사람처럼 생각하고 판단하는 보안 시스템

지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>

머신러닝 기반 기술, 보안 관제에 활용

머신러닝 기반 보안 시스템으로 최근 가장 뜨거운 관심을 받는 기업이 다크트레이스다. 영국과 미국의 정보기관 출신 인사들이 모여 설립한 다크트레이스는 인간의 면역시스템을 IT에 적용한 ‘엔터프라이즈 면역 시스템’을 공급한다.

영국 캠브리지 대학의 고급수학 이론인 베이시안 모델을 적용한 차별화된 머신러닝 기술을 기반으로 한 엔터프라이즈 면역 시스템은 IT 시스템이 건강한 상태를 학습해 이상한 행위가 발생했을 때 경고한다.

다크트레이스는 지난해 한국지사를 설립한 후 공공기관과 금융관련 공공기관에 솔루션을 공급하는데 성공했으며, 다른 공공기관과 엔터프라이즈, 연구소 등에 POC를 하면서 제품을 소개하고 있다. 다크트레이스는 7월 삼성그룹 금융계열사인 삼성벤처투자로부터 투자를 받으면서 국내에서도 주목을 받고 있다.

다크트레이스는 서밋파트너스, 텐일레븐벤쳐스, 일본 소프트뱅크 콜버그크래비스로버츠(KKR) 등으로부터 투자를 받아 기술 성숙도를 높이고 고객을 확보하면서 시장을 빠르게 확보하고 있다.

서현석 다크트레이스코리아 지사장은 “다크트레이스는 7월 KKR과 소프트뱅크로부터 6500만달러에 달하는 시리즈 펀딩으로 투자받은데 이어 삼성벤처스 투자를 유치하면서 많은 관심을 받고 있다”며 “이는 다크트레이스가 혁신의 아이콘으로 인정받은 것으로, 한국 영업 전략에 박차를 가할 수 있게 됐다”고 말했다.

다크트레이스를 도입해 운영하고 있는 기업들이 민감한 금융정보를 효율적으로 관리하는데 ‘엔터프라이즈 면역 시스템’이 좋은 효과를 보이고 있다고 평가하고 있으며, 3D 기반 위협 시각화 솔루션으로 현재 상황을 정확하게 보여주고 위협행위의 초기 진입 시도를 정확히 알려주고 확산을 방지할 수 있도록 도와준다는 사실에 만족감을 보이고 있다.

서현석 지사장은 “제 4의 산업혁명으로 불리는 인공지능과 머신러닝 기술이 공공·금융산업을 넘어 대형 제조기업, 포털 등으로 확산하고 있다. 다크트레이스의 혁신적인 기술을 국내 보안기업과 함께 제공해 고객의 보안 문제를 해결할 것”이라고 강조했다.

SIEM 연동·예측분석 기술로 탐지 정확도 높여

UBA를 단독 솔루션으로 처음 출시한 벤더는 스플렁크다. 스플렁크는 2014년 UBA 기술 기업 카스피다를 인수하면서 ‘스플렁크 UBA’를 출시하고 지능형 정보유출 사고에 대응하고 있다.

스플렁크 UBA는 SIEM 솔루션 ‘엔터프라이즈 시큐리티(ES)’와 연동해 보안위협 탐지 효과를 높인다 ES는 모든 시스템에서 로그와 패킷 정보를 수집해 분석할 수 있으며, UBA는 ES에서 수집한 정보를 기반으로 사용자, 기기, 서비스, 계정, 애플리케이션 행동 프로파일과 동료그룹 분석 등을 수행한다. 스플렁크의 보안모델과 UBA의 머신러닝 기술 기반 자가학습 및 적응형 알고리즘을 통해 오탐 없이 정확하게 위협을 탐지한다.

장경운 스플렁크코리아 이사는 “스플렁크는 IT 시스템의 로그 뿐 아니라 패킷까지 수집해 분석해 로그만을 분석하는 경쟁사 제품보다 정확하게 공격을 탐지한다.

국내 통합로그분석 솔루션 기업들도 머신러닝 분석기술을 이용한 지능적인 내부정보 유출 방지 시스템을 제공하고 있다. 유넷은 머신러닝 기술 중 예측분석 기술을 이용한 ‘애니몬 UBA’를 개발하고 국내 제1금융기관에 성공적으로 적용했다.

금융·엔터프라이즈 기업을 대상으로 적극적으로 영업을 전개하고 있는 애니몬UBA는 개인정보·중요정보 유출 탐지 모니터링과 통합관제를 위해 사용되고 있다. 이 제품은 위험 시나리오를 정의하고 사용자 행위기반 다차원 통합분석 기능을 제공한다.

기존 로그분석 솔루션은 시스템에 따라 다른 기준과 포맷으로 로그가 작성돼 통합분석이 어려웠다. 애니몬UBA의 사용자 기반 로그분석은 사용자 행위을 중심으로 로그를 구성해 사용자 행위를 투명하게 모니터링하고 이상행위를 탐지할 수 있다.

애니몬UBA가 채택한 예측 알고리즘은 시나리오를 기반으로 위험도 가산을 부여하거나 중요 직원의 위험도 등급을 낮추고, 반복적을 발생하는 변수를 고정시켜 분석 항목을 줄이는 방식으로 실시간으로 오탐없이 이상행위를 찾아낸다.

목록 >>