G05-7182802122

특별기고

AI와 지능형 통합보안관리

NSP통신, NSP인사 기자, 2021-11-11 09:04 KRD7
#고려대학교

한근희 고려대학교 연구교수

(서울=NSP통신) NSP인사 기자 = IBM에서 올해 발간한 2021 데이터 유출 비용 보고서에따르면 20년 5월에서 21년 3월까지 전 세계 500개 이상 기업을의 데이터 유출 사고를 심층 분석한 결과 한국은 금융업의 피해가 가장 심했고 다음은 서비스업, IT 업종 순이었다.

코로나 19 사태로 사업 운영상 변화가 컸던 업계(의료, 소매, 서비스, 제조·유통)가 전년 대비 데이터 유출 피해 금액이 대폭 증가했고, 특히 의료 업계의 경우 사고 한 건당 피해액은 923만 달러로, 2020년보다 200만 달러나 증가하였다.

데이터 유출로 인해 평균 424만 달러(약 48억 8000만 원)의 손실이 있었고, IBM 시큐리티가 조사를 진행해 온 지난 17년간 중에서 가장 최고치에 달했고, 전년 대비 10% 증가하였다. 가장 큰 피해를 봤던 공격은 비즈니스 이메일 유출로, 피해액은 평균 약 67억 6000만원이었고, 공학적 해킹은 약 52억 9000만 원, 피싱은 약 49억 2000만 원이었다.

NSP통신-한근희 연구교수 (고려대학교 제공)
한근희 연구교수 (고려대학교 제공)

주요 데이터 공격 방식은 20% 이상을 차지한 사용자 인증 정보의 도용이었고, 다음이 클라우드 구성 오류, 피싱 등이었으며, 렌섬웨어 공격에 의한 데이터 유출로 인한 평균 총비용이 무려 462만 달러에 달했다.

G03-9894841702

또한 데이터 유출 사고 중 약 20%는 원격 근무가 원인으로, 원격 근무가 사고 원인에 포함된 경우, 다른 경우보다 피해액이 평균 100만 달러나 더 높은 496만 달러에 달했으나, 최근 보안 이슈로 강조되고 있는 제로 트러스트 아키텍처를 활용한 경우 약 176만 달러가 절감되었다고 한다.

보안 자동화 전략을 완전히 구축한 기업은 데이터 유출 사고 평균 피해 금액이 290만 달러에 불과한 반면, 자동화 기능을 적용하지 못한 기업은 671만 달러로 2배 이상의 비용을 감당해야만 했다.

이러한 상황을 분석해 보면 코로나 19 발생 기간 동안 기업이 원격 근무, 클라우드로의 전환 등 급격한 운영 변화를 따라가지 못해 보안에 더욱 취약해짐을 알 수 있고, 특히 AI 기술을 활용한 지능형 통합보안관리 기술의 활용이 중요해 짐을 알 수 있다.

다른 한편으로 한국지능정보사회진흥원에서 2021년 1월 15일에 발간한 「IT & Future Strategy 보고서」에 의하면, 인공지능 기술이 사회 전반의 혁신을 이룰 것이라는 기대에 반해 현재 인공지능의 구현 기능은 여전히 많은 한계를 보유하고 있다고 지적한다.

특히 민감한 정보에 대한 데이터 이동 문제와 직관적 인식을 넘어선 인과관계 이해 부족, 전처리 과정의 비용·시간 제약 등이 여전히 존재하고 있으며, 인공지능 개발의 한계를 극복하기 위해 전 세계적으로 다양한 측면의 연구가 동시다발적으로 이루어지고 있는 상황을 언급한다.

또 다른 한편으로는 보안업계에서 인공지능 기술을 적극적으로 활용하고 있으나 AI는 창과 방패의 성격으로서 악성 해커(사이버 공격자)도 지능화된 알고리즘을 활용한 신종 혹은 변종 사이버 공격과 매크로 활용 공격에 적극 활용하고 있는 상황이다.

특히, 사이버 보안 분야에서의 인공지능 기술은 사이버 공격에 대해 정확하면서도 선제적으로 위협을 탐지하고 예측하여 짧은 기간 동안 발생하는 막대한 데이터(빅 데이터) 속에서 유용한 정보를 초고속으로 추출하여 신속하게 대응할 수 있도록 한다, 무엇보다 중요한 점은 발생 가능한 잠재적인 사이버 공격을 자율적으로 식별하거나 대응하여 비용과 시간을 절약하는 데에 크게 기여할 것이다.

시장조사기업 캡제미니(Capgemini Research Institute, 2019)에서 소비재, 소매, 은행, 보험, 자동차, 유틸리티 및 통신을 포함한 7개 산업의 고위 임원 850명을 대상으로 조사한 바에 의하면, 인공지능은 사이버 보안 체계 중 특히 위험 탐지 영역에서의 활용이 두드러지게 나타나고 있다.

