[컴퓨터월드] 오늘날 인공지능은 세상을 바꿀 혁신적인 기술로 평가 받으며 금융, 유통, 물류, 의료 등 다양한 산업 분야에 적용되고 있다. 그리고 그 중에서도 세간의 기대를 한 몸에 받고 있는 분야를 하나 꼽아보자면 단연 자율주행이라 할 수 있다. 현대인의 필수품으로 자리 잡은 자동차의 자율주행 시대가 도래한다면 사람들의 일상은 크게 변화할 것이며 나아가 사회 전반에 엄청난 반향을 불러일으킬 것이 분명하다.

구글의 무인 자동차가 지구 12바퀴 거리 주행에 성공한 것이 벌써 7년 전 일이다. 2018년 2월엔 누적 거리가 지구 200바퀴에 해당하는 800만km를 돌파했지만 상용화까지는 아직 갈 길이 멀어 보인다.

자율주행은 운전자를 포함해 많은 사람의 생명이 달린 민감한 사안인 만큼 선행돼야할 일이 많다. 레퍼런스 축적을 통한 기술의 완벽성 추구는 물론 자율주행에 맞는 법과 제도의 정비, 운전자의 인식 제고, 인프라 구축 등 여러 부분에서 해결해야할 문제가 산적해 있다. 그리고 이러한 문제는 비단 IT회사, IT영역에 국한돼 있는 것이 아니다.

2015년 조지 호츠(George Hotz)라는 해커가 집 차고에서 홀로 자율주행 자동차를 개발했다. 외관은 형편없었지만 자율주행 기술력만큼은 당시 테슬라 제품과 근접 하다는 평가를 받을 정도로 훌륭했다. 사실 조지 호츠는 재미를 위해 각개전투를 벌였지만 결과적으로는 구글이나 테슬라처럼 자율주행 시대로 가는 길목에서 큰 도움이 됐다.

그는 자율주행이라는 블랙박스를 열어 대중들에게 보여줌으로써 자율주행에 대한 인식을 새로이 할 수 있었고 다수의 연구소 및 학교, 더 나아가 개인 개발자들에게 자율주행을 연구할 수 있는 큰 힘을 부여했다.

이러한 일은 비단 자율주행 분야에 국한된 것이 아니다. 보안관제에 인공지능을 적용하는 일 또한 마찬가지다. 국내의 경우, 2018년에 이글루시큐리티에서 진행한 대구광역시 AI 기반 지능형 보안관제체계 구축 프로젝트를 시작으로 인공지능 보안관제를 위한 시험 주행이 시작됐다.

그 후 한국지역정보개발원, IBK기업은행, 서울시 등 몇몇 기업 및 기관에서 인공지능 보안관제 구축 프로젝트를 진행하며 상용화를 위해 노력하고 있다. 인공지능 보안관제의 상용화를 위해서는 ▲첫째, 관련된 많은 프로젝트의 발주가 필요하고 ▲둘째, 조지 호츠와 같이 각개전투를 벌이며 힘을 보탤 야전군의 도움 또한 절실히 요구된다.

기존 보안관제에서 인공지능 보안관제로 전환되기 위해서는 반드시 ▲보안관제 인력의 재설계 ▲데이터 기반 보안 분석 ▲프로세스 자동화가 현장에서 직접 구현되는 등의 큰 변화가 선행돼야 한다. 이는 보안관제 분야에서 매우 중요한 요소이기 때문에 필자는 이를 보안관제 2.0이라고 부르고 있다.

여기에서는 보안관제 2.0의 프로토타입(Prototype, 완성품이 나오기 전 설계나 구현, 테스트된 모습을 미리 볼 수 있도록 핵심 기능만으로 구성된 시제품)을 통해 그 방법과 사례, 효과를 더욱 상세히 설명하는 시간을 가지고자 한다. 필자는 3개월 동안 필사적으로 보안관제 프로세스를 하나하나 바꾸면서 보안관제 2.0의 청사진을 실물로 만들어 나갔다. 필자는 조지호츠가 그랬던 것처럼 인공지능 보안관제를 혼자 개발해 실무에 적용하는 과정을 보여줌으로써 인공지능 보안관제 상용화에 기여하고자 한다.

