매년 늘어나는 분석 로그 AI 활용해 탐지
“오탐 걸러주는 정확도 99.95% 이상”
인공지능(AI)을 활용한 보안 기술이 해킹 공격을 탐지·대응하는 보안관제의 효율성을 극대화하고 있다는 평가가 나왔다. AI를 활용해 급증하는 해킹 위협과 사이버 공격을 적극적이고 효과적으로 방어할 수 있다는 것이다.
김종현 SK쉴더스 시큐디움 센터장은 14일 서울 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 ‘AI 기반의 보안관제 한계 극복’을 주제로 발표했다. 김 센터장은 “해킹 등 외부 위협을 모니터링하는 보안관제는 외부의 적이 내부에 침투하는지를 24시간 365일 대응하는 체계를 갖추는 것”이라고 했다.
김 센터장은 “보안관제는 수집, 탐지, 분석, 대응, 보고 등으로 구성된다”라며 “위협 가능성을 수집해 탐지하고, 공격 여부를 분석해 방화벽 등으로 격리하는 방법으로 대응한다”라고 했다.
외부로부터의 해킹 공격을 보안관제해도 한계는 있다는 게 김 센터장의 평가다. 그는 “매일 2억5000만건의 로그가 발생해 4600건 정도를 위협 트래픽으로 분류하지만 보안관제사가 직접 위협을 분석해 대응하는 건 60여건에 불과하다”라며 “분석 대상 로그는 매년 15~20% 이상 늘고 있으며, 보안관제사의 개인별 역량에 따라 해킹인지 정상 통신인지에 대한 판단이 달라지는 한계가 있다”라고 했다.
사이버 공격의 진화도 보안관제가 극복해야할 과제다. 김 센터장은 “보안관제는 공격에 맞춰 대응책을 개발해 적용하는 만큼 사이버 공격의 진화에 효과적으로 대응하기가 힘들다”라며 “AI를 활용한 보안 기술은 정상적이지 않은 트래픽을 효과적으로 모니터링하는 탐지 영역에서 적극 활용되고 있다”라고 했다.
김 센터장은 “AI는 정탐과 오탐에 대한 인력 기반 분석의 문제를 해결하는 데 활용되고 있으며, 오탐을 걸러주는 데 99.95% 정확도를 보여주고 있다”라며 “진짜 공격을 확인하는데 80%를 보여주는 한계를 보이지만, 오탐에서 탁월한 역량을 보이면서 적극 활용되는 추세다”라고 했다.
이어 “정∙오탐 판단 트래픽에 대한 67%를 AI 기술로 판단한 결과 야간 교대 근무 인력 6명 감소 효과로 나타났다”라며 “인력 의존도를 최소화할 수 있고, 높은 탐지 품질을 확보할 수 있는 적용 성과를 확인했다”라고 했다.
김 센터장은 “AI를 보안관제에 활용하면서 위협 판단이 AI 자동화로 전환됐고, 기존 인력 업무는 신규 위협에 대한 연구 및 대비 등으로 바뀌고 있다”라며 “다만 확률로 알려주는 AI의 특성과 판단에 대한 근거를 명확히 밝히지 못하는 AI 한계는 AI 보안관제 운용의 고민이다”라고 했다. 그러면서 “AI를 넘어서는 ‘설명 가능한 인공지능(XAI)’이 대안이 될 수 있다고 본다”라고 덧붙였다.