Home > 전체기사

올바른 행동 분석 알고리즘이 기업의 안전 좌지우지 한다

  |  입력 : 2022-06-13 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행동을 분석하여 위협을 탐지하는 접근법이 점점 중요해지고 있다. 기존처럼 특정 패턴과 규칙을 통해 위협을 찾아내는 것의 효과가 줄어들고 있기 때문이다. 마침 인공지능의 발전이 눈이 부셔 행동 분석 기술이 덩달아 강력해지고 있다.

[보안뉴스 문가용 기자] 사이버 공격이 점점 고도화 됨에 따라 섹옵스(SecOps) 팀이 느끼는 부담은 점점 커지고 있다. 공격자들이 빠르고 교묘함에 움직이니 방어자들도 탐지와 대응에 걸리는 시간을 단축해야 하는데, 이 책임이 고스란히 섹옵스 팀에 넘어가고 있는 것이다. 그래서 행동 분석을 기반으로 한 위협 탐지, 수사, 대응(TDIR)의 기능을 전부 갖춘 보안 운영 플랫폼을 활용하는 팀들이 늘어나는 중이다. 


플랫폼을 잘 선택하고 잘 활용하면 오탐을 줄이고, 내부자 위협을 보다 빠르게 탐지하며, 제로데이 공격에 대한 반응의 속도도 훨씬 높일 수 있다. 하지만 행동 분석 기술이라고 해서 모두 똑같은 기능을 가진 건 아니다. 이번 글에서 필자는 세 가지 질문을 통해 행동 분석 기술이 반드시 갖춰야 할 특징 혹은 강점을 짚어보려 한다.

세 가지 질문으로 넘어가기 전에 먼저 행동 분석이라는 것이 무엇인지 대략적으로 정의하고, 위협 탐지에 있어서 행동 분석이 어떤 역할을 하는지 먼저 정리해보려 한다. 좋은 행동 분석 시스템은 알려진 취약점을 찾아낼 뿐만 아니라 알려지지 않은 위협들도 탐지할 수 있다. 행동 분석 시스템은 네트워크와 애플리케이션, 클라우드와 사용자, 장비가 서로 어떤 식으로 작용하고 움직이고 활동하는지를 관찰하고 학습하며, 이를 통해 정상적인 움직임과 비정상적인 움직임을 구분해낼 수 있게 된다. 보통 머신러닝을 기반으로 하고 있다.

1. 규칙을 기반으로 한 행동 분석을 사용하나, 머신러닝 모델을 기반으로 한 행동 분석을 사용하나 차이가 있을까?
당연하다. 처음 구매를 했을 때나 별 다른 사건이 터지지 않을 때 규칙 기반 행동 분석 알고리즘이나 머신러닝 기반 행동 분석 알고리즘이나 비슷해 보이는 것이 사실이다. 하지만 이 둘은 너무나 다르며, 절대로 같은 효과를 발휘하지 않는다. 

규칙 기반 탐지 모델에도 머신러닝을 기반으로 한다는 설명이 붙긴 하는데, 사실은 그렇지 않다. 인공지능의 일종이긴 하지만 미리 설정된 입력값에 따라 결과물이 나오도록 하는 것으로, 맥락이나 상황을 전혀 계산식에 넣지 않는다. 그러므로 미리 설정된 조건들이 맞아 떨어지면 경보가 곧바로 울리는데, 역시 각종 상황에 따른 변수는 고려 대상이 되지 않는다. 그렇기 때문에 확장성 면에서 부족하고, 서비스 제공자가 꾸준히 업데이트를 해야 한다. 그러므로 용량도 갈수록 커지는 것이 보통이다. 

