오늘날 인공지능(AI)은 더 많은 양의 데이터와 보다 빠른 처리 능력, 그리고 더 강력한 알고리즘이 결합되어 더욱 널리 보급되고 있으며, 실제로 AI 기술이 거의 모든 산업에 도입되기 시작하면서 컴퓨터가 전례없는 방법으로 말하고, 보고듣고, 의사 결정을 내릴 수 있게 되면서 광범위한 유스 케이스가 잠재적 비즈니스 기회를 확대시키고 있다.

또한 AI의 가능성에 대한 생각도 많이 달라졌다. 비즈니스 세계도 다르지 않다. 인공지능(AI)의 영역이 실제 세계로 확장, 실생활에서 실시간 데이터를 확보하고, 이를 기반으로 서비스를 하는 시대가 온 것이다. 귀가 솔깃한 이슈들이 매일 쏟아지고 있다. 그러나 뛰어난 환경과 리소스를 갖춘 소수의 기업과 조직을 제외하면, 현실적인 비즈니스 현장에는 AI는 데이터의 부족, 기술적 이슈, 인력 부족 등 많은 이슈를 동시에 갖고 있다.

본고에서는 보안 운영 센터(SOC, Security Operation Centre)내에서의 보안 분석 업무에 대해 살펴본다. 최근의 SOC내에는 너무나 많은 개별 보안장비가 구축되고 있으며 이에 대한 의존도와 복잡성이 증가하고 있고, SOC의 수준 높은 대응을 위한 인력운영에도 많은 어려움이 있는 게 사실이다. 또한 최근 더욱 지능화고 장기간의 지속적인 공격에 대한 대응과 신규위협에 대한 피해를 억제하는 데에도 물리적으로 시간과 인력면에서 그 한계가 있었다.

이러한 보안체계를 한단계 더 도약시켜서 효과적인 SOC운영을 제공하기 위해서는 보안인력운영 효율화 및 전문화를 꾀하고 인공지능(AI) 분석기반의 보안업무를 상호 유기적으로 연결하고 지능화된 보안위협에 대해 지속적, 적극적 대응하고 신규위협에 대한 사전예측을 통한 선제적 대응이 필요하게 된다.

이를 위해 SOC에서 수집하는 보안데이터를 위한 빅데이터 시스템과 분석시스템, 보안 데이터 전문의 전처리 시스템과 외부의 보안위협정보를 수집하는 시스템을 구축하여 AI기반의 SOC를 구축하기 위한 사전 준비가 되어야 한다. 물론 이 과정에서 기존 SOC 요원들의 많은 노력과 작업이 필요하게 되며 많은 인내력을 감내해야 한다.

AI기반의 보안분석플랫폼을 활용하면 보안장비의 정오탐율을 획기적으로 개선하여 보안인력의 보안 분석 업무를 덜어줄 수 있다. 그리고, 정상적인 접속 내에서의 이상공격 패턴을 탐지하여 알려지지 않은 공격을 찾아낼 수 있게 된다. 이 또한 기존 패턴DB에 적재되어 있는 패턴을 학습하는 과정에서 기존 패턴 DB에 없는 유형을 찾아내어 그 결과를 제공하게 된다.

이때 각각의 보안 데이터와 보안 솔루션에 대한 적합한 알고리즘을 찾아내고 학습하여 서비스하는 과정이 반복되게 되는데 이러한 작업을 보다 수월하게 하고 탐지정확도가 높은 작업을 하려면 사일로성으로 일일이 알고리즘을 적용시켜보는 것 보다는 범용적이고 수평적인 AI플랫폼을 활용하는 것이 훨씬 높은 ROI가 나오게 된다.

최근의 트래픽기반 예측, 데이터 기반 예측을 수행하는 AI 보안 솔루션들이 각각 출시되어 있으나 전체적인 보안 관점에서 보면 두가지 방식의 AI보안 분석을 모두 수용하여 병행 활용하는 것이 바람직하다고 판단된다.

SOC에 있어서 AI활용에 대한 오해가 있다면 AI기반 보안솔루션을 도입하면 즉각 전혀 알려지지 않은 공격을 탐지하여 바로 적용하며, 정상적인 접속에서도 AI기반 보안솔루션이 알아서 공격을 탐지해 줄 것으로 기대한다. 그러나, 이러한 기대를 충족하기 위해서는 아직은 AI기술이 많은 시간과 노력을 수반할 수밖에 없는 게 현실이다.

그럼에도 불구하고 그러한 노력이 결코 헛되지 않음을 경험할 수도 있다는 것을 알았으면 한다. 아직 AI가 알아서 해커를 다 찾진 못해도 내가 해야 할일을 1/100, 1/1000, 1/10000로 줄여줄 수는 있으며, 업무 프로세스를 획기적으로 개선하여 보안인력의 업무를 혁신적으로 덜어줄 수 있는 것이다.

결론적으로 SOC에서 팀의 노력을 극대화고 팀은 내부자 위협으로부터의 의심스러운 행동과 같은 중요한 결정에 중점을 두고 AI와 파트너 관계를 유지하는 것으로 사고 분석 자동화 및 일상적인 분석에 인적 자본을 낭비하지 않고 대신 AI가 반복적인 SOC 작업을 자동화하도록 한다.

또한 AI는 SOC운용에 인지론적 추론을 사용하여 사고 전반의 공통점을 자동으로 찾고 분석가에게 상황에 맞는 실제 피드백을 제공해 팀은 위협에 신속하게 대응할 수 있게 된다. 이로 인해 SOC 팀이 주요 자산을 도난당하거나 손상되기 전에 실시간으로 공격의 초기 징후를 감지 할뿐만 아니라 SOC운영을 더욱 효율적인 프로세스로 만들 수 있는 것이다.