보안관제 2.0 프로토타입에서는 관습을 따르겠다는 관습을 허물었다

우리가 맞서고 있는 침입자들의 특징은 어떠한가? 단일 이벤트를 발생시키기도 하고 리스크 정도가 서로 다른 여러 이벤트를 복합적으로 발생시키기도 한다. 또 하루 이틀, 한두 번 등장했다가 영영 안 보이는 IP가 있는가 하면 거의 매일 이벤트를 발생시키는 IP도 있고, 규칙적으로 같은 패턴을 반복하다가도 매우 불규칙하게 접속을 시도하는 경우도 있다. 다시 말해 발생되는 IP의 수만큼이나 다양한 각각의 특징들은 몇몇 카테고리로 나눠 분류하기가 사실상 불가능하다.

보안관제의 표준처럼 여겨지는 ‘웹 해킹, 악성코드, 서비스 거부, 정보 수집, 비인가 접근’이라는 공격의 분류는 현재 실무에 견고히 뿌리를 내리고 있지만, 보안관제 2.0 프로토타입에서는 이러한 관습을 허물고 다음과 같이 침입자(블랙리스트)들의 분류 기준을 조금 더 현실성 있게 재설계해보았다.

1) 고위협 이벤트 발생

고위협 이벤트를 발생시킨 IP 블랙리스트는 <그림 1>에서와 같이 발생시킨 이벤트 자체가 고위협으로 분류되는 경우다. 기존 보안관제의 웹 해킹, 악성코드, 서비스 거부, 정보 수집, 비인가 접근으로도 설명이 가능한 분류이긴 하지만, <그림 1>의 예시에서 Directory Traversal Attack은 비인가 접근이며 Stealth commanding은 웹 해킹의 일종이기 때문에 둘 중 하나로만 특정한다면 틀린 분류가 된다.

2) 행위적 위협 패턴

<그림 2>의 예시에서는 정보 수집과 서비스 거부 공격이 복합적으로 이뤄지고 있다. 그러나 해당 IP의 경우엔 하루 동안 5만 건이 넘는 이벤트를 4천 개 이상의 목적지 IP를 대상으로 발생시켜 총 5개의 보안 장비에서 탐지됐다는 사실이 단순 공격의 이름보다 더욱 유의미하다. 그래서 이벤트 건 수, 목적지 IP, 탐지 장비 등의 요소가 비정상적으로 많은 경우를 행위적 위협 패턴으로 정의했다.

3) 시간적 위협 패턴

<그림 3>은 105일 동안 nmap으로 취약점을 스캔하고 있는 블랙리스트의 보고서다. 이 역시 nmap 취약점 스캔이라는 이벤트 이름보다는 장기간 이벤트를 발생시킨 사실에 주목할 필요가 있다. 시간적 위협 패턴은 장기간 이벤트를 발생시키거나 이벤트 발생 간격이 매우 불규칙한 것과 같은 시간적 이상 행위를 의미하며 기존의 공격 명 위주의 분류 방식으로는 탐지할 수 없다.

4) 높은 IP 평판 점수

IP평판 점수(IPRS- IP Reputation Score)는 로그에서 직접 발견할 수 없는 위협을 알려주는 아주 중요한 정보이다. 그래서 하나의 위협 종류로 별도 분류했으며 이번 보안관제 2.0 프로토타입에서는 IBM 엑스포스(X-Force)에서 제공하는 API를 이용해 크롤링한 점수를 사용했다.

5) 아웃바운드 트래픽 및 기타
악성코드나 APT, C&C, 백도어 이벤트는 내부에서 외부로 나가는 트래픽의 관측을 통해 특이점을 식별해내는 경우가 많다. 엔드포인트 또한 보안관제에서 보호해야 할 중요한 요소 중 하나기 때문에 빠트릴 수 없다.

