[컴퓨터월드] 4차 산업혁명 시대 핵심기술로 인공지능(AI)과 머신러닝이 부각되면서, 보안 업계도 AI를 접목하기 위한 방안을 모색하고 있다. 특히 보안 관제 서비스 및 보안관리 분야에서의 AI 도입이 두드러지고 있다. AI를 도입으로 보안 담당자의 업무 효율화를 도모하고 있는 것이다. 급증하는 보안 데이터 처리에 한계를 느끼고 있는 보안 담당자의 업무 부담을 AI를 통해 줄여주겠다는 것이다. 단순 반복적인 보안 업무 프로세스를 자동화하는 ‘보안 오케스트레이션 및 자동화(SOA: Security Orchestration & Automation)’가 주목받고 있는 것도 이런 이유에서다.

글로벌 기업은 물론, 국내 기업도 앞다퉈 SOA를 구현할 수 있는 방안을 모색하고 있다. 최근 보안 관제 서비스의 트렌드에 대해 알아봤다.

늘어나는 사이버 위협…보안 데이터도 증가

랜섬웨어, 지능형 지속 위협(APT), 분산서비스 거부(DDoS), 정보 유출 등 사이버 위협은 나날이 증가하고 있다. 특히 기존 공격방식은 물론, 알려지지 않은 새로운 위협들이 속속 출현하고 있다.

사이버 위협이 증가함에 따라 보안 장비에서 발생하는 보안 데이터 역시 기하급수적으로 늘어나고 있다. 이글루시큐리티에 따르면, 하루 평균 약 2억 5천 건 이상의 보안이벤트, 4,600여건의 경보 이벤트가 발생하고 있지만 사이트당 처리할 수 있는 보안 이벤트는 60여건에 불과하다. 이글루시큐리티는 보안 관제 인력이 하루에 수만 건의 보안 이벤트를 처리하지만, 기하급수적으로 증가하는 이벤트를 모두 모니터링하기에는 한계가 있다고 설명한다.

곽희선 안랩 서비스사업기획팀장도 “최근 몇 년간 보안 이벤트 증가량이 500~700% 이상 증가하는 등 보안 관제 업무가 늘어나고 있지만, 이에 맞춰 인력을 늘리는 것은 쉽지 않은 일이다. 때문에 과도한 업무로 인한 피로감이 쌓이는 등 휴먼 에러로 이어질 가능성이 높아지고 있다”고 설명했다.

이런 상황에서 한정된 시간, 인력, 자원으로 얼마나 효율적으로 보안 데이터를 분석하느냐는 보안 관제 기업들의 숙제가 되고 있다. 관제 기업들은 AI 및 머신러닝을 보안 관제 서비스에 적용함으로써 효율성을 향상시키고 있다. 또한 단순 보안 업무를 자동화하려는 움직임도 나타나고 있다.

기업들은 기존 보안 체계를 운영하기 위해 자체 보안팀을 두고 있기도 하지만, 관리 서비스를 받는 기업도 많다. 보안 관제 서비스는 IT 자원 및 보안 시스템에 대한 운영 및 관리를 대행하는 서비스를 말한다.

과거 공격자들은 기업 및 기관의 외부 경계를 뚫고 내부로 침입하는 것에 집중한 만큼, 전통적인 방식의 보안 관제는 기업 경계 방어에 중점을 뒀다. 방화벽, 침입탐지/방지시스템(IDS/IPS), 디도스 장비, 웹방화벽 등 네트워크 보안 장비 위주의 모니터링과 백신 사용을 통해 네트워크 경계를 넘는 공격시도를 탐지하고 막아내는 데 주력한 것이다.

그러나 경계 기반 보안관리 방식의 한계가 나타나기 시작하면서, 기업 전반에서 일어나는 모든 사용자의 행위와 이벤트를 통합적으로 관리해야할 필요성이 제기됐다. 인터넷에 연결된 기기와 앱, 인프라, 사용자 등이 급증하면서 공격자들이 뚫고 들어올 수 있는 기회와 가능성이 많아졌기 때문이었다.

이런 이유로 이기종의 보안 시스템을 단일 관제환경에서 관리하고, 다양한 보안 장비에서 생성되는 보안데이터를 수집해 분석하는 기업보안관리(ESM: Enterprise Security Management) 기반 보안 관제가 부각되기 시작했다. 다양한 경로를 통해 침투한 후 기업 내부의 시스템을 살펴보다가 목표로 삼은 정보를 유출시키거나 서비스를 무력화하는 공격에 맞서기 위해서였다.

