[ AI가 가져올 사이버 보안 패러다임의 전환 ]

- 사이버안전과 / 이석희 과장 -

제4차 산업혁명의 물결이 일어난 후 '사물인터넷(IoT), 자동차 자율주행, 인공지능 스피커 등' 새롭게 등장한 ICT 신기술들은 인공지능(A.I)기술과 결합하여 우리 생활에 깊숙하게 연관되었고, 전 산업으로 융합이 일어나면서 우리의 생활을 변화시키고 있다. 정보보안 또한 그러한 조류 속에서 신기술과 융합을 시도하는 활발한 연구가 진행 중이며 관련 기술도 속속 개발되고 있다.

2000년대 이후로 전 세계 많은 국가와 기업들은 업무환경이 전산화되었으며, 근 20년 동안 기하급수적으로 데이터의 양이 증가하고 있는 상황으로 IDC는 2020년까지 전 세계적인 디지털데이터 생산량을 40제타바이트(1021)로 예상한 바 있다. 이는 16기가바이트 블루레이 디스크 11조 2천억개 분량으로 미국의 니미츠급 항공모함 424대의 무게에 해당한다. 더불어, 정보화(IT) 부서들이 직접 관리하고 보호해야 할 데이터 역시 증가해 고민이 그만큼 커져가고 있다. 이제는 증가한 데이터를 효과적으로 처리하고 안전하게 보호해야 하는 것이 조직의 생산성 향상을 넘어 생존에 직결되는 문제로 대두되었고, 더 이상 특정 부서만의 역할이 아닌 전사적인 문제로 이를 해결하는 시대가 다가온 것이다.

이러한 관점에서, 사이버 공격으로부터 데이터를 안전하게 보호하기 위하여 많은 조직들이 적극적인 대처를 하고 있으며, 기술적 관리의 수단으로 통합보안관제솔루션(SIEM) 기반의 정보보호 시스템을 운용하고 있다. 하지만 기존의 기술적 대응 체계와 방식으로는 현재 한계에 달했다고 볼 수 있다. 실제로 사이버 공격의 양은 보안관제 요원이 하루 평균적으로 분석하고 대응할 수 있는 양에 비해 비교할 수 없을 정도로 많아 특단의 대책이 필요한 실정이다. 많은 정부기관이 입주한 국가정보자원관리원의 경우도 사이버공격 시도가 지속적으로 증가하고 있으며, 이러한 사이버침해 시도에 적절하게 대응하기 위해서는 일평균 수천만건의 보안 이벤트를 분석해야 하는 상황으로, 단순하게 전문 인력과 보안 장비를 추가 투입하더라도, 점점 정교화 되고 기하급수적으로 늘어나는 사이버 공격에 인간이 수작업으로 일일이 대응하기에는 불가능하다는 것은 자명한 사실이다.

따라서, 인력과 자원을 투입하면 자동적으로 생산성이 증대되었던 소위 굴뚝산업으로 대표되는 2차 산업을 이끌어 가던 방식과는 근본적으로 다른 접근법이 필요하며, 사이버보안 분야에도 패러다임의 전환이 절실하게 필요한 시기이다. 국가정보자원관리원 역시 정부 데이터센터로 누구보다 이러한 문제점을 조기에 인식하고 해결하고자 적극적으로 노력하여, 2017년 ISP 사업을 시작으로 2018년~2020년까지 차세대 인공지능 보안시스템 구축을 3개년도 사업으로 진행 중이고, 2021년부터 실제 보안관제 업무에 적용하여 운용하게 된다.

