- IBM, 보안 인텔리전스·SIEM에 ‘왓슨’ 적용, ‘코그너티브 보안’ 전략 본격화
- 시만텍, DLP·보안관제시스템·IoT 보안에 머신러닝 활용, 스플렁크도 관련업체 인수

[디지털데일리 이유지기자] “인공지능(AI) 기술이 보안 분야에 활용하는 사례가 증가할 것이다.”

IBM이 2016년 주요 보안 트렌드 가운데 하나로 보안 분야에서 인공지능 활용 증가를 예측했다.

한국IBM은 ‘2016년 7대 보안 트렌드’로 ▲조직화된 사이버범죄, 비즈니스 전환 집중 ▲랜섬웨어 공격 지속 ▲사물인터넷 보안(IoT) 이슈 현실화 ▲클라우드 보안 본격화 ▲블록체인 등 차세대 보안 기술 활용과 위협 증가 ▲보안 분야 오픈소스 활용 증가와 함께 ▲보안분야에 있어 인공지능 활용이 증가될 것으로 지목했다.

연말·연초 다양한 보안업체·전문가그룹에서는 새해 보안위협 동향이나 시장 관련 전망을 내놓는다. IBM이 제시한 트렌드에도 포함된 랜섬웨어, IoT, 클라우드, 차세대 기술 활용 등은 올해 나온 각종 보안 전망 자료에서 단골로 등장했지만 인공지능 기술 활용을 꼽은 사례는 IBM 외에는 없다.

다만 시만텍은 지난 2014년 말에 사이버범죄전 판도를 바꿀 핵심 요소로 ‘머신러닝(기계학습)’이 부상할 것이라고 전망한 바 있다. 머신러닝은 딥러닝(deep learning)의 한 형태로, 인공지능의 첫 단계다.

시만텍은 이 기술이 사이버공격에 대한 예측과 탐지율을 높여준다는 측면에서 보안기업들이 사이버 공격에 한발 앞서 대비할 수 있게 해줄 것이고, 나아가 사이버 범죄의 판도를 바꾸는 핵심 기술이 될 것으로 예측했다.

인공지능은 빅데이터를 학습하고 추론하며 인간과 상호작용을 수행하며 계속 진화하는 시스템이다. 방대한 정보량, 복잡성, 비예측성 등을 해결할 수 있는 기술로 꼽힌다.

매일 새로운 위협이 100만개 이상 출몰하고 있고 보안 솔루션을 우회하면서 적법한 권한을 획득해 목적한 바를 달성하는 정교한 사이버공격 환경에서는 지능적인 위협 탐지와 분석, 대응, 향후 예측을 위해 보안 분야에서도 필요한 기술이다.

이를 올해 주요 트렌드로 선정한 IBM은 실제로 인공지능 기술 활용에 선도적으로 나서고 있다.

‘왓슨(Watson)’으로 대표되는 인공지능 분야 투자에 오랜 기간 주력해 왔고, 최근에는 이를 인지 컴퓨팅이라는 의미의 ‘코그너티브 컴퓨팅(Cognitive Computing)’이라는 용어를 사용하면서 관련사업을 강화하고 있다.

작년 10월 IBM은 미국 라스베이거스에서 열린 ‘IBM 인사이트 2015’ 행사에서 ‘코그너티브 비즈니스’를 전 사업영역으로 확대한다고 발표했다. 올 초 열린 ‘CES2016’ 행사 기조연설자로 나온 지니 로메티 IBM 회장은 ‘코그너티브 비즈니스’ 시대의 도래를 알리며 다양한 산업에서 시도되고 있는 코그너티브 상용화 사례를 소개하기도 했다. IBM은 코그너티브 비즈니스가 모든 것이 연결돼 수많은 데이터가 생성되는 초연결 IoT 시대에서 큰 기회를 창출할 것으로 예상하고 있다.

‘코그너티브 컴퓨팅’은 모든 디지털 애플리케이션, 제품, 프로세스, 시스템 등에 코그니션(Cognition), 즉 일종의 사고 능력(이해, 추론, 학습)이 구현된다는 것이 핵심이다. 이를 바탕으로 각 산업영역은 엄청난 혁신과 가치 있는 서비스를 제공할 수 있다는 기대효과를 내세운다.

현재 발생하고 있는 데이터의 80% 이상이 이미지, 영상 등의 비정형 데이터이므로 기존의 데이터 처리방식으로는 의미 있는 통찰력을 얻기 어려운 시대가 됐다는 게 IBM의 얘기다. 때문에 자연어 처리와 사고 능력이 구현되는 ‘코그니션’이 필수 불가결한 시대가 도래했다는 것이다. 이는 초연결 IoT 시대가 도래하면서 활용이 확대될 것으로 예상된다.

이같은 기술을 보안에 접목하면 더욱 지능적이고 고도화된 보안위협 분석과 예측, 대응이 가능해진다.

코그너티브 비즈니스를 전사 차원에서 강화하고 있는만큼 보안 분야에서도 관련연구도 활발히 추진하고 있는 상황이다.

한국IBM은 지난 26일 가진 기자간담회에서 올해 주력할 보안 전략으로 IoT 보안, 클라우드 보안과 함께 ‘코그너티브 보안’을 꼽았다.

‘코그너티브 보안’은 고급(Advanced) 분석 기술을 활용해 위험을 분석하고 예방하고 공공·민간 분야에서 발생한 사이버 위협 정보를 서로 공유하는데 활용할 수 있다.

IBM은 작년 5월부터 ‘왓슨’을 보안 인텔리전스 플랫폼인 IBM X-포스 익스체인지(X-Force Exchange)에 적용해 운영하고 있다.

왓슨 기반의 X-포스 익스체인지에서 공유된 사이버 공격 정보를 분석해 기업이 직면할 수 있는 보안 위협을 미리 확인하고 대비할 수 있도록 코그너티브 보안 전략을 대폭 강화할 예정이다.

또 미국 인지보안 분야 스타트업인 스파크코그니션(Sparkcognition)과 협력해 이 회사의 SIEM 솔루션에 왓슨을 접목했다. 이를 기반으로 스파크코그니션은 위협 탐지·분석 기능을 고도화를 추진하고 있다.

한국IBM 보안사업본부 신호철 상무는 ‘코그너티브 보안’ 전략에 주력한다는 계획을 밝히면서 “인지·학습·추론 능력이 핵심인 ‘코그너티브 컴퓨팅’을 보안에 접목하면 사건(incident)에 대한 인지 능력을 갖추는 것에서 나아가 이를 학습하고 추론하는 능력까지 더해 소위 ‘보안전문가시스템’을 구축할 수 있다”고 말했다.

‘코그너티브 보안’은 결국 사람처럼 데이터를 이해하고 추론, 학습하는 기술을 바탕으로 정교한 위협을 탐지하고 아직 나타나지 않은 잠재적인 위협까지 분석·예측·대응할 수 있을 것으로 보인다. ‘보안전문가시스템’이란 말은 ‘보안전문가(사람)’처럼 사고하는 보안관리체계를 구현한다는 의미로 해석될 수 있다.

IBM은 가장 먼저 보안관리·관제 영역에 접목을 시도하고 있다.

신 상무는 “그동안은 정해진 패턴과 룰(Rule)을 갖고 대응해 왔다. 코그너티브 보안을 활용하면 그동안 보지 못했던 위협을 볼 수 있고 대응할 수 있을 것”이라며 “코그너티브 기반 보안은 시작 단계에 있다”고 설명했다.

박형근 한국IBM 실장도 “일차적으로는 관제영역에 접목하고 있다”며 “IoT와 클라우드 환경에서는 수많은 데이터가 생성되는데 이상징후를 사람이 지켜보면서 정해진 룰(Rules)을 기반으로 탐지하는 것이 점차 버거워질 것”이라고 내다봤다.

또한 박 실장은 “사람이 하던 것을 인공지능을 활용해 인지, 학습해 자동으로 고도화하게 되면 보안위협을 더욱 빨리 탐지해 대응할 수 있게 될 것”이라며 “활용 범위가 어느 정도 될 것인지가 문제일 뿐 인공지능은 반드시 활용될 것”이라고 전망했다.

보안전문업체로는 시만텍이 인공지능 관련기술을 선도적으로 활용하고 있다.

시만텍은 이미 지난 2011년에 발표한 데이터 유출방지 솔루션인 ‘DLP 11’ 버전에 업계 최초로 머신러닝 기술(VML)을 적용했다. 머신러닝 기술을 활용해 DLP 솔루션이 핵심정보의 위치를 파악하고 분류하는데 사용하는 ‘핑거프린팅’, ‘데이터정의’ 등과 같은 탐지기술 한계를 극복, DLP 제품을 차별화했다.

시만텍의 VML(Vector Machine Learning) 기술은 데이터 고유의 특성을 이해해 민감한 데이터와 그렇지 않은 데이터간의 미묘한 차이를 파악하기 위해 샘플 문서를 사용해 학습하는 과정을 거친다. 기밀정보와 중요하지 않은 데이터 샘플을 지속 활용하기 때문에 시간이 지날수록 정확성을 높이게 된다. 따라서 별도로 키워드 기반 정책을 생성하거나 신규 문서 생성에 따른 핑거프린트 생성 과정을 불필요하게 만든다.

아울러 시만텍은 사이버보안서비스 제공을 위해 전세계 곳곳에 구축한 보안운영센터(SOC)의 보안관제·위협분석 플랫폼에도 인공지능 기술을 접목해 운영하고 있다.

뿐만 아니라 시만텍은 IoT 보안 레퍼런스 아키텍처의 중요한 요건으로 ▲IoT 통신 보안과 ▲기기보안 외에 ▲지속적인 기기 보안관리 방안 ▲고도의 분석 역량을 통한 시스템 자체의 인지 역량을 지목하면서 관련기술 제공 가능성을 시사했다. 시스템 자체를 이해하기 위해서는 머신러닝 등을 구동해 스스로 학습하고 분석할 수 있는 역량이 필요하다는 것이 시만텍의 설명이다.

실제로 시만텍은 IoT 보안 애널리틱스(분석) 기술을 개발, 현재 베타버전을 제공하고 있다.

윤광택 시만텍코리아 상무는 “DLP 외에 머신러닝, 인공지능 기술을 보안관제 플랫폼에 적용해 보이지 않았던 위협과 비이상 트래픽을 탐지하는데 활용할 수 있다. IoT 분야와 관련해서도 IoT 서비스 제공업체들의 데이터센터에 수집되는 데이터를 기반으로 이상징후를 탐지하는 경우, 머신러닝 엔진을 사용한다”고 설명했다.

이밖에도 빅데이터 분석 플랫폼 업체인 스플렁크는 지난해 머신러닝 기술을 활용해 공격자의 행동패턴을 분석하는 보안업체인 캐스피다를 인수했다. 캐스피다의 기술을 결합해 스플렁크는 빅데이터 분석 기반의 보안 분석 역량을 한층 강화할 수 있게 됐다.

<이유지 기자>yjlee@ddaily.co.kr