하지만 ESM기반 관제 역시 보안 장비에서 발생하는 데이터에 대한 모니터링만 가능하다는 단점이 있었다. 다양한 장비에서 탐지되는 데이터뿐만 아니라, 악성코드에 대한 정보인 위협 인텔리전스(Threat Intelligence)를 결합한 연관 분석에 대한 필요성이 제기됐으며, 통합보안관리(SIEM: Security Information & Event Management) 기반 보안관제로 발전하게 됐다.

최근에는 보안 관제에 AI 기술이 적용되는 경향이 나타나고 있다. 머신러닝 알고리즘을 통해 학습한 시스템이 방대한 보안 데이터를 자동으로 처리 및 분석하고, 이를 기반으로 지속적으로 학습한다는 개념이다. 한정된 시간과 자원으로 인한 보안 관리자들의 어려움을 해소하고, 알려지지 않은 위협도 탐지 및 대응한다는 것이다.

보안 관제 시장 3천억 원 규모 형성

최근 한국정보보호산업협회(KISIA)가 발표한 ‘2018 국내 정보보호산업 실태조사’에 따르면, 지난해 보안 관제 시장은 전년대비 9% 성장한 3,036억 원의 규모를 형성했다. 보안교육, 컨설팅, 보안 시스템 유지관리 등을 포함한 정보보안 관련 서비스 시장이 7,970억 원 규모를 형성한 것을 보면, 국내 정보보안 서비스 시장에서 보안 관제 서비스가 큰 비중을 차지하는 것을 알 수 있다.

보안 관리 솔루션 시장은 3,484억 원 규모로 조사됐다. 이는 전년대비 9% 성장한 수치다.

곽희선 안랩 팀장은 “KISIA 조사에 따르면, 보안 관제 시장은 약 3천억 원의 규모를 형성하고 있지만, 이는 이동통신사가 직접 서비스하는 관리 서비스 등이 포함된 것으로 보인다”면서 “실질적으로 보안 관제 서비스 전문 기업들의 시장은 400~500억 원 규모로 추정된다”고 말했다.

현재 국내에서 활동하고 있는 보안 관제 서비스 기업은 시큐아이, 안랩, SK인포섹, 윈스, 이글루시큐리티, 시큐레이어와 파이오링크 등이 있다. 국내 관제 서비스의 경우 크게, 원격관제와 파견관제 서비스로 나뉘고 있다.

원격 관제는 관제 서비스 기업 내 관제 센터에서 고객사의 보안 이벤트를 모니터링하고, 대응하는 방식이다. 파견 관제는 고객사가 구축한 관제 센터에 전문 인력을 파견해, 고객사의 보안 이벤트를 모니터링, 대응하는 방식이다.

최근 클라우드가 점차 확산되면서, 클라우드 보안과 함께 원격 관제 서비스가 빠른 속도로 성장하고 있다. 파견 관제 역시 자체 관제 센터 설립이 증가하면서, 시장 규모는 확대되고 있다.

SIEM, TMS 등 보안 관리 솔루션들은 주로 직접 관제 센터를 운영하고 있는 기업 및 기관을 대상으로 영업이 이뤄지고 있다. 보안 관리 솔루션은 ▲방대한 로그 데이터를 한곳에 수집·연계 분석하는 ‘로그 관리와 분석’ ▲보안 규제 준수 여부를 점검하는 ‘컴플라이언스 준수’ ▲보안 위협에 기민하게 대응하기 위한 ‘보안 관리 도구’ 등을 하나로 합친 형태로 제공돼, 국내에서는 일반적으로 보안관제 수행을 위한 솔루션으로 사용되고 있기 때문이다.

MDR로 확장하는 글로벌 보안 관제 시장

우리나라는 물론 세계적으로 보안 관제 시장은 지속적으로 성장하고 있다. 가트너 자료에 따르면, 글로벌 보안관제 시장은 매년 10% 이상 성장하고 있다. 2016년 약 94억 달러 규모를 형성했던 보안관제 시장은 2017년은 15% 이상 성장한 112억 달러 규모로 확대됐으며 오는 2021년까지 연평균 11%이상 성장률을 기록할 것으로 전망된다.