위와 같이 지금까지는 공격을 5가지의 기준으로 분류했지만 이는 언제든지 유연하게 변경될 수 있으며 새로운 유형이 발견될 때마다 추가할 수 있도록 설계돼야 한다. 비단 공격의 분류뿐만이 아니다. 데이터를 준비하고 데이터에 의거한 보안관제를 하기 위해서는 보고서의 형식, 위협 조사 방식, 인력의 업무 분장 등 당연시되던 관습도 인공지능이 쉽게 적용될 수 있도록 그 방법을 새롭게 고안해내야 할 것이다.

보안관제 2.0 프로토타입에서는 샘플링하던 관습을 허물었다

그 다음에는 하루 동안 말썽(이벤트)를 일으켜 로그에 기록을 남긴 IP 주소들에 대한 전수검사가 가능하도록 프로세스를 변경했다. 이전 수작업으로는 현실적으로 발생하는 모든 로그를 파악하기 어려워 그 중 몇몇의 로그만을 선별해 분석했다. 선별의 우선순위를 결정하기 위해 몇 가지 룰을 지정하기는 했지만 사실 이것으로 숨어 있는 모든 위협을 찾아내기는 역부족이었다. 이에 위협의 의도를 가진 IP 주소를 한 번에 파악할 수 있도록 명확한 항목에 대해 일일 데이터를 수집하고 IP마다 처음 발견된 시점부터 현재까지의 데이터를 다시 집계해 모든 IP 정보를 업데이트했다.

IP마다 발생시킨 이벤트를 시간 순서대로 기록한 ①에서는 ‘http get method’를 ‘wget’ 애플리케이션으로 요청한 시도가 감지됐고, 인가되지 않은 ‘/tmp’ 디렉토리에 접근하려 했으며 ‘chmod’ 명령어를 시스템에 실행하고자 한 사실을 알 수 있다. 또 ②는 IP 평판 점수가 10점으로, 다른 시스템에 해킹을 시도한 빈도가 아주 높음을 알 수 있다. ③에서 이 IP는 하루 평균 14시간이나 이벤트를 발생시키고 있고, ④에서 2,733개의 목적지 IP로 동일한 이벤트를 발생시킨 기록을 볼 수 있으며, ⑤에서는 무려 201일 동안 이벤트를 지속적으로 발생시키고 있다는 사실을 파악할 수 있다.

이렇듯 미리 정의한 시간 간격으로 모든 데이터를 집계한다면 장기간 데이터를 한눈에 볼 수 있기 때문에 단일, 또는 다수의 컬럼을 조합해 특이 행위를 하는 IP 주소에 대한 명확한 근거를 확인하고 더 나아가 신속한 대응이 가능해진다. 더욱이 IP 주소 하나하나의 데이터들을 모아서 다시 거시적 관점을 만들어냄으로써 <그림 6>과같이 엔지니어뿐 아니라 고객이 보더라도 오늘의 위협이 어느 수준이었는지를 직관적으로 알 수 있게 된다.

보안관제 2.0 프로토타입에서는 지식과 경험에 의존하는 관습을 허물었다

관제 요원은 로그를 분석할 때 몇 가지 장벽에 맞닥트리게 된다. 가장 먼저 이벤트의 오탐(False Positive) 가능성이 있다. 보안 장비가 감지한 이벤트의 위협이 어느 정도 되는지 판단하는 데는 많은 경험과 지식이 요구된다. 경험과 지식의 범위 안에 들지 않는 이벤트에 대해서는 구글에 검색해 유사한 사례를 찾아보거나 다른 지식인의 의견을 빌리기도 한다.

그러나 이마저도 완전한 판단의 기준이 되지 못하고 그 정확도가 의심될 때는 보안 장비가 침해의 근거로 잡은 원본 패킷을 해독하게 된다. 낱낱이 헤더와 페이로드를 분석하고 네트워크 구성도를 이리저리 따라가다 보면 비로소 이 이벤트가 어떠한 의도로 잡아낸 것인지 최종 퍼즐을 완성할 수 있게 된다.

