[디지털데일리 이안나기자] 공항에서 보안 검색대에서 가장 중요한 건 속도다. 과거엔 검색대를 통과하는 시간이 굉장히 오래 걸렸지만 최근엔 여권이나 얼굴을 스캔하는 방식으로 빠르게 통과할 수 있다. 보안이 철저히 적용됐을 경우 그 외 다른 업무들이 빠르게 처리할 수 있음을 보여주는 사례다.

클라우드플레어 황성환 이사는 디지털데일리가 주최한 ‘제1회 차세대 보안혁신 서밋(NSIS 2024)’에서 공항 검색대 예시를 들며 인공지능(AI)을 보안에 활용하는 이유에 대해 설명했다. 기업은 빠르게 일을 처리해야 생산성이 올라가고, 생산성이 올라가야 혁신이 가능하다.

황 이사는 “보안에서 핵심은 속도”라며 “빠른 업무 처리를 위해 보안을 적용하는데, 보안이 느려지면 모든 업무에 지장을 받게 된다”고 말했다. 클라우드플레어가 속도에 집중하는 이유는 기업이 혁신을 이루도록 지원하기 위함이다.

클라우드플레어는 매년 30%씩 성장을 하는 미국계 글로벌 서비스형소프트웨어(SaaS) 보안 기업이다. 전 세계 인터넷 웹사이트 약 20% 트래픽을 클라우드플레어가 처리한다. 초당 6400만건 트래픽을 처리하는 셈이다. 인터넷 트래픽 업체 아마존웹서비스(AWS)나 패스틀리(fastly)가 각각 1%대 트래픽을 처리한다는 점을 고려하면 클라우드플레어가 처리하는 트래픽 양은 압도적이다.

클라우드플레어는 대규모 트래픽은 자연스럽게 AI에 집중하도록 만들었다. AI가 결과를 제공할 땐 수많은 계산을 통한 수치가 기반이 돼야 하고, 이 수치를 측정하기 위해 트래픽을 사용한다. 먼저 인터넷 트래픽을 분석해 전처리·후처리를 하고 데이터를 정형화한다. 이를 연구해서 AI로 보안 엔진 업데이트를 하면 실제 트래픽을 통해 배포할 수 있다.

신규 공격에 대해 인터넷 트래픽 기반으로 검증 테스트를 하는데, 만약 검증용 트래픽이 없는 경우 AI 활용 검증용 트래픽을 생성해 테스트를 진행한다. 클라우드플레어가 전세계 20% 달하는 온라인 트래픽을 매순간 살펴보고 있기 때문에 가장 빠른 엔진 업데이트가 가능하다.

만약 웹애플리케이션 방화벽(WAF)이 막아야할 사례들을 일일이 사용자가 정해줘야 한다면 룰 자체가 점점 복잡해지고 새로운 공격에 적용할 수 없게 된다. 클라우드플레어 보안 솔루션은 이런 단점을 보완하기 봇 관리 같은 다른 보안 솔루션과 연계해 공격 점수를 산출한다. 그러면 룰이 간단해질뿐더러 신규 룰셋도 신속하게 제공할 수 있다.

클라우드플레어 솔루션 대시보드에선 그래프와 로그 정보, AI를 활용한 인사이트를 함께 제공한다. AI 분석을 통해 어떤 데이터가 통과됐는지, 어떤 데이터를 막아야 하는지르 ㄹ알 수 있다. 업데이트 된 로그에선 주로 어디서 공격이 왔고, 각 데이터 공격 점수가 어떻게 매겨진 것인지도 근거를 제공한다.

클라우드플레어는 대규모 트래픽 분석을 통해 실시간 디도스 공격을 막는다. 고객사 트래픽을 머신러닝 기반으로 학습해, 평상시와 다른 트래픽 탐지시 자동 대응한다. 이메일 보안 솔루션 역시 AI 학습을 통해 이메일 트래픽 패턴과 위험도를 분석한다. AI 기반 악성메일 검사 엔진(단어·문구·OCR 이미지 분석 외) 기반해 위험도를 분석한다.

황 이사는 “클라우드플레어는 마이크로소프트와 오픈AI가 제공하는 챗GPT에 보안 솔루션을 제공하고 있다”며 “다양한 공격에 대한 경험을 쌓고 현재 거대언어모델(LLM)이나 소규모언어모델(SLM) 모델에 대한 보안, 방화벽 같은 제품도 준비 중”이라고 전했다.

가장 빠르게 엔진 업데이트를 할 수 있다는 강점은 최근 1~2년 긴급 보안업데이트 대응 사례서 확인할 수 있다. 실제 2022년 로그4제이(log4j) 발생 시 클라우드플레어는 신규 4개 룰셋을 몇 시간 안에 테스트를 완료해 배포를 진행했다. 컴플루언스에서 취약점 발견후에도 약 30분 안에 대응 업데이트 버전 배포를 진행했는데, 당시 취약점을 목표로 한 해커 공격은 약 3.5시간 후에 진행됐다.

황 이사는 “많은 트래픽을 AI로 보고 있기 때문에 엔진 업데이트도 다른 벤더보다 빠르게 업데이트를 하고 고객사에 배포하고 있다”고 강조했다.