반면 머신러닝은 수많은 데이터를 학습하도록 만들어져 있으며, 따라서 자신이 설치된 환경에 ‘적응’한다. 그러므로 미리 설정된 조건에 맞춰서 위협을 찾는 게 아니라 여러 가지 상황과 요소들을 한꺼번에 파악하고 분석하고 평가한다. 그러면서 비정상적인 행동을 네트워크 내에서 찾아내는데, 여기서 비정상적인 행동이란 사용자가 한 번도 사용한 적 없는 IP 주소에서부터 접근을 한다거나, 갑자기 어마어마한 양의 데이터를 다운로드 받는다거나, 전혀 거래가 없는 외국에서 로그인 시도가 있다거나 하는 것을 말한다.

2. 머신러닝 기반 행동 분석 시스템이 그렇게 효과적이라면 왜 아직도 이를 제대로 사용하는 기업이 드문가?
위에서도 언급했지만 머신러닝 기반 행동 분석 알고리즘이 제대로 적응을 하려면 데이터를 꾸준히 주입해 학습을 시켜야 한다. 하지만 주입할 데이터를 다량으로 보유하고, 또 꾸준히 쌓아두는 기업은 많지 않다. IT 인프라와 애플리케이션과 관련된 데이터를 충분히 주입할 수 없다면 알고리즘은 학습을 온전히 할 수 없게 되고, 그러므로 기능을 발휘하지 못한다. 결과가 정확하지 않고, 각종 상황으로 발생할 수 있는 변수들을 고려하지 못한다. 오탐이 많이 나고 섹옵스 팀은 이전보다 오히려 더 할 일이 많아진다.

많은 기업들이 머신러닝 알고리즘에 데이터를 많이 보내면 보낼수록 네트워크 속도가 느려질 거라고 생각하기도 한다. 뿐만 아니라 데이터 양에 비례해 비용이 나가는 위협 탐지 솔루션들을 사용하는 경우도 많기 때문에 데이터를 의도적으로 추출하지 않는 경우도 상당히 많다. 게다가 비정형 데이터를 정형화 하는 것도 적잖은 장애가 된다. 알고리즘이 이해할 수 있는 형태로 데이터를 가공해야 하는 경우가 있는데, 이 부분을 제대로 이행하지 못하면 데이터가 아무리 많아도 소용이 없게 된다. 이런 이유들 때문에 행동 패턴 기반 솔루션들을 제대로 활용하지 못한다. 

3. 행동 분석 기술은 최근 어떻게 바뀌어 가고 있으며, 앞으로 어떻게 바뀔 예정인가?
행동 분석 기술은 지난 몇 년 동안 천지개벽 수준으로 발전했다. 이는 머신러닝의 발전과 관련이 깊다. 규칙 기반 머신러닝이 점점 사라지고 정말로 ‘훈련된’ 머신러닝이 강력해졌는데, 이로써 행동 패턴 기술이 덩달아 강력해지기 시작한 것이다. 최근의 머신러닝 알고리즘들은 지도형 기계 학습, 비지도형 기계 학습, 딥 러닝 등 모든 기술들을 활용할 수 있으며, 그렇기에 규칙 기반 머신러닝으로서는 탐지해낼 수 없는 복잡한 멀웨어들을 찾아내는 데에 최적화 되고 있다. 마침 멀웨어들은 상당히 복잡해지고 있는 추세다.

머신러닝을 활용함으로써 보안 운영 팀들은 다양한 종류의 위협들을 보다 효과적으로 탐지할 수 있게 됐고, 그에 따라 보안 운영에 들어가는 비용도 크게 감소되고 있다. 행동을 분석함으로써 위험을 탐지하는 보안의 이러한 기법은 커다란 잠재력을 가지고 있고, 이 기술의 발전과 함께 조직들은 이전보다 훨씬 더 안전한 환경에서 업무를 하게 될 것으로 기대되고 있다. 

행동 분석 기술에는 여러 가지 종류가 존재한다. 서로 다른 종류들은 서로 다른 특성과 강점을 가지고 있고, 또 고유의 단점도 가지고 있다. 그러므로 이런 차이들을 이해하고, 그 이해도를 바탕으로 조직에 가장 알맞은 보안 시스템을 갖추는 건 경쟁력 향상의 열쇠가 될 것이다.

글 : 산제이 라자(Sanjay Raja), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)