시장 조사기관인 IDC 역시 보안 시장에서 가장 빠르게 성장하는 분야로 보안 관리 분야를 꼽았다. 최근 유럽연합(EU)의 개인정보보호규정(GDPR: General Data Protection Regulation) 등 전 세계적으로 컴플라이언스 준수의 중요성이 부각되고 있으며, 클라우드가 확산됨에 따라 보안 관리 시장도 부상할 것이라는 전망이다.

최근 몇 년간 글로벌 보안 관제 시장에서는 ‘매니지드 탐지 및 대응(MDR: Managed Detection & Response)’ 개념이 강조되고 있다. MDR의 개념은 복잡한 보안 분석은 보안 전문가에게 맡긴다는 것이다. MDR은 사이버위협이 지능화 및 대형화되고 사용하는 보안 솔루션 수가 많아짐으로 인해 기업에서 효율적이고 효과적으로 사이버위협과 침해를 탐지·대응하는 데 한계가 나타나면서 대안으로 나온 개념이다.

고도화되는 사이버 위협에 대응하기 위해 보안 솔루션 도입과 전문 직원 채용에 어려움을 겪는 기업들이 다양한 보안 기능과 컨설팅 서비스를 제공하는 관리형 서비스에 눈을 돌리고 있다는 설명이다. MDR 서비스를 제공하는 글로벌 기업들은 MDR 서비스를 위협 인텔리전스와 빅데이터·AI 등이 적용된 탐지 및 분석 기술에 기반한 서비스라고 설명하고 있다.

곽희선 안랩 서비스사업기획팀장은 “글로벌 보안 관제 시장의 트렌드는 AI, 머신러닝이 적용된다는 것도 있지만, MDR 시장까지 확장되는 경향이 나타나고 있다”면서 “국내 시장과 비교해보면, 국내에서는 아직 본격적으로 MDR 서비스가 출시되고 있지는 않다. 아직까지는 국내 시장에서 MDR 서비스를 제공하기에는 인프라 및 보안 관제 기업의 준비사항 등이 부족하다고 생각된다”고 말했다.

위협 인텔리전스 및 AI·머신러닝으로 대응 능력 강화

국내 시장에서도 보안 관제에 AI 기술을 적용하려는 움직임이 활발하다. 기하급수적으로 증가하는 보안 이벤트와 오탐 및 미탐 경보를 한정된 시간 안에 정확히 가려내 대응하고, 시그니처 기반 보안 장비로는 탐지가 어려운 제로데이 위협에 대한 가시성을 높이기 위해서다.

이글루시큐리티는 최근 자사 SIEM 솔루션 ‘스파이더TM’에 AI 기술을 적용한 ‘스파이더TM AI에디션’을 출시했다. 이글루시큐리티 관계자는 “공격에 대한 대응력을 높이고 보안관제의 효율성을 높이기 위해, 분석 결과 도출을 위해 요구되는 수많은 요소들(솔루션, 절차, 위협 정보 등)을 하나의 과정으로 묶어 프로세스화하고, 이 중 단순 반복적인 프로세스는 자동화하는 ‘보안 오케스트레이션 및 자동화(Security Orchestration & Automation)’ 역시 부각되고 있는 추세”라고 설명했다.

