[디지털데일리 최민지기자] SK인포섹이 인공지능(AI) 보안관제를 통해 해외시장까지 공략한다. 이를 위해 내년 6월까지 머신러닝 보안관제 고도화를 완료하고, 글로벌 보안기업으로 도약하겠다는 포부를 드러냈다.

12일 SK인포섹은 서울 종로 마이크임팩트 빌딩에서 기자간담회를 열고 AI를 활용한 보안관제(MSS) 고도화 전략을 발표했다.

도지헌 SK인포섹 전략사업부문장은 “싱가포르 등 해외뿐 아니라 국내기업에 AI 보안관제를 적용하기 시작했고, 고도화 과제가 마무리되는 내년 이맘때쯤 의미 있는 시스템으로 발전할 수 있을 것”이라며 “현재 단계에서는 글로벌 경쟁력을 갖추기 위해 AI를 활용해 위협 분석 효율을 높이고 관제범위를 확대하는데 집중하고 있다”고 말했다.

우선, SK인포섹은 보유하고 있는 위협정보, 소속 보안 전문가(CERT)의 분석 논리, 글로벌 보안기업과 공유하는 위협 인텔리전스 등 양질의 정보를 학습하는 머신러닝 분석 알고리즘을 개발했다. 이를 탐지 단계에 거친 결과를 재차 자동 판정할 수 있도록 했다.

특히, 탐지 모델에서는 이중 학습 모델을 도입했다. 전문가 판단을 학습해 자동 판정을 하는 과정에서 머신러닝을 활용한다. 위협 판정 이벤트와 정상 판정 이벤트의 각각 다른 특징을 고려한 것이다.

SK인포섹은 미탐 식별, 탐지 검증, 정오탐 판정 분류, 이상탐지 모델 등에 머신러닝을 활용하고, 이를 보안관제플랫폼 ‘시큐디움’에 적용한다.

AI를 통해 이상징후를 학습하고 분석하는 서비스도 내놓는다. 내년 6월까지 데이터별 상관도 탐색을 통해 적정 데이터를 선정하고, 풀 패킷(Full Packet) 장비의 탐지 이벤트로 위협을 검증하는 이상탐지 모델을 개발한다는 목표다. 관제 이상징후 주기적 분석에 이용되며, 신규 상품으로 개발하겠다는 방침이다.

이날 채영우 SK인포섹 SW개발센터장은 “머신러닝 적용 이전에는 탐지 결과를 재차 분석하고, 대응가지 하는 것까지 리소스가 과도하게 사용됐다”며 “머신러닝을 적용시킨 후 이 같은 건수가 70%나 줄었다”고 설명했다.

보안관제에서는 실제 공격으로 판정된 것을 ‘정탐’, 이상징후나 공격과 무관하다고 판정된 것을 ‘오탐’이라 부른다. 지능형 공격과 다양한 시스템에서 수집되는 데이터가 증가하면서 위협을 정확하게 탐지하는데 어려움을 겪고 있다.

SK인포섹에 보안관제센터에서 하루에 수집, 분석하는 이상징후와 보안로그는 최소 10억건 이상이다. 1초당 수집되는 이벤트는 15만건인데, 이 중 실제 위협은 10여건에 불과하다는 설명이다.

이에 SK인포섹은 지난해 서울대학교와 산학협력을 체결하며 알려지지 않은 지능형 공격을 탐지단계에서 찾아내는 머신러닝 알고리즘 개발에 나서기도 했다. 이번에는 탐지 결과의 효과 검증이 가능한 자동 판정에 집중한 결과를 내놓았다.

향후에는 위협 인텔리전스와 머신러닝으로 위협분석을 단계적으로 대체하고, 해당 보안전문가들은 학습할 데이터셋을 구축하는 고난이도 업무에 집중시킬 계획이다. 위협 정보를 수집하고 탐지, 분석, 대응 과정에 이르는 관제 프로세스를 자동화시키기 위한 기술도 개발한다.

채영우 센터장은 “머신러닝을 활용해 줄어든 리소스를 위협 가능성이 높은 탐지 이벤트 분석에 집중시킨 결과, 전체적으로 관제 서비스 품질을 개선하는 효과를 얻었다”며 “탐지단계에서 지능형 공격을 찾아내기 위한 머신러닝 적용 역시 앞으로 계속 연구 개발할 예정”이라고 강조했다.

또 “서울대와 산학협력을 통해 축적한 기술과 앞으로 자동 판정 단계의 머신러닝을 통해 생산되는 데이터를 활용한다면 충분히 만들어낼 수 있을 것”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr