[공학저널 김하늬 기자] 최근 보안관제 시장은 ‘데이터’와 ‘AI’에 집중하고 있다.
이에 따라 관련 시장에서는 AI 기반 데이터의 수집·분석 자동화를 통해 기존의 한계를 극복하려는 시도가 이어지고 있으며, 특히 ‘가시화’를 통한 관제 효율 향상에 대한 관심도 또한 매우 높아지고 있다.
그간 텍스트 분석 중심의 일차원적 정보보호서비스는 공격의 인지 측면에서 비효율적 한계를 갖고 있었다. 더욱이 충분하지 않은 보안관제 인력에 대한 제약이 따랐다. 끊임없이 발생하는 사이버공격을 관제할 만큼 인력을 확충하기가 쉽지 않았기 때문이다.
특히 점차 거세지고 있는 대용량 사이버공격과 정교한 웹 공격 등에 빠르고 효과적으로 대응하기 위해서는 공격에 대한 데이터를 분석하고, 이를 인지하는 것이 무엇보다 중요하다.
사이버공격이 왜(Why), 무엇(What) 때문에, 어떻게(How), 어디서(Where), 언제(When) 발생했는지, 누가(Who) 발생시켰는지에 대한 근거를 찾는다면, 사이버공격 근원지와 유발지에 대한 실시간 탐지·역추적이 가능하다.
이에 최근 AI를 기반으로 물리적인 데이터까지도 수집·분석해 빅데이터화하고 가시화를 통해 관제사에게 알리는 과정까지 전 과정을 자동화하는 기술이 개발돼 효율적인 보안관제 서비스가 가능할 것으로 전망되고 있다.
바로 KISTI(한국과학기술정보연구원)가 개발한 ‘대용량 보안 이벤트 실시간 가시화 경량화 프로그램’이 그것이다. 한 마디로 의심 공격 IP의 행위 정보와 통계 정보를 가시화 해주는 기술이다.
이 기술은 사이버보안을 위한 필수 보안 장비인 침해위협관리시스템(TMS), 침입탐지·방지 시스템(IDS·IPS) 등이 탐지한 대용량 보안로그를 실시간·장기적으로 가시화해 개별공격자 이상행위, 공격자 간 상관관계·구조 등을 자동으로 분석한다.
이를 통해 개별 IP가 발생시킨 전체 보안로그를 분 단위로 확인하고 공격행위를 가시화하기 때문에 지능형지속공격(APT)과 같은 지속·연속적으로 발생하는 사이버공격을 효율적으로 탐지할 수 있다는 장점이 있다.
특히 KISTI로부터 대용량 보안 이벤트 실시간 가시화 경량화 기술을 이전 받은 ㈜윈스는 기존에 보유하고 있는 네트워크 보안관제 솔루션에 사이버공격 실시간 가시화 기술을 보완한 플랫폼 출시를 통해 차별화된 기술 경쟁력을 갖출 것으로 기대를 모으고 있다.
현재 올 하반기 출시될 AI 보안관제 플랫폼에 해당 기술이 적용돼 있으며, 실시간 공격 IP 분석과 가시화를 위한 기능으로 사용되고 있다.
윈스 서비스개발팀 최병환 팀장(사진)은 “윈스가 AI에 초점을 맞춘 이유는 기존 보안관제 시장의 인력기반 구조를 기술기반으로 변화시켜 더 많은 고객에게 서비스를 제공하고 일정하게 품질을 유지하기 위함”이라며 “사이버공격의 실시간 분석·추적이 가능한 윈스의 차세대 기술을 통해 관제 인력의 숙련도를 평준화하고 서비스 수준을 높이는 것이 목표”라고 설명했다.
이에 윈스는 자체적으로 AI 보안관제 플랫폼의 시범 적용을 수행, 피드백을 통해 신규개발 솔루션의 기술 고도화를 꾀하고 있다. 현재 4곳의 고객사들을 상대로 진행하고 있으며, 16개 고객으로 확대를 모색 중이다.
윈스는 지난 1998년부터 네트워크 트래픽 분석기술을 기반으로 2000년 차세대 침입방지 시스템 ‘스나이퍼(Sniper)’를 런칭하며 국내 대표 보안기업으로 자리 잡았다.
특히 네트워크 보안 분야의 침입방지 시스템(IPS), DDoS 공격대응 솔루션, 지능형공격(APT) 대응 솔루션, 방화벽에 이르기까지 핵심 기술들을 자체 개발하며 국내 보안 시장에서 경쟁력을 자랑하고 있다.
이렇듯 그간 윈스가 기술 경쟁력 있는 보안 솔루션을 토대로 성장했다면 앞으로는 서비스 부문을 강화한다는 계획이다.
최근 5G 기술과 IoT 기술(스마트 시티, 자동차 등), 비대면 관련 기술 등이 주목받으면서 관련 산업이 확대됨에 따라, 윈스는 빅데이터에 기반한 AI 분야와 프로세스 자동화 기술인 RPA 분야를 눈여겨보고 있는 상황이다.
지난 16년간 윈스에서 IPS 솔루션을 개발해온 최 팀장은 “기존 기술·사업을 토대로 서비스 부문을 접목해 AI 보안 플랫폼 전문기업으로 거듭날 것”이라며 “특히 최근 공공·민간 분야에서 클라우드 전환을 가속화하면서 보안 위협도 높아지고 있는 클라우드 분야를 기반으로 MSP(Managed Service Provider)와 EDR(Endpoint Detection and Response) 사업에 진출하려고 한다”고 말했다.
그는 이어 “인프라 가시성을 확보하는 기술(5G SIEM)과 서비스를 기반으로 글로벌 기업과의 협업을 통해 엔드포인트 보안산업에 진출할 예정”이라며 “아직은 AI의 기술이 사람을 뛰어넘지 못하지만 보안 영역에서 AI의 정확도를 100%를 원하고 있기에 이에 대한 기술적인 연구가 더 필요할 것 같다”고 덧붙였다.
