보안 환경에서 AI/ML의 가치
과대광고에서 벗어나기
기업과 공격자 모두 목적을 달성하기 위해 인공 지능(AI)과 머신 러닝(ML)이라는 첨단 기술을 활용하려고 하기 때문에 오늘날 이 두 용어는 IT 보안 환경 전반에서 널리 사용되고 있습니다. 악의적 행위자의 경우 이러한 기술은 방어막을 뚫고 취약점을 더 빠르게 찾아내는 것입니다. 그런데 기업을 보호하기 위해 노력하고 있다면 AI 및 ML이 제공할 수 있는 가치는 무엇일까요?
이러한 기술은 사이버보안을 위한 종착지이고 해당 기술을 도입하기만 하면 기업이 완벽하게 보호를 받는다고 말하면 좋겠지만 현실은 그렇게 간단하지 않습니다. AI 및 ML의 모든 사용이 동일하게 생성되지 않습니다. 미리 말씀드리자면, 최신 알고리즘을 사용한다고 해서 방심할 수는 없습니다.
그러나 오늘날 위협의 문제와 속도를 따라잡기 위해 AI와 ML은 전체적인 보안 솔루션에서 중요한 부분이며, 가능한 모든 유형의 공격을 방지하고 불가능했던 수준으로 최대한 빠르게 대응한다는 궁극적인 결과에 중점을 둬야 합니다.
AI만으로는 역부족
인공 지능 자체는 보안을 위한 차별화 요인이 아닙니다. 실제로, 오늘날 수많은 다양한 AI 프레임워크와 모델이 사용되고 있습니다. 일반적으로, 이러한 프레임워크는 학계에서 개발하고 오픈 소스이며 모든 사람에게 공개적으로 구현됩니다. 따라서 차이를 만드는 것은 AI 프레임워크가 아니라 AI를 사용하는 방식과 AI가 어떤 데이터를 학습하는지입니다
사이버보안 측면에서 AI를 더 효과적이고 지능적으로 만드는 요소
가능한 한 양질의 데이터가 많아야 목적과 관계없이 머신 러닝을 통해 행동 방법을 학습하는 AI가 효율적일 수 있습니다. AI가 가능한 시나리오를 파악하려면 양질의 데이터를 많이 확보해야 합니다. 실제 데이터를 더 많이 수집할수록 더 스마트해지고 더 많은 경험을 활용할 수 있습니다.
따라서 사이버보안이라는 렌즈를 끼고 이 점에 대해 생각해야 합니다. 한 가지 구축 또는 위협 벡터에서만 학습하는 것은 바람직하지 않습니다. 여기서 필요한 것은 모든 구축에서 학습하는 솔루션과 단일 조직이 아닌 모든 사용자로부터 얻은 정보를 활용하는 도구입니다. 환경 및 사용자 풀이 클수록 AI는 더 스마트해집니다. 이를 위해서는 많은 양의 데이터와 다양한 종류의 데이터를 처리할 수 있는 시스템도 필요합니다.
AI는 단순히 컴퓨터로 수학 문제를 푸는 것 그 이상입니다. 효율적인 AI에는 데이터가 중요한 구성 요소이지만, AI와 ML 자체도 운영 프로세스에 통합해야 합니다. AI와 ML은 독립 실행형 기술로 생각하기보다는 보안 프로세스 및 작업에 가치를 더하는 지원 기술로 생각해야 합니다.
가장 성공적인 AI 기법은 하이브리드 시스템을 제공하기 위해 도메인 지식과 같은 것을 통합하는 다른 기법과 함께 ML이 학습할 대규모 통계 패턴 매칭을 결합하는 기법입니다. 일반적으로 ML에서만 파생된 통계 기법은 정의상 관련된 기준 통계가 거의 또는 전혀 없는 이전에는 볼 수 없었던, 새로 개발된 위협에 적응할 수 없습니다. 마찬가지로, 도메인 전문지식은 특정 공격자 전술과 기법을 효과적으로 예방 및 감지하는 로직(종종 대규모 데이터 분석에서 부분적으로 파생됨)을 만드는 데 활용됩니다. 그러나 전문가 시스템을 사용하여 이러한 인사이트를 집계하면 구축 전반에서 왜곡된 오류 비율 불균형이 나타납니다. 따라서 모든 것에 대해 일관되고 낮은 오류 비율을 유지하면서 참신한 공격에 대해 일반화할 수 있는 시스템의 다른 부분에서 얻은 도메인 기반 인사이트와 함께 ML에서 얻은 통계 인사이트를 사용하는 AI 시스템이 필요합니다.
AI와 ML이 사이버보안에 실제로 제공하는 가치
기본적인 수준에서 기업의 보안에 AI와 ML을 잘 활용하면 보안 운영 센터(SOC) 팀이 더 적은 인원으로 더 많은 일을 효율적으로 처리할 수 있습니다. 이는 기업의 역량을 강화하고 애널리스트의 경험을 활용하기 위해 이들의 기술을 올바른 작업에 투입할 수 있는 요소입니다.
보안 분야에서 AI와 ML의 일반적인 사용 사례는 일반 운영의 기준을 설정한 후 팀에게 잠재적인 이상 징후를 알리는 것입니다. 또한 AI와 ML은 사람이 늘 진행하는 일상적인 작업을 식별하여 작업 효율을 개선하는 데도 사용할 수 있습니다. 이러한 기술은 시간 및 리소스를 절약하는 자동화 플레이북을 생성하거나 제안할 수 있습니다.
또한 AI와 ML은 정보를 제공하고 자동화를 강화하도록 지원합니다. 이는 인력과 리소스가 항상 부족한 환경에서 확장 가능성의 핵심입니다. 오늘날 모든 SOC는 더 적은 인원으로 더 많고 정교해진 위협에 대응해야 합니다. 결국, AI와 ML의 목적은 매우 부족한 리소스를 신속하게 사용하도록 만드는 방식으로 뛰어난 보안 성과를 제공하도록 돕는 것입니다.
AI와 ML이 보안 성과를 개선하는 방법
보안 작업과 관련하여 한 가지 문제만 해결해야 하는 경우는 없으며 종종 일련의 결합된 문제가 발생합니다. 자동화를 개선하고 보안 작업 전반에서 수동 프로세스를 없애는 AI와 ML을 사용하면 더 많은 위험이 보안 인시턴트로 발전하는 상황을 방지할 수 있습니다. 더 많은 위험을 방지한다면 기업에서 대응해야 하는 실제 보안 인시던트가 줄기 때문에 기업은 더욱 효율적으로 대응할 수 있습니다. AI와 ML은 공격자와 같은 도구를 활용하고 기업의 전반적인 보안 태세를 강화하여 위협 환경에 맞춰 집중하고 확장할 수 있는 이점을 제공합니다