사이버 보안의 자동화

끊임없이 확장되는 위협 표면에 맞서 머신 러닝이 최전선에 배치되고 있습니다.

사이버 리스크가 더욱 복잡하고 악의적으로 변해갈 뿐만 아니라 공격자들이 활개를 치고 있습니다. 이러한 상황에서 CISO가 우위를 점하기 위해서는 공격자들이 사용하는 메커니즘보다 한발 앞서 나가야 합니다.

방대한 양의 자동 생성 정보로 인해 문제가 더욱 복잡해지고 있습니다. 센서, 위치 추적 장치, 웹캠, 스마트 자판기 등과 같은 기계에서 자동화를 통해 생성되는 방대한 데이터를 보호할 수 있어야 합니다. 디지털 상호 작용 역시 점점 더 자동화되고 있습니다. 사용자들은 터치스크린이나 음성 명령을 통해 데이터에 액세스하고 새로운 데이터를 생성할 수 있게 되었으며, 이러한 데이터는 생성된 디바이스에서 처리 및 저장되는 경우가 많습니다.

요약하자면 이처럼 무수히 많은 데이터가 자동으로 생성되고 있음에도 불구하고 대부분의 기업에서는 오래된 보안 제품을 사용하여 데이터를 보호하고 있다는 얘기입니다. 오래된 보안 제품의 경우 사용자가 다양한 개별 시스템으로부터 수집된 방대한 양의 경고를 필터링하고 상관 관계를 도출하여 중요한 리스크 결정을 내려야 합니다. 이러한 프로세스는 유연한 확장이 어렵기 때문에 기업의 보안 취약성은 점점 더 높아질 수밖에 없습니다. 그리고 이렇게 확장이나 통합이 어려운 수동 시스템으로 인해 보안 체계에 구멍이 생기면 멀웨어가 손쉽게 침입하게 되며, 결과적으로 보안이 침해되어 값비싼 비용이 발생하게 됩니다.

자동화에 자동화로 맞서다

주니퍼는 갈수록 데이터가 늘어나는 기업을 효과적으로 보호하기 위해서는 자동화가 필수적이라고 생각합니다. 주니퍼는 네트워킹 산업에서 보안이야말로 자동화가 가장 효과적으로 사용될 분야라고 믿습니다. 위협을 가장 효과적으로 차단하는 방법은 알 수 없는 위협을 알려진 위협으로, 곧이어 널리 알려진 위협으로 가능한 한 신속하게 바꾸어 나가는 것이기 때문입니다. 이를 위해서는 자동화가 필수입니다.

이러한 자동화를 가능하게 해 주는 머신 러닝은 AI(인공 지능: 인간의 지능을 기계로 발현하는 것)에 도달하기 위한 접근 방식 중 하나로 알고리즘을 사용하여 기계가 데이터를 학습하고 이를 바탕으로 결정과 예측을 내리게 합니다. 따라서 머신 러닝 알고리즘이 학습을 통해 정확한 결과를 도출하기 위해서는 방대한 양의 데이터가 필요합니다. 시스템에 얼마나 많은 양의 데이터가 유입되느냐에 따라 실제로 피해가 발생하기 전에 보안 사고를 막을 수 있는 지가 결정되는 것입니다.

주니퍼는 최소한 자동화된 머신 러닝으로 사이버 보안 수단을 강화해야 한다고 조언합니다. 그 이유는 무엇일까요? 2020년이 되면 사이버 범죄는 2조 달러에 달하는 큰 문제가 될 것으로 예측됩니다1. 설사 인간의 힘으로 늘어나는 데이타 양과 리스크를 감당할 수 있다고 가정하더라도, 실제 이를 처리할 인력이 턱없이 부족합니다. 2019년에는 자격을 갖춘 인력의 부족으로 인해 적임자 없는 보안 운영 일자리가 150만 개에 가까워질 것으로 전망됩니다2. Enterprise Strategy Group의 분석에 따르면 오늘날 사이버 보안 역량을 갖춘 인력 부족에 시달리는 기업이 45%나 된다고 하는데, 이는 다른 어떤 IT 분야보다도 훨씬 높은 수치입니다3.

이에 더해 다수의 기업들은 서로 다른 유형의 보안 기능을 제공하는 여러 개의 독립 실행형 보안 제품을 구축하고는 서로 통합이 어려운 다양한 포인트 제품들을 관리하느라 진땀을 빼고 있습니다. 그 결과 수많은 보안 제품을 관리하는 데 너무 많은 노력이 투입되어 실제로 조직을 방어하거나 차기 공격을 선제적으로 대비하는 데 역량을 집중시키지 못하고 있습니다.

악성 공격을 빠르게 파악하여 차단하는 데 필요한 귀중한 정보는 이미 네트워크 원격 분석에 의해 수집되고 있습니다. 사용자와 데이터 그리고 인프라를 효과적으로 보호하기 위해서는 비정상적인 활동을 빠르게 파악하고 실제로 피해가 발생하기 전에 자동으로 조치를 취하는 인텔리전스로 보안 솔루션을 강화해야 합니다.

