[디지털데일리 이종현기자] 최근 보안 트렌드로 가장 각광받고 있는 것은 인공지능(AI)이다. 다양한 솔루션이 시장에 나오는 상황에서 많은 사용자들이 트렌드를 따라 제품을 검토하고 도입하는 사례가 늘고 있다. 하지만 트렌드를 따라 도입했다가는 조직에서 추구하는 목표를 달성하지 못할 수도 있다는 문제점도 지적된다.

22일 포티넷코리아는 디지털데일리 온라인 세미나(웨비나) 플랫폼 DD튜브를 통해 진행되는 ‘[NES 2021] 차세대 기업보안 버추얼 컨퍼런스’ 이틀째 행사에서 조직의 목표에 부합하는 보안 솔루션을 도입할 수 있는 방법을 소개해 주목을 받았다.

발표를 맡은 김재환 포티넷코리아 과장은 대부분의 보안 운영팀이나 관제팀, 기업 조직에서 인공지능(AI) 솔루션을 고려하는 이유로 ▲기업 네트워크 및 인프라의 복잡성 증대 ▲신종 및 변종 사이버공격의 고도화·다양화 ▲보안 침해사고 대응 인력이 겪는 난관 증대 등을 꼽았다. 사람이나 조직의 대응 절차는 한계가 있는 만큼 AI를 통해 이를 극복하고자 하는 것이 주요 트렌드다.

김 과장은 상용 AI 보안 솔루션이 개발단계(R&D), 소개·도입기를 거쳐 성장기에 막 들어섰다고 진단했다. 동시에 사용자 입장에서 제품에 대한 기대치가 높은 데 반해 제품을 제대로 검토할 수 있는 평가 지표가 갖춰지지 않은 상태라고도 전했다.

그는 “고객이 상용 AI 보안 솔루션을 도입할 때 기대하는 것은 사이버보안 영역의 기능·역량을 고도화하고 업무 효율성을 높여 보안팀의 업무효율성을 높이며 사이버피로도를 줄일 것을 기대한다. 실제 이에 대한 기대는 어느 정도 충족한다고 볼 수 있다”고 말했다.

이어 “하지만 AI를 도입했으니 사람을 줄인다든지, 탐지·보고나 최적화·유지관리, 조치 프로세스를 자동화한다든지 하는 데는 면밀한 검토가 필요하다”며 “도입하려는 제품이 관련 기능을 제공하는지, 관련 기능이 실제 만족스러운 정도의 퍼포먼스를 제공하는지 등을 검토해야 한다”고 조언했다.

김 과장은 도입했을 경우 오히려 일이 더 많아지는 AI 보안 솔루션이 있다고 꼬집었다. AI를 도입함으로써 더 많은 이벤트가 탐지되므로 실무자가 처리해야 하는 이벤트가 늘어나고, 제품 최적화가 안돼 동일 유형의 이벤트를 매번 수동 처리해야 하는 경우 등이 그 예다. 기존 패턴매칭 솔루션에 비해 회색(Gray) 영역의 결과물이 많아 사람이 재검증해야 하는 경우도 잦다.

이에 김 과장은 “트렌드를 좇지 않고 AI 솔루션 도입으로 얻는 기대효과 및 목표를 선정해야 한다”고 강조했다.

탐지 영역을 고도화한다든지, 보완 가능한 제품으로 시큐리티 홀을 예방한다, 서비스 영향도가 적은 형태로 구성하겠다, 자동화 기능으로 업무 피로도를 최소화하고 적은 인력을 사용하겠다 등이 목표 예시가 될 수 있다.

이어서 ▲목적에 따라 AI 기술 및 제품 후보 선택 ▲목표에 적합한 양질의 데이터 활용이 가능한 제품인지 검토 ▲결과를 직관적으로 제공하는지 확인 ▲업무로드를 최소화할 수 있는 역량으로 적은 인력으로도 사용 가능한지 검토 등이 AI 침해사고 보안솔루션을 선택하는 데 효과적인 전략이라고 피력했다.

이날 포티넷 발표에서는 김대협 포티넷코리아 컨설턴트의 데모 시연도 진행됐다. 김 컨설턴트는 자사의 딥러닝 기반 악성코드 탐지 시스템 ‘포티AI’와 샌드박스 솔루션 ‘포티샌드박스’를 비교하는 데모를 시연했다. 악성파일이 포함된 200개 파일을 의도적으로 흘려보냈을 때 포티AI와 포티샌드박스가 이를 어떻게 탐지하는 것인지 직접 비교했다.

테스트 결과 포티AI는 130초 만에 200개 파일 중 28개의 악성파일을 탐지했다. 반면 포티샌드박스는 동일하게 28개 파일을 탐지했지만 600초가 걸렸다. 포티AI를 사용할 경우 총 검사 시간이 5배가량 빨라진 셈이다.

김 컨설턴트는 “포티AI는 외부에서 PC가 랜섬웨어에 감염되거나 랜섬웨어가 내부망을 통해 이동하는 것을 파악하는 동시에 네트워크 단에서 악성코드를 탐지한다. 해당 공격이 어떤 경로로 이뤄졌는지와 대시보드를 통해 전체적인 망에 대한 위협 가시성도 제공한다”고 전했다.

그는 포티AI에 더해 자동화 기능이 내장된 엔드포인트 탐지 및 대응(EDR) 솔루션 ‘포티EDR’과 보안오케스트레이션 자동화 및 대응(SOAR) 솔루션 ‘포티SOAR’, 또 포티AI+포티EDR+포티SOAR로 보안 환경을 구축하는 시나리오도 소개했다.

포티EDR은 PC, 서버에 에이전트 방식으로 설치돼 악성코드를 탐지·차단할 수 있는 솔루션이다. 행위 기반으로 악성코드를 탐지·차단하기 때문에 많은 행위를 끄고 켤 수 있다. 플레이북을 통해 사용자들이 추가적인 입력이 요구치 않는 자동화 기능을 제공한다. 이벤트 뷰어를 통해 어떤 것이 차단되고 실행됐는지 등을 확인할 수 있다.

김 컨설턴트는 여기에 모든 보안관제센터(SOC) 업무를 자동화할 수 있는 포티SOAR까지 연동할 경우 보다 효과적인 보안 시스템을 구축할 수 있다고 강조했다. 포티EDR에서 탐지한 악성코드 해시를 포티SOAR가 해시값을 조회할 수 있다. 보안관제 인력이 보안 이벤트에 대한 추적 및 상급자에 대한 보고 등에 대한 편의성을 제공해 보안팀의 피로도를 크게 줄일 수 있다는 설명이다.

그는 “AI 상용 보안 솔루션 시장은 아직도 성장해 가는 단계다. 다양한 분야에 대해 기능의 일부로써, 또는 제품 자체로써 많은 상품화 시도가 이뤄지고 있다”며 “현재 상황에서 AI 기술 트렌드라는 물결에 휩쓸려 급하게 제품을 도입하는 경우 오히려 일이 많아지거나 기대 효과에 미치지 못하는 형태가 될 수 있다”고 말했다.

또 그는 “AI 보안은 데이터 활용이 키가 되는 영역이다. AI 동작 방식에 따라 데이터를 잘 활용할 수 있는 시스템 체계를 갖췄는지, 제조사가 그런 체계를 공급할 수 있는 역량이 있는지를 살펴보아야 할 것”이라고 부연했다.

<이종현 기자>bell@ddaily.co.kr