그러나 3~4가지 보안 제품만을 사용하더라도 보안관제에서 다뤄야 하는 이벤트의 종류는 수 천 가지에 달한다. 잠재 분석 대상이 수 천 가지나 되는 이벤트들에 대해 모두 이러한 일련의 과정을 거치는 것은, 효율이 매우 떨어지는 일이 아닐 수 없다.

따라서 보안관제 2.0 프로토타입에서는 축적된 로그를 이용해 통계를 만들고 이를 위협의 정도를 판단하는 기준으로 활용한다. 여기서는 개인의 경험이나 지식에 의존할 필요가 없고, 팩트 체크가 안 된 구글링을 할 필요도 없으며, 많은 시간이 소요되는 원본 패킷 분석 또한 하지 않아도 된다. 보안 장비 제조사에 종속되지 않는 것도 데이터를 통한 분석의 또 다른 강점이라 할 수 있겠다.

이벤트를 발생시킨 IP 주소가 내부 사설 IP 비율이 1(100%)인 ①은 오탐일 확률이 높으며 반대로 해외 IP 비율이 1인 ②는 위험도가 높은 이벤트일 확률이 높다. 또 이벤트 주체가 되는 IP들의 평균 IP 평판 점수가 높은 ③과 같은 경우도 위협이 될 가능성이 크다. 대부분 이벤트의 방향은 외부 IP에서 내부 호스트로 향하기 때문에 목적지 IP 평판 점수는 0점이 되겠지만 백도어, C&C, 악성코드 감염과 같은 몇몇 이벤트는 내부 호스트에서 외부 IP로 접속을 시도하는 Outbound 이벤트가 이뤄지고 ④처럼 목적지의 평판 점수가 높을수록 목적지 IP의 위험도가 높아진다.

⑤에서와 같이 월평균 발생 일 수가 30일, 즉 거의 매일 일어나는 이벤트는 위험도가 낮거나 경우에 따라 위험한 이벤트가 매일 발생하고 있어 빠른 조치가 필요하다는 것을 의미한다. 마지막으로 비 업무일 발생비율이 ⑥과 같이 1인 경우 주말이나 공휴일에만 발생되는 이벤트로 대부분이 평일에 이루어지는 서비스에 의해 발생된 이벤트는 아니라고 해석할 수 있다.

이러한 활동 역시 엔지니어 레벨에서 끝나는 것이 아니라 보안 시스템 룰의 탐지 및 차단 여부 결정, 임계치 설정, 경보 설정 등의 근거로 고객에게까지 보고될 수 있다.

보안관제 2.0 프로토타입에서는 멋진 대시보드의 관습을 허물어라

보안관제용 대시보드의 주된 용도는 실시간으로 움직이는 정보를 누구든지 볼 수 있게 하여 특이 사항을 신속하게 탐지하고 또 재빠르게 대응하도록 하는 데 있다. 이에 보안관제 2.0 프로토타입에서는 시간 별로 변화하는 위협을 직관적으로 대시보드에 시각화할 수 있는 콘텐츠를 다수 개발했다.

<그림 8>에서는 시간 별로 변화하는 위협을 잘 보여주는 대표적인 항목들로 데이터를 재가공한 후 정해진 간격에 따라 저장했다. ①은 이벤트의 규모 변화를 기록하고 위협을 조기에 발견할 수 있도록 여러 가지 항목들과 조합한 데이터를 다시 만들어 낸다. ②는 시간 별로 이벤트를 발생시키는 IP 주소들의 통계를 내고 여러 요소들을 조합하여 위협의 정도를 측정한다. ③은 분 단위로 이벤트 건수를 집계하여 급증 등의 특이 사항을 점수화했다.