응답자의 69%가 인공지능이 공격 탐지에 더 높은 정확성을 가질 것이라고 응답하였고, 응답자의 64%가 각각 인공지능이 사이버 공격을 탐지하고, 74%는 대응하는 데에 소요되는 비용과 시간을 절약한다고 답했다. 따라서, 인공지능은 사이버 공격의 사전 예측, 빠른 탐지, 신속한 대응 등 보안의 전반적인 단계에 적용 가능할 것이다.

더욱이 나날이 증가하는 사이버 공격을 초고속 자동화하고 해킹 전문 지식을 보유하지 않은 상태에서도 머신 러닝, 딥 러닝, 연합 학습 등의 기술을 활용하여 보다 정교한 공격도 가능하면서, 마치 레이더 망에 걸리지 않는 스텔스 전투기와 같이 방어자의 탐지 및 대응을 회피하기 위해 인공지능을 악용하여 은밀하게 공격을 가하는 수준까지 발전하고 있다.

인공지능 기술까지 접목한 사이버 공격자는 수백 수천 개의 공격 기술 중에서 단 한 개라도 성공하면 해킹 목적이 달성되나 방어자는 발생 가능한 모든 위협 요소를 파악하여 대응해야 하는 비대칭 게임에서, 이러한 공격을 최대한 사전 예방하고 효과적으로 대응하려면 미국 NIST에서 발간한 개념을 적용하는 것이 중요해진다.

ZTA 기술을 제대로 활용하기 위해서는 그림에서와 같이 위험 관리를 기반으로 적절한 라이프 사이클의 흐름에 따라 작업하는 것이 중요한 요소이다. 대량의 빅 데이터와 인공지능 기술을 적절하게 적용하고 속성기반 접근제어 기술을 활용하여 정보 공유와 관리해야 하는 실체 간의 연합/협업을 통해서 효과성을 대폭 높일 수도 있다.

방어자 입장에서는 아래와 같은 지능형 통합 보안 시스템을 구축하는 것이 필수적이다.
 사전예방(Prevention): 침해사고 발생 가능성을 사전에 파악해서 미연에 방지
 공격 완화 및 적극 대응(Attack Mitigation): 피치 못하게 침해사고 발생시 조기대응으로 피해 최소화 및 확산 방지
 정보 보증 및 생존성 강화(Information Assurance & Survivability): 침해 사고로 사업이 중단되지 않도록 사업 연속성 확보
 지능형 보안(Security Intelligence) : 보안 대응 수준 향상 및 보안 전문인력 확보
 심층방어(Defense in depth) : 정보보호 프로세스 및 다단계 방어 전략 적용

더불어서, 과거에 사용하던 통합보안시스템(ESM: Enterprise Security Managment)에서 보안 정보 및 이벤트 관리(SIEM: Security information and event management)을 거쳐서 보안 조율, 자동화 및 대응(SOAR: Security Orchestration, Automation and Response) 개념으로의 발전적 적용이 필요하다.

SOAR는 2015~2016년에 가트너가 처음으로 제시하였으며 이때의 SOAR 주요 기능은"보안 솔루션 연동","보안 업무 자동화","가시성 및 보고서 효율화"이었으며 이후 지속적으로 개념이 확대되고 선명해지고 있다.

초기의 SOAR은 Security Operation, Analytics & Reporting 이었으며 탐지(Detection)부터 완화(Mitigation)까지 보안 위협을 방어하는 것이었으나 Reporting에서 Response로 변화하여 신속하고 적극적으로 대응하는 개념으로 발전하였다.

인공지능의 보안분야 적용은 보안시스템을 노리는 공격자와 방어자 모두에게 공평한 발전의 기회를 제공하고 있다. 과거 사이버공격은 자신 과시가 대부분이있고 금전적인 목적없이 불특정 다수를 대상으로 공격하였으나 최근 흐름은 금융, 교통과 전력 등 사회기반시설을 대상으로 정치, 경제, 군사적 의도까지 확장하여 공격하는 추세이다.

공격에 대한 발빠른 탐지, 대응 시간 단축을 위해 시스템의 로그 데이터를 수없이 많이 수집(빅 데이터)하고 있지만, 이를 신속하고 정확하게 분석하기에는 어려움이 따르기 때문에 인공지능의 도입은 필연적이다. 이에 국가나 기업 모두가 지능형 통합보안시스템과 솔루션을 적극 도입 운용하여, 날로 진화하는 공격을 실시간으로 막는 것이 대단히 중요하다.

NSP통신 people@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.