AI 자동화 보안 기술로, 사이버위협 실시간·자동 대응 가능
AI 자동화 보안 기술로, 사이버위협 실시간·자동 대응 가능
  • 김하늬 기자
  • 승인 2021.10.07 16:03
  • 댓글 0
이 기사를 공유합니다

[공학저널 김하늬 기자] 비대면 시대 AI보안 기술은 빠질 수 없는 이슈로 손꼽힌다. 특히 사회기반시설 등 사회 전반에 걸쳐 메타버스를 기반으로 진화하는 과정에서 지능·고도화되는 사이버 공격을 방어하기 위해 AI 기반 보안 기술이 각광받고 있는 것이다.

사이버안보 분야에서 사이버공격을 탐지했을 경우, 해당 공격이 왜(Why) 발생했는지, 무엇(What) 때문에 발생했는지, 어떻게(How) 발생했는지, 어디서(Where) 발생했는지, 언제(When) 발생했는지, 누가(Who) 발생시켰는지에 대한 설명이 반드시 필요하다.

다른 분야의 AI도 동일한 문제가 있지만, 사회기반시설의 경우 잘못된 판단이 미치는 사회·경제적 파급효과가 매우 큰 정보보호 분야는 특히나 중요한 부분으로 꼽힌다.

정보보호 분야에서 실제 공격이 아닌 것을 공격이라고 잘못 판단(오탐)하거나 실제 공격인 것을 정상행위로 잘못 판단(미탐)한 경우 시스템, 서비스 등의 정상적인 운영에 심각한 타격을 받게 될 위험이 크기 때문이다.

이러한 한계를 극복할 방안으로 손꼽히는 AI 보안 플랫폼 ‘KISTIER(KISTI Innovative Security Technology, Infrastructure and Emergency Response)’는 대규모 사이버공격 정보에 대한 실시간 자동분석이 가능한 보안관제 전용 AI 모델 기술을 통해 보안관제의 신속성·정확성을 향상시켜 눈길을 끌고 있다.

한국과학기술정보연구원(KISTI) 과학기술사이버안전센터에서 개발한 KISTIER는 크게 AI를 활용한 대규모 사이버공격 자동분석 모델·플랫폼과 대규모 사이버공격정보에 대한 직관적·즉시적 분석이 가능한 3종의 가시화 시스템(VizSpacer, VizCosMos, VizPolaris)으로 구성 돼 있다.

KISTIER의 핵심 기술인 AI 자동화 플랫폼은 다양한 대규모 원천데이터에 대한 수집·가공부터 최종단계인 AI모델 개발·구축까지의 전 과정을 사용자 요구방식에 따라 Non-Stop으로 처리하는 시스템(플랫폼)이다.

특히 보안관제 분야의 사이버위협 데이터에 최적화된 전처리, 특징 추출, 모델최적화 등 실용기술이 적용된 AI모델을 제공하는 기술이라고 할 수 있다.

실제로 과학기술사이버안전센터에서는 일평균 2000만 건 이상의 대규모 위협정보를 수집·분석하고 있으며, KISTIER의 AI 모델을 해당 보안관제 업무에 적용함으로써 전체 위협정보의 90% 이상을 실시간·자동으로 분석해 실제 공격을 탐지할 수 있게 됐다.

KISTIER는 AI 자동화 플랫폼뿐만 아니라, 텍스트 중심의 분석체계의 한계점을 극복하고 AI가 탐지한 사이버공격을 실시간 및 추적 가시화를 통해 사이버공격 발생 여부를 직관적·즉시적으로 판단할 수 있는 기술도 포함하고 있으며, 총 3종의 가시화 시스템(VizSpacer, VizCosMos, VizPolaris)으로 구성돼 있다.

우선 VizSpacer(Vizualization of Security events, potential attacks and root causes for emergence response)는 개별 IP 주소에 대한 공격행위를 실시간·통계적으로 가시화해 사이버공격 근원지·발원지 및 사이버공격 구조를 다각적·직관적으로 분석할 수 있는 시스템으로, 보안관제 업무의 최종목표인 공격자/피해자(감염시스템) 시스템을 특정할 수 있는 것이 기존 가시화 기술과의 가장 큰 차이점이라고 할 수 있다.

VizCosMos(Vizualization of Correlation of security events and Monitoring of sophisticated attacks)는 전체 IP 주소에 대한 공격행위, 공격그룹 및 고격체계 등의 이상행위를 유추·탐지하는 것을 목표로 개발된 시스템이다.

이를 위해 대규모 위협정보에 대한 시간관계·상관관계 분석·가시화 방법론을 적용해 의심 IP의 장기간 행위, 모든 IP 간 상관관계를 가시화하기 때문에 보안장비가 탐지한 모든 IP의 이상행위를 판단할 수 있는 것이 장점이다.

VizPolaris(Vizualization of Firewall Policy and Log for Advanced Real-time Intrusion Surveillance)는 보안 장비에 설정된 접근정책을 수집·분석해 정책의 실효성/유효성 및 정책 간 상관관계를 가시화함으로써, 보안장비 전체의 다양한 문제점을 직관적으로 인지하고 효율적인 관리·보완할 수 있는 시스템이다.

개별 IP 주소, 전체 IP 주소에 대한 다양한 보안로그를 시계열로 수집·분석해 IP별 위험도, 주기/비주기성, 중·장기에 걸친 네트워크 행위를 가시화해 특정 IP주소와 관련된 공격행위와 내부 시스템 전체에 대한 다양한 형태의 이상행위를 효율적으로 심층 추적 분석할 수 있다.

KISTIER는 현재까지 국내 특허 8건과 해외 특허 2건을 등록·출원했다. 총 6.52억 원의 선급기술료를 받고 기술이전에 성공함으로써 정보보호 분야 원천기술 확보와 시제품 제작을 통해 국내 산업의 경제적 파급효과뿐만 아니라 전문 기업의 글로벌 시장 경쟁력 확보에도 큰 역할을 했다는 평가를 받고 있다.

KISTI 과학기술사이버안전센터 송중석 팀장은 “암호화된 사이버공격은 ICT 분야에 국한되어 발생되는 것이 아니라, 국방/항공/교통/해양/에너지 등 다양한 분야에서 위협이 될 수 있다”며 “KISTI는 과학기술사이버안전센터를 중심으로 다양한 분야 암호화된 채널에서 발생하는 사이버 위협에 대응하기 위한 범국가적 정보보호 기술을 개발하고 각 분야의 실제 관제센터에 적용함으로써 드론, 자율주행자동차, 무인택배, 스마트시티, 스마트그리드 등 4차 산업혁명 시대의 핵심 서비스·인프라에서 발생할 수 있는 침해사고를 미연에 방지하고 대국민피해를 최소화할 것”이라고 전했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.