[디지털데일리 권하영기자] ‘누구도 신뢰하지 말라’는 의미의 ‘제로트러스트(Zero Trust)’ 기반 보안이 중요해지면서, 모든 순간을 철저히 검증하기 위한 인공지능(AI)의 역할이 커지고 있다. 특히 내부에 침투된 보안 위협을 가려내고 사전에 분석·대응하기 위해 어떤 AI를 활용할 것인지는 기업의 중요한 고민거리가 됐다.

이에 왕정석 스텔라사이버 한국지사장은 28일 서울 중구 롯데호텔에서 <디지털데일리>가 개최한 제1회 ‘차세대 보안혁신 서밋(NSIS·Next Security Innovation Summit) 2024’에서 ‘AI를 통한 보안 분석체계 강화 및 제로트러스트 환경 구축’을 주제로 지능형 통합 보안 분석을 제공하는 자사의 오픈XDR 플랫폼을 소개했다.

왕 지사장은 “제로트러스트 이전에 경계망 보안모델을 사용할 때는 보안 공격이 경계망 안으로 드나드는 걸 막는 게 가장 중요했지만, 코로나19 이후 초연결 시대가 되면서 원격근무 계정을 탈취하거나 그렇게 침투된 악성코드가 내부에서 전파되는 등 경계망이 무의미해졌다”며 “그래서 아이덴티티(Identities·식별자)부터 인프라와 애플리케이션까지 모두 검증해야 한다는 차원에서 제로트러스트가 나온 것”이라 설명했다.

그러면서 “내부에서 발생한 이 접근이 내가 원래 알고 있던 사람이 하는 게 맞는지 확인하기 위해 가시성을 확보하고 이를 바탕으로 분석하고 통합하는, 이 세 요소가 이뤄지지지 않으면 제로트러스트 환경을 구축했다고 할 수 없다”고 말했다.

AI는 그 역할을 해줄 수 있는 좋은 도구다. 다만 왕 지사장은 어떤 AI를 활용할 것인지 생각해봐야 한다고 지적했다. 그는 “생성형 AI는 요즘 흔히 얘기하는 할루시네이션(환각) 즉 거짓말을 하는 경우가 생기는데, 보안 업무에서는 그런 식의 근거 없는 얘기가 굉장히 위험하게 다가올 수밖에 없다”며 “그래서 AI를 쓸 것인지 말 것인지만큼 중요한 게 어떤 AI를 쓸 것인지에 관한 것”이라고 언급했다.

왕 지사장은 “최근 1~2년 사이에 AI가 급격히 발전하면서 업무 패턴과 생활이 바뀌었고 결과적으로 보안에서 이러한 새로운 이벤트들을 찾아내는 것 역시 AI 힘을 빌려야 하는 상황”이라며 “기존의 룰로 탐지하기 어려웠던 것들을 맞추기 위해 다양한 형태의 AI가 필요했고, 특히 머신러닝을 통한 AI를 적용해 보안 이벤트를 탐지하는 것이 바로 우리가 그동안 찾아왔던 모델 중의 하나였다”고 설명했다.

스텔라사이버의 오픈XDR은 서버와 네트워크 및 애플리케이션 등 광범위한 영역에서 데이터를 수집·분석하고 AI를 이용해 보안 이벤트를 정확하게 식별한 다음 분석한 결과를 연동된 시스템에 알려 적절한 대응을 할 수 있도록 하고 있다.

특히 스텔라사이버는 머신러닝을 통해 특정 공격 패턴에 대응하는 방법을 학습시키는 ‘지도학습’과 내용을 특정하기 어려운 내용에 대해 스스로 학습해 찾아낼 수 있도록 하는 ‘비지도학습’을 시킴으로써 보안에 최적화된 AI를 적용했다.

왕 지사장은 “우리는 챗GPT처럼 하나의 대형 머신에다 아무거나 다 물어볼 수 있게 만든 게 아니라, 굉장히 세분화된 모델의 AI를 사용을 하고 있다”며 “로그인 위치를 학습하는 AI는 로그인 아이디와 위치만 집어넣어 학습시키고, 로그인 시간을 학습하는 AI는 로그인 아이디와 시간 두 가지만 학습하도록 하는 것”이라고 말했다.

그는 “그래서 결과적으로는 오탐(False Positive·사이버 공격과 무관한 가짜 위협)을 줄일 수 있고, 그렇게 되면 명확한 근거를 가지고 대응을 해야 하는 보안 업무에도 AI를 적용할 수 있다”고 덧붙였다.

이를 위해 스텔라사이버는 사이버 공격을 프로세스상으로 분석해 각 공격 단계에서 조직에 가해지는 위협 요소들을 파악하고, 공격자의 의도와 활동을 분쇄시켜 조직의 회복탄력성을 확보하는 ‘사이버 시큐리티 킬체인’ 전략 하에 좀 더 세부적인 공격 행위에 대해서는 마이터 어택(MITRE ATT&CK) 기반 공격전술 분석 프레임워크와 연계해 AI 모델을 학습시켰다.

왕 지사장은 “그냥 AI를 적용하는 게 목적이 돼선 안 되고, 진짜 목적은 AI를 통해 그간 룰 기반 탐지로 못 찾은 행위를 찾아야 한다는 것에 있다”며 “사용자가 어떤 행위를 하고 있는지, 이 사용자가 우리 직원으로 위장한 다른 사람은 아닌지, 그래서 결과적으로는 사용자와 시스템간 연관관계를 찾아서 지금 하는 행동들이 정상인지를 알 수 있도록 하는 게 AI 활용의 핵심”이라고 강조했다.

또한 왕 지사장은 “보안 이벤트를 탐지하고 상관관계를 분석해서 문제점을 찾아내는 건 보안 전문 AI가 하지만 결국엔 사람이 시스템을 다룬다는 측면에서 챗GPT 같은 생성형 AI가 필요하긴 하다”며 “그래서 우리는 ‘AI 드리븐 인베스티게이션(AI Driven Investigation)’이라고 하는 시스템을 이번에 오픈했다”고 밝혔다.

왕 지사장은 “생성형 AI가 잘하는 부분, 이를테면 시스로그(Syslog)나 트래픽에서 특정 이슈를 찾아달라는 명령을 그냥 말로 하면 알아서 관제시스템에서 찾아줄 수 있도록 하고 그걸 리포트로 만들어달라 하면 만들어줄 수 있는 것”이라며 “즉 보안 이벤트를 탐지하고 이상 행위들을 찾는 것들은 보안 전용 AI를 통해 하고, 이것들을 운영하는 시스템들은 이런 생성형 AI를 통해서 보완할 수 있도록 한다”고 설명했다.

그는 “보안 전용 AI와 일반적인 생성형 AI가 공존하도록 해서 보안과 나의 업무 편의성을 동시에 잡도록 하는 것이 우리가 강조하고 싶은 핵심”이라며 “무엇보다도 AI를 적용할 때 어떤 AI를 우리 업무에 어떤 방식으로 적용할지 이것이 가장 중요하다는 것을 기억해달라”고 역설했다.