위협을 바로 알아차릴 수 있는 정보를 촘촘하게 조합해둠으로써 실제 모니터링해야 할 사항들이 풍부해졌고 위협을 직관적으로 파악할 수 있었다.

보안관제 2.0 프로토타입에서는 분석에 만족하겠다는 관습을 허물었다

혼자 데이터를 구축하고 이에 맞춰 보안관제 프로세스와 일하는 방법, INPUT과 OUTPUT을 고쳐나간 지 2개월이 지나던 중 비워진 동료 자리가 신규 직원으로 채워졌다. 그리고 1개월 가까이 변화된 프로세스의 교육을 진행했는데 교육이 마무리될 시점과 하계휴가 기간이 겹쳐 1주일간 자리를 비우게 됐다. 데이터를 분석을 통해 보안관제를 할 수 있는 기반은 충분히 마련했다고 생각했지만 이 많은 팩트들을 다른 사람이 파악하는 것은 어려운 작업이기 때문에 신규 직원이 보안관제 2.0 프로토타입을 잘 활용할 수 있도록 인공지능 기능을 급히 추가해야 했다.

업무 프로세스가 정비됐고 데이터와 분석 포인트, 데이터 라벨까지 잘 정리했기 때문에 인공지능을 적용하는 것은 수월하게 진행됐다. 적용한 인공지능은 연구용 데이터로만 실험된 것이라 초기에는 결과가 불안정했지만 다행히 빠르게 보완돼 신규 직원이 어려워할 만한 부분에 도움이 되는 것을 확인한 후 휴가를 떠날 수 있었다.

곳곳에서 업무에 인공지능을 적용해 혁신을 가지고 오는 상상이 확산되고 있다. 완성된 인공지능이 구축되는 과정을 거꾸로 짚어보면 인공지능은 품질 높은 데이터가 필수이고 품질 높은 데이터는 데이터 수집과 가공, 활용에 사람의 개입이 최소화되도록 잘 정돈된 프로세스에서부터 시작된다. 보안관제 2.0 프로토타입은 인공지능을 적용해 업무를 시작한 지 한 달도 채 되지 않은 신규 직원에게 일을 맡겨도 될 정도의 성과를 거뒀다. 그러나 진짜 인공지능을 활용해 얻게 되는 혜택은 결과뿐 아니라 그 과정에도 있었다.

보안관제 2.0 프로토타입에서는 먼저 이벤트의 분류 기준을 몇몇 공격 방식에 한정한 것에 대해 복합적 공격 패턴을 수용할 수 있도록 변경해 기존에는 존재하지 않았던 공격 패턴을 정의하고 탐지할 수 있도록 했다. 둘째로 방대한 분석 대상에 대해 우선순위를 줘 샘플링 하던 방식에서 모든 IP의 장기간 데이터를 집계한 결과로 개선해 위협에 대한 근거를 판단하여 드러나지 않은 위협도 탐지할 수 있도록 했다.

셋째로 막연히 인력의 경험과 지식에 의존하거나 패킷 수준의 데이터를 오랜 시간 분석해야 알 수 있었던 이벤트 위험 정도를 정량적으로 판단할 수 있도록 했다. 넷째, 시각적인 정보가 큰 비중을 차지하던 대시보드에 시간적으로 변화하는 리스크를 신속하게 감지할 수 있는 다양한 콘텐츠를 추가했다. 그리고 마지막으로 그 동안 쌓은 고품질 데이터를 기반으로 고객에게 알맞은 가치를 전달했고 비로소 인공지능도 빠르게 적용할 수 있었다.

보안관제 2.0은 인공지능이 쉽게 자리 잡을 수 있도록 데이터를 중심으로 불합리한 프로세스와 관습들을 허물고 바닥부터 현장을 재정비하는 일이었다. 이것은 인공지능을 업무에 사용하면서 얻게 되는 궁극적 혜택으로, 상용화의 임계점을 돌파하는데 기여할 수 있는 이니셔티브(initiative)임을 3개월간의 프로토타입 개발을 통해 확인했다.