탐율을 획기적으로 개선해 보안 인력의 보안 분석 업무를 덜어줄 수 있다. 정상적인 접속 내에서의 이상 공격 패턴를 탐지해 알려지지 않은 공격을 찾아낼 수 있게 된다. 또한 기존 패턴 DB에 적재돼있는 패턴을 학습하는 과정에서 기존 패턴 DB에 없는 유형을 찾아내어 그 결과를 제공하게 된다.
이때 각각의 보안 데이터와 보안 솔루션에 대한 적합한 알고리즘을 찾아내고 학습해 서비스하는 과정이 반복되게 된다. 이러한 작업을 보다 수월하게 하고 탐지 정확도가 높은 작업을 하려면 사일로성으로 일일히 알고리즘을 적용시켜보는 것보다는 범용적이고 수평적인 AI 플랫폼을 활용해야 훨씬 높은 ROI가 나온다.
최근 트래픽 기반 예측, 데이터 기반 예측을 수행하는 AI 보안 솔루션들이 각각 됐으나 전체적인 보안 관점에서 보면 두 가지 방식의 AI 보안 분석을 모두 수용 및 병행 활용하는 것이 바람직하다고 판단된다.
SOC에 있어서 AI 활용에 대한 오해가 있다면, AI 기반 보안 솔루션을 도입하면 즉각 전혀 알려지지 않은 공격을 탐지하여 바로 적용하며 정상적인 접속에서도 AI 기반 보안 솔루션이 알아서 공격을 탐지해 줄 것으로 기대한다는 것이다. 하지만 이러한 기대를 충족하기 위해서는 아직 AI 기술이 많은 시간과 노력을 수반할 수밖에 없다.
관계자는 "그럼에도 불구하고 노력이 결코 헛되지 않음을 경험할 수도 있다는 것을 알았으면 한다"라며 "AI가 알아서 해커를 찾진 못해도 내가 해야 할 일을 1/100, 1/1000, 1/0000로 줄여줄 수는 있다"고 설명했다.
전자신문인터넷 유은정 기자 (judy6956@etnews.com)