<아이티데일리 2019년 2월 27일자 기사> 이글루시큐리티, AI 보안관제 솔루션 ‘스파이더TM AI에디션’ 출시 머신러닝 기반 경보 분석 및 이상행위 탐지 기능 적용 이글루시큐리티(대표 이득춘)는 최근 AI 보안관제 솔루션 ‘스파이더TM AI에디션(SPiDER TM AI Edition)’ 상용화 버전을 공개했다. ‘스파이더TM AI에디션’은 정상/비정상 이벤트에 대한 지도 학습을 통해 보안 이벤트 중 우선 처리해야 할 고위험 이벤트를 선별해냄으로써, ‘경보 분석(Incident analysis)’의 효율성을 높일 수 있다. AI 시스템이 내놓은 결과에 분석가의 피드백을 반영하는 프로세스를 통해 모델을 지속적으로 개선함으로써, 오탐 이벤트 수를 줄이고 분석 시간을 단축시키며 보안관제 역량을 상향시키는 효과를 얻을 수 있다. 또한 이상 행위·공격자 특성 등에 대한 비지도 학습을 통해, 알려지지 않은 보안 위협에 대한 대응력도 한 단계 높일 수 있다. 양질의 학습 데이터를 통해 검증된 이상치 탐지 알고리즘을 활용, 이상행위를 판별(Anomaly Detection)함으로써, 미탐을 최소화하고 복합적인 위협에 대한 폭넓은 가시성을 확보할 수 있다. 이글루시큐리티는 ‘스파이더TM AI에디션’에 머신러닝 알고리즘 학습을 위한 80개 이상의 위협 탐지 모델과 220개 이상의 이상행위 특징(Feature)을 적용했다. 보안 관리자들은 경보 분석과 이상행위 탐지를 통해 도출된 위협 요소를 통합적으로 분석하는 ‘위협 인사이트(Threat Insight)’를 통해, 알려진/알려지지 않은 위협에 대한 의미 있는 정보를 확인할 수 있다. 김미희 이글루시큐리티 보안분석팀장은 “오늘날 보안 관리자들은 보안 이벤트 증가와 함께 늘어나고 있는 오탐을 최소화해 경보 처리 시간을 단축시키고, 룰 기반 보안 장비로는 탐지하기 어려운 알려지지 않은 보안 위협에 대한 가시성을 높여야 하는 막중한 부담에 직면하고 있다. 하지만 방대한 보안 경보를 실시간 분석하고 변칙 활동 및 이상 행위를 찾아내기 위한 인력, 시간, 자원은 절대적으로 부족한 상황”이라며 이번에 발표한 ‘스파이더TM AI에디션’이 이런 문제를 해결할 수 있다고 주장했다. 조창섭 이글루시큐리티 부사장은 이글루시큐리티의 중장기 AI 로드맵도 소개했다. 조창섭 부사장에 따르면, 앞서 구축한 AI 표준 플랫폼을 토대로 위협 예측에서 거버넌스까지 모든 보안 단계에 인공지능을 적용하는 차세대 AI 기반 SOC를 구현하는데 중점을 둔다는 전략이다. 진화하는 사이버 위협에 보다 기민하게 대응할 수 있는 사이버 대응체계 고도화를 위해, 선제적 예측 및 예방, 행위 기반 이상행위 탐지 고도화, 보안 오케스트레이션 및 자동화, 위협 헌팅, 데이터 사이언스 기반 분석 및 정책 최적화 등의 기술을 단계별로 적용한다. 조창섭 부사장은 “AI 보안관제는 보안관제 솔루션, 보안전문가, 보안관제방법론의 3요소가 유기적으로 결합될 때 가장 큰 효율성을 발휘할 수 있다”면서, “이글루시큐리티는 양질의 학습 데이터를 지속적으로 만들어낼 수 있는 전문 보안 인력을 확보하고 있고 보안관제 역량을 끌어올릴 수 있는 보안관제방법론 개발과 개선에도 오랜 시간 힘을 기울여왔으며, 이번에 선보이는 AI 보안관제 솔루션 ‘스파이더TM AI에디션’을 통해 보안관제의 효율성을 극대화하겠다”고 말했다.

이글루시큐리티 외에도, 시큐아이는 IBM과 협력을 통해 AI 보안 관제 서비스를 제공하고 있으며, SK인포섹도 보안 관제 플랫폼 ‘시큐디움(Secudium)’으로 AI 보안 관제에 적극적으로 나서고 있다. SK인포섹은 보유하고 있는 위협 정보, 소속 보안 전문가(CERT)의 분석 노하우, 글로벌 보안기업과 공유하는 위협 인텔리전스 등 양질의 정보를 학습하는 머신러닝 분석 알고리즘을 개발했다. 탐지 단계를 거친 후, 대응 조치를 하기 이전 단계에서 ‘자동 판정’ 할 수 있도록 적용시켰다.

SK인포섹 관계자는 “머신러닝 도입 이전에는 탐지 결과를 최종 분석하고 대응하기 위한 리소스 사용이 과도하게 많았다”면서, “머신러닝 도입 후에는 오탐 비율을 70%나 줄이며 효율적인 대응이 가능해졌다. 업계에서도 보안관제 솔루션에 머신러닝 기술을 활용해 지능형 위협 분석 효율을 높이거나, 분석 결과를 보강할 것으로 보인다”고 말했다.