멀웨어의 허점 찌르기

기존의 안티바이러스 프로그램은 이미 발견되어 알려진 서명이 있는 위협을 탐지하고 상쇄하는 용도로 널리 사용되고 있습니다. 하지만 피해를 입은 많은 기업에서는 최신 안티바이러스 시스템을 구동 중이었습니다. 이를 통해서도 알 수 있듯이 안티바이러스는 오늘날 우리를 둘러싸고 있는 지능적인 공격을 제대로 막아낼 수 없습니다. 이는 수많은 기업들이 그 자체로도 이미 복잡한 보안 환경에 첨단 멀웨어 방어 제품을 추가로 구축하는 이유이기도 합니다.

주니퍼는 교묘한 사이버 범죄에 맞서기 위해서는 사이버 보안 솔루션에서 머신 러닝의 장점을 활용해야 한다고 생각합니다. 머신 러닝은 알고리즘을 바탕으로 데이터를 분석하고 학습하여 예측을 수행합니다. '좁은' 형태의 AI인 머신 러닝은 탄력적으로 확장 가동되어 동시에 수백 만 개의 변수를 빠르게 처리하고 상관 관계를 도출함으로써 정상적인 네트워크 트래픽 패턴 및 사용 방식과 비정상 상황을 학습합니다. 기계가 학습한 내용은 악성 행위를 파악하고 임박한 공격을 차단하는 데 사용될 수 있습니다. 따라서 머신 러닝은 공격자의 다음 행동을 예측함으로써 우리가 사이버 범죄와의 전쟁을 치르는 데 필요한 효율적인 무기를 제공합니다.

워너크라이(WannaCry)와 같은 랜섬웨어의 경우를 생각해 볼 수 있습니다. 대부분의 랜섬웨어는 인간의 힘으로는 불가능할 만큼 빠르게 조직의 데이터를 암호화하거나 볼모로 삼은 후 이를 풀어 주는 대가로 가상 화폐 등을 요구합니다. 머신 러닝으로 강화된 첨단 멀웨어 방어 솔루션은 트래픽을 분석하여, 랜섬웨어가 침투한 취약점을 찾아냅니다. 또한, 랜섬웨어가 스스로를 드러내도록 자극하고, 해당 콘텐츠를 악성 콘텐츠로 표시한 후 확장 범위를 억제하며, 이렇게 학습한 내용을 이후의 트래픽에 적용하여 위협 수준을 판단합니다.

그렇다고 해서 기존의 보안 제품이 쓸모가 없어지는 것은 아닙니다. 기존 보안 제품은 네트워크 침입을 시도하는 모든 알려진 악성 트래픽에 무차별 필터링을 적용함으로써 사이버 범죄와의 전쟁에서 필수적인 기능을 수행합니다. 주니퍼는 클라우드에서 하나의 시스템으로 상호 운용되는 다양한 새로운 툴과 기존 툴에 머신 러닝을 구축하여 새로운 위협이 발생할 때마다 뛰어난 확장성을 바탕으로 각종 툴을 빠르게 변경하고 업데이트하면 높은 효용을 얻을 수 있다고 믿습니다.

통합의 중요성

이때 중요한 것은 보안 솔루션을 구성하는 모든 위협 방지 제품에 걸쳐 머신 러닝을 통합하는 것입니다. 이렇게 통합된 솔루션은 정상적인 소프트웨어 구조, 소프트웨어 동작 및 네트워크 트래픽 패턴을 계속해서 동적으로 학습합니다. 수백만 개의 변수 및 데이터 지점을 한꺼번에 분석하여 임박한 공격의 지표가 되는 비정상적인 활동을 파악할 수 있습니다.

주니퍼는 기존의 서명 및 규칙 기반 탐지에 머신 러닝을 결합하면 알려진 공격은 물론 알려지지 않고 탐지되지 않은 멀웨어까지 포착할 수 있다는 입장입니다. 즉, 멀웨어 서명에 대한 정적 분석과 동적 분석을 결합하여 새로운 위협을 파악하면 빠르고 정교한 보안 시스템을 구현할 수 있습니다. 주니퍼는 클라우드의 막대한 연산 역량을 활용하고 끝없이 바뀌는 위협 환경에 맞춰 머신 러닝 모델을 신속하게 업데이트, 유지, 적용할 수 있도록 이러한 솔루션을 클라우드에 구축할 것을 권장합니다. 클라우드 구축이 이루어지면 새로운 위협이 업계 차원에서 식별되거나 분석되기에 앞서 사이버 보안 솔루션으로 재빨리 탐지하여 저지할 수 있습니다.

머신 러닝이 적용된다고 해서 인간의 판단력이 완전히 불필요해지는 것은 아닙니다. 머신 러닝은 오히려 숙련된 보안 분석 전문가들의 지식을 대규모 데이터 및 리스크 환경에서 활용할 수 있도록 하는 역할을 합니다. 또한, 다른 보안 프로세스와 결합되어 데이터의 양과 분석의 복잡성이 점점 증가함에 따라 각 프로세스가 적절하게 확장될 수 있도록 합니다.

1 출처: Forbes, 2016년 1월 17일.
2 출처: CSO Magazine, 2015년 7월 28일.
3 출처: http://www.esg-global.com/blog/cybersecurity-skills-shortage-impact-on-technology-innovation