서비스

시스코, 인공지능 기반 보안관제 진출

최민지

[디지털데일리 최민지기자] 시스코가 인공지능(AI) 기반의 보안관제 서비스를 공개했다. 구체적인 위협 증거를 제시하고 보안 전문가들의 심층 분석을 통해 빠른 대응을 가능케 한다는 점에서 기존 관제서비스와 차별화를 두고 있다.

김용호 보안솔루션 컨설턴트(부장)는 25일 서울 삼성동 코엑스 인터콘티넨탈 호텔에서 개최된 ‘시스코 시큐리티 서밋 2017’을 통해 시스코의 AI 기반 보안관제 서비스를 선보였다.

김 부장은 “사이버공격 규모는 커지면서 방법도 다양해지고 있고, 보안인프라는 점점 복잡해지고 있다”며 “기존에 운영하는 시스템과 현재 발생한 복잡성 사이에 간극은 급격하게 벌어지고 있다”고 운을 띄웠다.

이어 “보안분야에서 효과성을 갖추기 위해 데이터 사이언스로 넘어가고 있는 추세”라며 “머신러닝을 통해 데이터에 대한 학습 기술을 적용하고, 딥러닝으로 의미 있고 대응 가능한 데이터를 선별할 수 있게 됐다”고 덧붙였다.

이와 관련해 시스코가 공개한 보안관제서비스 ‘MDR(Managed Detection and Response)’는 AI 기술이 접목돼 효율적으로 위협 이벤트를 사건화시키고 구체적인 증거를 잡아 대응방법을 제시한다.

MSS(Managed Security Serveces)로 불리는 기존 관제서비스는 서비스 사업자가 관리하는 인터넷 경계장비의 모니터링에 초점을 둔 대응을 했다.

새벽 3시에 이상징후가 나타났다고 가정했을 때, 관제 요원이 위협을 탐지한다 해도 문제가 생긴 서버를 사용하는 실제 부서 직원들은 출근하지 않은 상태다. 확실한 데이터를 당장 확인할 수 없기 때문에 추측을 통해 대응방안을 내놓을 수밖에 없다는 지적이다.

반면, MDR은 인터넷 경계·내부네트워크 및 주요 시스템 등 전반적인 IT 인프라에 대한 1차적인 모니터링과 분석 자동화를 실시한다. 전문가에 의한 심층 조사 및 대응도 이뤄진다. 분석가가 탐지한 이벤트가 위협으로 확인되면, 인베스티게이트를 통해 확실한 대응방안을 제시한다.

김 부장은 “서버에서 오고 간 데이터 증적을 통해 보안 위협, 또는 악성코드 감염 여부 등과 관련한 확실한 판단을 내리고 차단해야 한다는 등의 대응을 가이드한다”며 “자동으로 분석한 것을 넘어 1·2차 전문가에 의한 확인을 통해 침해사건에 대응한다는 점에서 기존 관제서비스와 차별화된다”고 말했다.

이러한 서비스는 ATA(Active Threat Analytics) 아키텍처를 통해 구현된다. ATA는 실시간 예측 분석 기능을 적용해 보안공격을 탐지하고 지능형 악성코드로부터 기업 네트워크를 보호한다. 보안사고 조사, 포렌식 및 악성코드 분석에 정통한 시스코 보안 전문가들이 모니터링하고 전세계 보안 네트워크를 통해 사고 대응 분석, 에스컬레이션 및 피해 복원에 대한 조언을 제공한다.

ATA 아키텍처는 DCAP(Data Collection and Analysis Platform) 머신러닝 기반 빅데이터 분석 플랫폼이다. DCAP는 오픈소스 기반 개방형 플랫폼이다. ATA DCAP 분석 엔진에서는 확정적 룰기반, 통계적 룰기반 분석 및 데이터 과학 중심 분석이 이뤄진다. 알려진 위협과 비정상적 행위 등에 대해 자동으로 분석하게 된다.

또, ATA SOC 요원은 인적분석을 수행하게 된다. 애널리스트는 이벤트 모니터링 및 사건 발생 때 1차 특정화를 진행하고, 로그와 패킷의 상관분석을 통해 오탐을 경감시킨다. 비정상 행위 및 알려지지 않은 위협도 탐지한다.

이후 인베스티게이터는 감염단말과 피해상황을 특정하고 원인, 침입경로, 정보 유출 유무, 추천대응책을 검토 및 보고한다. 알려지지 않은 위협을 탐지하기 위한 헌팅용 스크립트를 작성하고 대응 후 방어력을 향상시키기 위한 탐지 룰을 조율한다. 데이터 사이언티스트는 통계 분석과 빅데이터 분석 룰을 수립하고 최적화시킨다.

이러한 단계를 통해 시스코는 ▲오탐 및 불필요한 이벤트 경감 ▲알려지지 않은 위협 탐지 ▲정확한 분석 결과 보고 ▲사건 대응 차단 범위 최소화 등의 효과를 거둘 수 있다고 설명했다.

ATA 프리미엄 서비스를 사용하는 실제 고객 사례의 경우, 2주간 26만9808건의 보안 이벤트가 발생했다. 자동분석과 인적분석을 통해 실제 사건을 특정화하고 대응해야 하는 71건의 데이터만 추려졌다. 효과적인 보안을 위한 효율적 관리가 가능하다는 설명이다.

김 부장은 “관제 대상의 이벤트들 관련 데이터들은 원격관제 센터로 보내야 하는데, 시스코는 고객 데이터를 관제센터로 보내지 않는다”며 “고객사 내에서 분석을 마칠 수 있게 하고, 센터에서는 고객 고유의 세그먼트를 만들어 자동 분석된 결과를 볼 수 있게 한다”고 말했다.

또 “이벤트 발생부터 대응까지 모든 과정이 투명하게 기록된다”며 “MDR은 관제 요원들과 조사관이 특정한 사건에 대해 확정적 증거를 갖고 대응할 수 있는 서비스며, AI라는 새로운 기술 트렌드가 탑재돼 있다”고 말을 보탰다.

아울러, 김 부장은 “자체 구축 대비 효율적으로 투자하고 단계적 내재화를 통해 효율적으로 관리할 수 있다”며 “각 보안 분야에 필요한 인프라를 구축하고 인력 및 조직을 만들려면 오랜 시간이 걸리는데, 시스코의 보안전문가 서비스 포트폴리오를 이용하면 효과적으로 활용 가능하다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널