12일 SK인포섹(대표 안희철)은 ‘인공지능을 활용한 보안관제서비스(MSS) 고도화’라는 주제로 간담회를 개최하고, 서비스 고도화 계획을 발표했다.

이날 발표를 맡은 채영우 SK인포섹 소프트웨어개발센터장은 사이버 보안분야에 인공지능이 사용되는 경우를 ▲네트워크에서 일어나는 비정상적, 혹은 악성행위의 탐지 및 차단 ▲제로데이(Zero-Day) 등 신규 악성코드 분석 ▲소프트웨어 취약점 분석 등 3가지로 구분해 설명했다.

채 센터장은 “국내외 유수의 보안기업들 대부분이 네트워크나 시스템에서 일어나는 비정상적 행위, 또는 공격행위를 빠르고 정확하게 찾아내기 위해 머신러닝 도입을 서두르고 있다”면서, “이는 보안관제 워크플로우(Workflow)와도 매우 밀접한 관계가 있다”고 언급했다.

보안관제는 기업의 각종 보안시스템에서 탐지한 이상징후를 한 곳으로 수집해 공격 여부를 가려내고, 조치하는 것을 말한다. SK인포섹은 국내외 2,000여 곳, 8,000대 이상의 보안시스템에서 탐지한 이상징후를 보안관제시스템 ‘시큐디움’으로 수집해 다양한 분석 규칙(Rule)을 통해 공격 여부를 판별한다.

SK인포섹은 서비스 고도화를 위해 보유하고 있는 위협 정보, 소속 보안 전문가(CERT)의 분석 논리, 글로벌 보안기업과 공유하는 위협 인텔리전스 등 양질의 정보를 학습하는 머신러닝 분석 알고리즘을 개발했다. 이를 탐지 단계를 거친 결과를 재차 ‘자동 판정’할 수 있도록 적용시키고 있다.

채영우 센터장은 “머신러닝 적용 이전에는 탐지 결과를 재차 분석하고, 대응까지 하는 것까지 리소스가 과도하게 사용됐다”며, “머신러닝을 적용시킨 후에는 이 같은 건수가 70%나 줄였다”고 말했다. 이어 “그만큼 줄어든 리소스를 위협 가능성이 높은 탐지 이벤트 분석에 집중시킨 결과, 전체적으로 관제서비스 품질을 개선하는 효과를 얻었다”고 강조했다.

SK인포섹은 작년 초 서울대학교와 산학협력을 체결하며, 알려지지 않은 지능형 공격을 탐지 단계에서 찾아내는 머신러닝 알고리즘 개발에 나선 바 있다. 그러나 탐지 단계에서 머신러닝을 적용하는 대신에, 탐지 결과의 효과 검증이 가능한 자동 판정에 우선 집중했다고 회사 측은 설명했다.

향후 SK인포섹은 인공지능 보안관제 시대를 열기위해 중장기 전략을 추진해나갈 계획이다. 즉 보안관제를 구성하는 사람(Expert), 프로세스(Process), 기술(Technology) 세 가지 요소를 고도화한다는 방침이다.

SK인포섹은 우선 인공지능 보안관제가 성공적으로 자리잡기 위해서는 다수의 보안 전문가들이 필요할 것으로 내다봤다. 위협 분석은 위협 인텔리전스와 머신러닝으로 점차 대체하고, 그 일에 투입됐던 보안 전문가들은 학습할 데이터셋(Data Set)을 구축하는 고난이도 업무에 집중시킨다는 계획이다. 이와 더불어 위협 정보를 수집하고, 탐지, 분석, 대응 과정에 이르는 관제 프로세스를 자동화시키기 위한 기술개발도 지속적으로 추진해나갈 예정이다.