인공지능(AI)로 SOC(Security Operation Centre)를 고도화하는 방안은 없을까.

이 같은 의문은 최근 SOC내에 너무나 많은 개별 보안장비가 구축되고 있는데 따른 것이다. 이에 대한 의존도와 복잡성 또한 증가하고 있다. SOC의 수준 높은 대응을 위한 인력운영에도 많은 어려움이 있는 것이 사실이다.

또 최근 더욱 지능화고 장기간의 지속적인 공격에 대한 대응과 신규위협에 대한 피해를 억제하는 데에도 물리적으로 시간과 인력 면에서 그 한계가 있다.

이러한 보안체계를 한 단계 더 도약시켜서 효과적인 SOC운영을 제공하기 위해서는 보안인력운영 효율화 및 전문화를 꾀해야 한다. 여기에 AI분석 기반의 보안업무를 상호유기적으로 연결하고 지능화된 보안위협에 대해 지속적, 적극적 대응하고 신규 위협에 대한 사전예측을 통한 선제적 대응을 할 필요가 있다.

이를 위해 SOC에서 수집하는 보안데이터를 위한 빅데이터 시스템과 분석시스템, 보안 데이터 전문의 전처리 시스템, 외부 보안위협정보를 수집하는 시스템을 구축해 AI기반의 SOC를 구축하기 위한 사전 준비가 되어야 한다. 이 과정에서 기존 SOC 요원들의 많은 노력과 작업이 필요하게 되며 많은 인내력을 감내해야 한다.

AI기반의 보안분석플랫폼을 활용하면 보안장비의 정오탐율을 획기적으로 개선해 보안인력의 보안분석업무를 덜어줄 수 있다. 또 정상적인 접속 내에서 이상 공격 패턴를 탐지해 알려지지 않은 공격을 찾아낼 수 있게 된다.

뿐만 아니라 기존 패턴DB에 적재돼 있는 패턴을 학습하는 과정에서 기존 패턴 DB에 없는 유형을 찾아내어 그 결과를 제공하게 된다.

이때 각각의 보안 데이터와 보안 솔루션에 대한 적합한 알고리즘을 찾아내고 학습해 서비스하는 과정이 반복되게 된다. 이러한 작업을 보다 수월하게 하고 탐지정확도가 높은 작업을 하려면 사일로성으로 일일히 알고리즘을 적용시켜보는 것보다는 범용적이고 수평적인 AI플랫폼을 활용하는 게 훨씬 높은 ROI가 나오게 된다.

최근의 트래픽기반 예측, 데이터 기반 예측을 수행하는 AI 보안 솔루션들이 각각 출시돼 있다. 하지만 전체적인 보안 관점에서 보면 두 가지 방식의 AI보안 분석을 모두 수용해 병행 활용하는 것이 바람직하다고 판단된다.

SOC에 있어 AI활용에 대한 오해가 있다면 AI기반 보안솔루션을 도입하면 즉각 전혀 알려지지 않은 공격을 탐지해 바로 적용하며 정상적인 접속에서도 AI기반 보안솔루션이 알아서 공격을 탐지해 줄 것으로 기대한다는 점이다. 그러나 이러한 기대를 충족하기 위해서는 아직은 AI기술이 많은 시간과 노력을 수반할 수 밖에 없는 게 현실이다. 그럼에도 불구하고 그러한 노력이 결코 헛되지 않음을 경험할 수도 있다는 것을 알았으면 한다.

“ AI가 알아서 해커를 찾진 못해도 내가 해야 할일을 100분의1, 1000분의1, 1만분1로 줄여줄 수는 있다."