이런 트렌드에 대해 곽희선 안랩 팀장은 “보안 이벤트가 많다보니 보안 관제 인력이 놓치는 부분이 발생한다. AI 적용은 이런 휴먼 에러를 최소화하려는 목적이 가장 크다”라면서, “보안 인력의 효율성 증대라는 부분만 봐도 관제 서비스에 머신러닝 기술은 꼭 도입해야 하는 기술이 될 것이다. 여기에 더불어 단순 보안 업무를 자동화해주는 ‘SOAR(보안 오케스트레이션 및 자동화, 대응)’ 솔루션도 점차 도입되기 시작할 것”이라고 설명했다.

<인터뷰> 안랩, SOAR 솔루션 ‘안랩 세피니티 에어’ 출시 곽희선 안랩 서비스사업기획팀장 “보안 관제 서비스, 자동화 기술 도입은 필연” “국내 보안 관제 서비스는 99년 안랩이 투자했던 코코넛이 최초로 시작했다”고 보안관제서비스에 대해 설명을 시작한 곽희선 안랩 서비스사업기획팀장은 “보안 관제 서비스에서 머신러닝 기술 도입은 필연”이라고 강조했다. 곽희선 팀장은 “이벤트가 너무 많이 발생하다보니, 숙련된 보안 전문가라도, 놓치는 부분이 발생할 수 있다. 지난 3~4년간 보안 이벤트는 500~700% 이상 증가했으며, 이를 관제 인력이 모니터링하다 보면, 피로감 등 다양한 이유로 휴먼 에러가 발생할 확률이 높아진다”면서, “이에 기계가 대신할 수 있는 방안으로, AI 및 머신러닝이 접목되고 있다”고 설명했다. 이어 곽 팀장은 “보안 이벤트 탐지도 중요하지만, 이후 어떻게 보안 업무를 처리할 것인가도 중요하다. 보안 이벤트 발생 시 특정 담당자에게 알림을 주는 등 업무 처리 시스템은 꼭 필요하다”면서, “최근에는 업무 처리 시스템에서 단순 업무를 자동화하는 SOAR 솔루션이 주목받고 있다”고 말했다. 안랩, SOAR 솔루션 ‘안랩 세피니티 에어’ 출시 곽희선 팀장은 “보통 보안 관제 업무의 70%는 이전에 발생했던 이벤트다. 이 70% 이벤트 처리를 자동화할 수 있다면, 나머지 30% 이벤트 분석에 집중함으로써 보안 관제 인력의 업무를 효율화할 수 있다”고 강조했다. 이어 “기존의 SIEM과 같은 보안 관리 솔루션들은 모니터링 역할을 했으며, 분석과 대응은 보안 담당자의 몫이었다. 이 분석과 대응 부분에 자동화할 수 있는 과정이 많다”며, “기존에는 로우데이터부터 보안 관제 인력이 확인해, 보고서를 작성하는 등 각종 작업이 많았다. 관제요원이 탐지부터 대응까지 20분이 걸렸다고 한다면, SOAR 솔루션을 이용해 자동화할 경우 5분 이내로 감소시킬 수 있다. 그만큼 업무를 효율화 시킬 수 있다는 것”이라고 설명했다. 안랩은 최근 서울 양재 엘타워에서 ‘안랩 시큐리티 서밋 2019(AhnLab Security Summit 2019)’를 개최하고, 보안 운영 플랫폼 ‘안랩 세피니티 에어(AhnLab Sefinity AIR: Advanced Incident Response)’를 출시했다. ‘세피니티 에어’는 ▲안랩의 축적된 보안관제 노하우를 집약해 위협 종류, 상황별 대응 프로세스를 표준화한 ‘플레이북(Playbook)’ 제공 및 대응 자동화 ▲전체적 관점의 보안 운영(Orchestration)을 위한 안랩 엔드포인트 솔루션 및 주요 보안 솔루션과 연동 기능 ▲위협종류 분별 및 정오탐 식별을 자동화하는 머신러닝 기반 ASA(Advanced Security Analytics) 엔진(향후 제공 예정) 등의 주요 기능을 제공한다. 또 보안/비보안 솔루션 연동으로 수집되는 다양한 영역의 보안 위협 데이터를 하나의 화면에서 탐색하고 처리할 수 있고 고객사별 환경에 맞게 프로세스를 최적화할 수도 있어 전반적인 보안 위협 대응과 운영 업무의 효율성을 높일 수 있다. 곽 팀장은 “SOAR 솔루션인 ‘안랩 세피니티 에어’는 SIEM 솔루션과 직접적으로 연동이 필요하며, 업무처리시스템, 메일 및 메시징 시스템 등과 연동이 필요해, 고객사별 커스터마이징이 필요하다”라고 설명하면서, “안랩은 자체 관제 센터를 운영하는 기업을 타깃으로 ‘세피니티 에어’ 영업을 추진할 계획이며, 솔루션을 공급하기 전에 탐지, 분석, 대응, 보고로 구성된 보안 관제 워크플로우를 명확히 할 수 있도록 컨설팅도 지원할 계획”이라고 말했다. 그는 ‘안랩 세피니티 에어’의 장점으로 “안랩의 보안 관제 업무 처리 노하우가 반영돼 있으며, 국산 솔루션과의 연동도 가능하다”라면서, “글로벌 SOAR 제품의 영업이 활발하지만, 국내 구축사례는 아직 많지 않다. 국내 보안 솔루션과의 연동이 문제가 될 수도 있지만, 국내 보안 업무를 자동화하는 것에 대한 이해도의 차이도 있는 것으로 보인다”고 설명했다.

이와 더불어 국내에서는 양질의 보안 데이터를 얻기 위한 위협 인텔리전스 공유도 활발해지고 있다. SK인포섹은 글로벌 사이버 위협 연합(CTA)에 가입해 위협 정보를 공유하고 있다. 최근 국내에서는 보안 기업간 협력도 추진되고 있다.

조학수 윈스 부사장은 “빅데이터가 떠오르면서 국내에서도 기업간 위협 인텔리전스를 공유·통합하려는 움직임이 활발해지고 있다”면서, “최근 과기정통부 과제로 스틱스(STIX: 구조화된 위협 정보 표기)와 택시(TAXII: 사이버 위협정보 전송 규격)에 맞춘 표준화 작업이 추진되고 있다”고 설명했다.

조학수 부사장에 따르면, 국내에서도 보안 관제를 통해 수집·분석한 데이터로 정책을 수립하고, 다양한 이기종 보안 장비에 일관된 정책을 적용하기 위한 기업간 협력이 추진되고 있다. 특히 이기종 보안 솔루션 간의 연동과제는 올해 실증단계에 접어들었으며, 이후에 제품화될 것으로 보인다.

클라우드 관제 시장도 개화

올해 국내 공공 및 금융권을 중심으로 클라우드 전환이 본격화 될 것으로 전망됨에 따라 보안 업계도 클라우드에 많은 관심을 보이고 있다. 보안 관제 서비스 기업도 예외는 아니다. 기존 보안 관제 서비스가 보호하던 인프라 자체가 클라우드로 이전되면서, 보안 관제의 초점도 클라우드로 확장되고 있는 추세다.

2016년부터 클라우드 보안 관제를 제공하고 있는 안랩은 최근들어 클라우드 관제 부문 매출이 크게 성장하고 있는 것으로 알려지고 있다. 곽희선 안랩 팀장은 “클라우드로 인프라가 이전되면서, 관제의 영역이 변하고 있다”며, “클라우드 관제는 기존의 서비스와 차이가 있다. 더불어 서비스형 인프라(IaaS: Infrastructure as a Service)와 서버리스 환경으로 발전하면서 보안 솔루션이 끼어들 여지가 줄어들고 있다”고 설명했다.

이어 곽 팀장은 “그럼에도 클라우드 내에서 보안 사고를 대비해야 한다”면서 “보안 관제 서비스 기업이 어떻게 클라우드 보안 관제 전략을 수립하느냐에 따라 향후 판도가 달라질 것으로 보인다”고 말했다.

안랩은 SOAR 제품을 중심으로 사업을 추진하는 한편, 클라우드 관제 서비스도 더욱 확대한다는 전략이다. 최근에는 클라우드 관제에 중점을 두고 교육 및 투자를 진행하고 있는 것으로 알려졌다. 곽 팀장은 “현재 아마존웹서비스(AWS), MS 애저, IBM 클라우드 등 클라우드 환경에서 보안 관제 서비스를 제공하고 있으며, 올해 지원하는 클라우드 서비스를 더욱 확대할 계획”이라고 강조했다.