사이버침해 대응 프로세스 측면에서 보면, 기존의 SIEM 기반의 보안관제 시스템에서의 침해사고에 대응하는 과정은 보안장비에서 공격이 탐지되면 보안장비에서 관제 시스템에 공격 발생 이벤트를 알리고 보안관제 요원이 공격 로그를 분석하여 대응을 하는 과정을 거치게 된다. 반복적인 공격 패턴들은 보안탐지 규칙으로 만들어 향후 동일한 공격이 발생하지 않도록 하고 있으며, 이러한 과정을 반복하면서 각각의 보안 조직들은 자신들만의 노하우를 축적하고 침해사고에 대응하고 있다. 그러나, 현재 사이버 공격은 계속 지능화 되고 있고, 항상 새로운 취약점이 발견되기 때문에 보안장비에 탐지규칙이 만들어져 있다고 하더라도 완전한 방어는 불가능하다고 할 수 있다. 또한 초보 해커라도 자동화 공격 도구를 이용해서 손쉽게 사이버 공격을 감행할 수 있기 때문에 공격성이 약한 공격이라고 할지라도 대량으로 발생하게 되면 큰 위협이 된다. 무엇보다도 현 보안관제시스템에서는 공격자가 공격을 한 이후에나 대응을 할 수 있다는 근본적인 문제점이 있다.

인공지능 보안 시스템을 개발하고 적용하게 되면 이러한 문제점이 개선될 것으로 기대하고 있다. 차세대 인공지능 보안 시스템은 알려진 공격을 학습하여 단순 반복적인 공격을 자동 차단하고, 평소 정상적인 상태의 네트워크 흐름을 학습하고 비정상 행위가 발생하였을 경우 새로운 공격이나 신규 취약점으로 탐지할 수 있다. 한발 더 나아가서 학습된 공격 데이터, 신규 취약점, 비정상 행위 등 축적된 노하우를 통합하고 분석하여, 좀 더 광범위한 관점에서 공격자를 유추하고 공격기법을 분석할 수 있다. 이러한 것을 인텔리전스 능력이라고 볼 수 있는데, 항상 공격자가 사이버 공격을 감행한 이후에만 대응할 수 있었던 기존 대응체계에서는 할 수 없었던 공격자를 먼저 예측하고 유추하여 사이버 공격이 발생하기 전에 미리 예방할 수 있는 체계로 전환이 된다. 따라서, 인공지능 보안시스템이 본격적으로 관제시스템에 적용되면 침해예방 및 대응활동 전체가 새롭게 디자인되어야 하고 보안인력의 역할도 크게 바뀌게 된다.

보안인력의 역할 측면에서 인공지능 시스템이 기존 단순 반복적인 업무를 대체하고 새로운 위협도 사전에 예방할 수 있게 됨에 따라 보안관제 요원에게는 전문성이 더욱 요구된다. 단순 반복적으로 기계적으로 처리하던 업무는 인공지능 시스템이 대체하게 되고, 보안전문 인력의 역할은 그에 맞게끔 수정되어야 한다. 단순 보안 이벤트를 분석하고 직접 보안장비에 차단 명령을 내리던 기존 방식에서 벗어나 인공지능 시스템이 공격을 탐지하고 자동으로 차단한 처리 결과를 분석하고 오류를 찾아내어 인공지능 시스템을 보완하는 역할이 주 업무가 될 것이다. 그리고 인공지능이 학습하지 못한 좀 더 복잡하고 정교한 공격들을 찾아내어 시스템에 학습시켜서 조직의 침해 대응력을 향상시키는 일이 주 업무가 되어야 한다. 이를 위해 기존 보안 지식뿐만 아니라 인공지능 학습 방법과 인공지능 시스템 강화 방법, 인공지능 모델링 생성 등, 빅데이터 처리와 인공지능 기술에 대한 이해도 필요한 시점이다.

하루가 다르게 발전하는 디지털사회에서 대다수의 전자정부시스템이 입주하여 있는 국가정보자원관리원에 있어 국가의 정보자산을 안전하게 보호하기 위해서는 이러한 사이버 보안 패러다임의 변화에 적절하게대응하는 것이 중요한 도전으로 다가와 있다. 더욱이 최근 COVID-19 영향으로 전반적 사회활동이 디지털 사회 중심으로 급속하게 이동하고 디지털 공간에서 정부의 정책 수행 활동 또한 지속적으로 증가될 것으로 예상되고 있다. 어느 때 보다도 정보보호 분야의 역할이 중요한 시점으로 국가정보자원관리원은 인공지능 기술을 활용하여 정부부처의 데이터를 안전하게 보호하기 위하여 최선을 다할 것이다.