이에 시스코는 인공지능(AI) 기반으로 보안시스템 효율화를 꾀하고 보안담당자들의 일손을 덜어주는 시스코 ATA(Active Threat Analytics)’ 서비스를 소개했다.

장주수 시스코코리아 수석<사진>은 14일 <디지털데일리>가 서울 플라자호텔에서 개최한 ‘2018년 전망, 금융IT이노베이션 컨퍼런스’ 행사를 통해 “자체적으로 구축하는 것과 비교해 시스코 ATA는 효율적인 투자와 단계적 내재화를 통한 효과적인 관리를 가능케 한다”고 말했다.

기업이 자체적으로 이러한 시스템을 운영하려면 각 보안장비의 유지보수 비용, 인재 고용, 전문가 확보, 교육비, 조직 설립 소요 기간, 보안 인텔리전스 독자취득, ATA 분석 방법·노하우 등이 필요하다는 설명이다.

최근 보안관제 트렌드는 AI 기술을 적용한 MDR(Managed Detection and Response)이다. MDR은 위협 탐지 및 높은 수준의 사고 대응에 초점을 맞춘 새로운 보안서비스 영역으로, 풀패킷 캡처나 전문가 확보의 방향으로 진화 발전하고 있다.

또한, 위협 인텔리전스를 확보하고 새로운 분석 기법을 제공하며, 해커 활동을 상세히 분석 후 대응방법 논의하는 방향까지 발전하고 있다. 이러한 MDR을 시스코 ATA가 지원하고 있다.

장 수석은 “시스코 ATA 서비스는 실제 전문가를 확보하고 조직적으로 접근하고 있다”며 “머신러닝 기반의 보안 정보를 분석하고 상관분석하는 플랫폼을 독자적으로 개발했으며, 탈로스의 위협 인텔리전스 정보와 연관시켜 전세계 보안 위협 대응정보를 업데이트하고 있다”고 설명했다.

이어 “빅데이터 플랫폼에서의 분석기법을 지속적으로 업데이트하고 연관분석하고 있다”며 “기존의 보안 정보 및 이벤트 관리(SIEM) 고객들은 많은 로그와 이벤트·메시지를 받고 있어 정확한 판단이 오히려 어려운데, 분석기법이 지속 개발·적용돼야 현재 도입된 솔루션 활용도가 높아진다”고 부연했다.

또한, 시스코 ATA는 위협에 대한 대응시기를 놓치지 않도록 서비스하고 있다. 시스코는 풀패킷 캡처를 지원하고 있는데, 다양한 애플리케이션·보안 및 네트워크 장비·서버 등에서 나오는 이벤트를 수집·분석 가능한 빅데이터 시스템을 마련하고 상관분석과 탈로스 위협정보를 통해 비교·분석한다. 탈로스 정보를 통해 비교분석하는 형태로 서비스된다.

장 수석은 “실제로 내가 행동해야 할 시점에서 시간이 지난 후 리포트가 나오기도 하는데, 이 경우 대응시점을 놓치게 된다”며 “빠르게 분석하기 위해 특정 이벤트가 발생하면 유관된 정보를 빠르게 업데이트하고, 분석하는 사람이 일목요연하게 확인 후 분석 정보로 대응할 수 있도록 시스템을 구성했다”고 덧붙였다.

시스코에 따르면 시스코 ATA 프리미어 서비스를 사용하는 고객의 실제 데이터를 분석한 결과 20만7992건의 이벤트, 6만1816건의 위협 인텔리전스 이벤트가 발생했다. 시스템에 의해 이벤트를 축소하고 대처한 후 실제 사건으로 특정화하고 대응한 이벤트는 71건으로 줄었다.

장 수석은 “기존 보안장비들이 이벤트 로그만 분석해 확보할 수 없는 정보를 네트워크 데이터 기반 분석을 통해 확인 가능하며 정확한 대응방법도 제시할 수 있다”며 “평균 대응시간 최소화뿐 아니라 보안 전문인력의 효율적 운영 지원으로 비용 절감도 가능하다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr