닫기
Loading..

전자정보연구정보센터 ICT 융합 전문연구정보의 집대성

IT Daily

IT Daily

홈 홈 > IT Daily
제목 보안 관제 서비스, AI 적용으로 효율성 높인다
구분 커버스토리
기사일시 2019.03.31 16:29:21
기사링크 http://www.comworld.co.kr/news/articleView.html?idxno=49622

급증하는 보안 이벤트 처리 위해 머신러닝 적용

[컴퓨터월드] 4차 산업혁명 시대 핵심기술로 인공지능(AI)과 머신러닝이 부각되면서, 보안 업계도 AI를 접목하기 위한 방안을 모색하고 있다. 특히 보안 관제 서비스 및 보안관리 분야에서의 AI 도입이 두드러지고 있다. AI를 도입으로 보안 담당자의 업무 효율화를 도모하고 있는 것이다. 급증하는 보안 데이터 처리에 한계를 느끼고 있는 보안 담당자의 업무 부담을 AI를 통해 줄여주겠다는 것이다. 단순 반복적인 보안 업무 프로세스를 자동화하는 ‘보안 오케스트레이션 및 자동화(SOA: Security Orchestration & Automation)’가 주목받고 있는 것도 이런 이유에서다.

글로벌 기업은 물론, 국내 기업도 앞다퉈 SOA를 구현할 수 있는 방안을 모색하고 있다. 최근 보안 관제 서비스의 트렌드에 대해 알아봤다.


늘어나는 사이버 위협…보안 데이터도 증가

랜섬웨어, 지능형 지속 위협(APT), 분산서비스 거부(DDoS), 정보 유출 등 사이버 위협은 나날이 증가하고 있다. 특히 기존 공격방식은 물론, 알려지지 않은 새로운 위협들이 속속 출현하고 있다.

사이버 위협이 증가함에 따라 보안 장비에서 발생하는 보안 데이터 역시 기하급수적으로 늘어나고 있다. 이글루시큐리티에 따르면, 하루 평균 약 2억 5천 건 이상의 보안이벤트, 4,600여건의 경보 이벤트가 발생하고 있지만 사이트당 처리할 수 있는 보안 이벤트는 60여건에 불과하다. 이글루시큐리티는 보안 관제 인력이 하루에 수만 건의 보안 이벤트를 처리하지만, 기하급수적으로 증가하는 이벤트를 모두 모니터링하기에는 한계가 있다고 설명한다.

곽희선 안랩 서비스사업기획팀장도 “최근 몇 년간 보안 이벤트 증가량이 500~700% 이상 증가하는 등 보안 관제 업무가 늘어나고 있지만, 이에 맞춰 인력을 늘리는 것은 쉽지 않은 일이다. 때문에 과도한 업무로 인한 피로감이 쌓이는 등 휴먼 에러로 이어질 가능성이 높아지고 있다”고 설명했다.

이런 상황에서 한정된 시간, 인력, 자원으로 얼마나 효율적으로 보안 데이터를 분석하느냐는 보안 관제 기업들의 숙제가 되고 있다. 관제 기업들은 AI 및 머신러닝을 보안 관제 서비스에 적용함으로써 효율성을 향상시키고 있다. 또한 단순 보안 업무를 자동화하려는 움직임도 나타나고 있다.

기업들은 기존 보안 체계를 운영하기 위해 자체 보안팀을 두고 있기도 하지만, 관리 서비스를 받는 기업도 많다. 보안 관제 서비스는 IT 자원 및 보안 시스템에 대한 운영 및 관리를 대행하는 서비스를 말한다.

과거 공격자들은 기업 및 기관의 외부 경계를 뚫고 내부로 침입하는 것에 집중한 만큼, 전통적인 방식의 보안 관제는 기업 경계 방어에 중점을 뒀다. 방화벽, 침입탐지/방지시스템(IDS/IPS), 디도스 장비, 웹방화벽 등 네트워크 보안 장비 위주의 모니터링과 백신 사용을 통해 네트워크 경계를 넘는 공격시도를 탐지하고 막아내는 데 주력한 것이다.

그러나 경계 기반 보안관리 방식의 한계가 나타나기 시작하면서, 기업 전반에서 일어나는 모든 사용자의 행위와 이벤트를 통합적으로 관리해야할 필요성이 제기됐다. 인터넷에 연결된 기기와 앱, 인프라, 사용자 등이 급증하면서 공격자들이 뚫고 들어올 수 있는 기회와 가능성이 많아졌기 때문이었다.

이런 이유로 이기종의 보안 시스템을 단일 관제환경에서 관리하고, 다양한 보안 장비에서 생성되는 보안데이터를 수집해 분석하는 기업보안관리(ESM: Enterprise Security Management) 기반 보안 관제가 부각되기 시작했다. 다양한 경로를 통해 침투한 후 기업 내부의 시스템을 살펴보다가 목표로 삼은 정보를 유출시키거나 서비스를 무력화하는 공격에 맞서기 위해서였다.

하지만 ESM기반 관제 역시 보안 장비에서 발생하는 데이터에 대한 모니터링만 가능하다는 단점이 있었다. 다양한 장비에서 탐지되는 데이터뿐만 아니라, 악성코드에 대한 정보인 위협 인텔리전스(Threat Intelligence)를 결합한 연관 분석에 대한 필요성이 제기됐으며, 통합보안관리(SIEM: Security Information & Event Management) 기반 보안관제로 발전하게 됐다.

▲ 이글루시큐리티 ‘스파이더TM’ 시스템 구성도(출처: 이글루시큐리티)


최근에는 보안 관제에 AI 기술이 적용되는 경향이 나타나고 있다. 머신러닝 알고리즘을 통해 학습한 시스템이 방대한 보안 데이터를 자동으로 처리 및 분석하고, 이를 기반으로 지속적으로 학습한다는 개념이다. 한정된 시간과 자원으로 인한 보안 관리자들의 어려움을 해소하고, 알려지지 않은 위협도 탐지 및 대응한다는 것이다.


보안 관제 시장 3천억 원 규모 형성

최근 한국정보보호산업협회(KISIA)가 발표한 ‘2018 국내 정보보호산업 실태조사’에 따르면, 지난해 보안 관제 시장은 전년대비 9% 성장한 3,036억 원의 규모를 형성했다. 보안교육, 컨설팅, 보안 시스템 유지관리 등을 포함한 정보보안 관련 서비스 시장이 7,970억 원 규모를 형성한 것을 보면, 국내 정보보안 서비스 시장에서 보안 관제 서비스가 큰 비중을 차지하는 것을 알 수 있다.

▲ 2018년 국내 정보보안 산업 매출 현황(출처: KISIA)


보안 관리 솔루션 시장은 3,484억 원 규모로 조사됐다. 이는 전년대비 9% 성장한 수치다.

곽희선 안랩 팀장은 “KISIA 조사에 따르면, 보안 관제 시장은 약 3천억 원의 규모를 형성하고 있지만, 이는 이동통신사가 직접 서비스하는 관리 서비스 등이 포함된 것으로 보인다”면서 “실질적으로 보안 관제 서비스 전문 기업들의 시장은 400~500억 원 규모로 추정된다”고 말했다.

현재 국내에서 활동하고 있는 보안 관제 서비스 기업은 시큐아이, 안랩, SK인포섹, 윈스, 이글루시큐리티, 시큐레이어와 파이오링크 등이 있다. 국내 관제 서비스의 경우 크게, 원격관제와 파견관제 서비스로 나뉘고 있다.

원격 관제는 관제 서비스 기업 내 관제 센터에서 고객사의 보안 이벤트를 모니터링하고, 대응하는 방식이다. 파견 관제는 고객사가 구축한 관제 센터에 전문 인력을 파견해, 고객사의 보안 이벤트를 모니터링, 대응하는 방식이다.

최근 클라우드가 점차 확산되면서, 클라우드 보안과 함께 원격 관제 서비스가 빠른 속도로 성장하고 있다. 파견 관제 역시 자체 관제 센터 설립이 증가하면서, 시장 규모는 확대되고 있다.

SIEM, TMS 등 보안 관리 솔루션들은 주로 직접 관제 센터를 운영하고 있는 기업 및 기관을 대상으로 영업이 이뤄지고 있다. 보안 관리 솔루션은 ▲방대한 로그 데이터를 한곳에 수집·연계 분석하는 ‘로그 관리와 분석’ ▲보안 규제 준수 여부를 점검하는 ‘컴플라이언스 준수’ ▲보안 위협에 기민하게 대응하기 위한 ‘보안 관리 도구’ 등을 하나로 합친 형태로 제공돼, 국내에서는 일반적으로 보안관제 수행을 위한 솔루션으로 사용되고 있기 때문이다.


< 본 내용은 컴퓨터월드의 일부 내용입니다. 전체 기사는 상단 기사링크 클릭하세요. >