SK인포섹도 본격적으로 클라우드 보안 관제 서비스 시장을 공략한다. SK인포섹은 지난달 초 진행된 ‘전자정부 정보보호 솔루션 페어’에서 ‘클라우드 접근 보안 중계(CASB: Cloud Access Security Broker)’ 서비스를 선보이는 한편, 아마존웹서비스(AWS)를 사용하고 있는 고객에 대한 클라우드 기반 보안 관제, 클라우드 기술(SDN/NFV)을 활용한 주문형 정보보안 서비스 ‘TON’, 클라우드 저장 방식의 CCTV 서비스 ‘뷰가드 클라우드’ 등을 전시했다.

SK인포섹은 AWS 웹 애플리케이션 방화벽 서비스 사용자를 대상으로 보안 관제 서비스를 제공하고 있다. SK인포섹은 이 서비스를 통해 ▲AWS WAF 모니트렁 전용 대시보드 ▲이벤트 알림 ▲로그 관리 ▲월간 리포트 발행 ▲WAF 룰(Rule) 컨설팅/개발 지원 등을 제공한다.

이 외에 삼성SDS도 자사의 기술과 경험이 축적된 ‘클라우드 보안 토털 서비스’를 발표하고, 이를 통해 클라우드 사업 경쟁력을 강화한다고 밝힌 바 있다. 삼성SDS의 AI기반 클라우드 보안 관제 서비스는 삼성SDS가 축적한 보안 위협정보(Threat Intelligence)에 AI기술을 적용, 모든 네트워크 트래픽을 분석해 사이버 공격을 자동으로 탐지하고 공격 차단 등 필요한 조치를 수행한다. 이 서비스의 특징은 클라우드의 장점인 오토스케일링을 지원한다는 것으로, 클라우드 자원 변동에 실시간으로 대응해 보안 관제의 공백시간을 최소화한다.

인력·솔루션·방법론, 유기적으로 결합해야

관제 서비스 시장은 연평균 7% 이상 지속적으로 성장할 것으로 전망된다. 보안 관리 솔루션 시장도 교체 수요 등으로 인해 꾸준한 성장이 예측된다.

관제 시장의 관건은 인력 공급에 있다. 시장 규모가 성장하는 것에 비해, 인력 공급이 부족하다는 것이다. 더불어 주52시간 근무제 시행은 관제 서비스 시장에도 영향을 미치고 있다. 특히 사이버위협경보단계가 상향 발령될 시 비상 근무에 대한 문제도 제기되고 있다. 또한 인력의 양극화 문제도 지적되고 있다. 고객사의 눈높이는 높아지고 중간인력은 없어져, 고급 인력과 초급 인력으로 양극화될 것이라는 지적이다.

조학수 부사장은 “인력의 양극화 문제 등을 해결해줄 수 있는 것이 AI 보안 관제”라면서, “AI가 적용된 보안 관제는 인력의 간극을 줄이는 데 초점이 맞춰질 것”이라고 말했다. 이어 “최근 시장의 요구에 따라 외부 위협 인텔리전스와 내부 정보를 결합한 관제 서비스를 제공하게 될 것으로 보인다”고 전망했다.

이글루시큐리티 관계자는 “AI 보안 관제는 ▲솔루션 ▲전문가 ▲방법론 등 3요소가 유기적으로 결합될 때 가장 큰 효율성을 발휘할 수 있다”면서, “먼저 의미 있는 정보를 수집·선별·분석할 수 있고, 보안에 특화된 머신러닝 알고리즘이 적용된 보안관제 솔루션이 마련돼야 한다”고 말했다.

이어 “양질의 학습 데이터를 지속적으로 만들어낼 수 있는 전문 보안 인력 역시 필수적으로 요구된다. AI 보안관제 시스템이 학습하는 데이터가 AI가 내놓는 결과물의 수준을 좌우할 수 있기 때문”이라면서, “보안관제 역량을 끌어올릴 수 있는 보안관제방법론 역시 중요하다. 보안관제 업무를 수행하는 것과 이를 가장 효과적으로 수행하기 위한 체계·절차를 만드는 것에는 명확한 차이가 있고, 어떤 방법론을 적용하느냐에 따라 보안관제의 수준이 달라질 수 있기 때문”이라고 말했다.