"통신망 이상 징후, 가장 정확한 사이버공격 단초"

"국내에는 악성코드를 분석하는 보안 업체들이 많다. 나루씨큐리티는 그보다 네트워크 분석을 중점적으로 해왔다. 네트워크는 어떤 행위도 감출 수 없는 가치중립적 공간이기 때문에, 사이버 공격에 의해 나타난 이상 변화를 추적, 분석하기 용이하다."

김혁준 나루씨큐리티 대표는 회사의 경쟁력에 대해 이같이 소개했다.

나루씨큐리티는 운영 중인 네트워크를 점검해 보안 통제를 우회하는 사이버공격을 탐지하고, 대응 방안을 도출하는 서비스를 제공하는 보안 기업이다. 네트워크 분석 장비 '커넥텀'을 활용해 수집된 네트워크의 통신 사실들을 빅데이터로 분석해낸다.

이같은 방식은 특히 해커가 알려지지 않은 취약점을 노리는 제로데이 공격을 탐지하고, 한 번 공격에 노출된 이후 다양하게 확산되는 악성 행동들의 인과 관계를 도출해내는 데 효과적이라는 설명이다.

회사는 지난해 내부망 정보보호 위협 인공지능(AI) 탐지 모듈을 개발했다. 정보보호 데이터 바우처 사업에 참여함으로서 AI 솔루션 기업 엘렉시와 협업해 네트워크 플로우 데이터를 AI로 가공한 결과물이다. 사이버 공격이 급증하는 현 상황에 대응하기 위해 진일보한 위협 탐지 장비를 만들고자 했다.

나루씨큐리티의 정보보호 역량과 기존의 한계, 데이터 가공으로 거둔 성과에 대해 물었다. 다음은 김혁준 대표와의 일문일답.

-회사 주요 사업에 대해 소개해달라.

"나루씨큐리티는 지속적으로 민, 관, 군 다양한 영역의 네트워크 통신을 분석해 왔다. 자체 개발한 장비 커넥텀은 L3 스위치, 방화벽 등 내부망 통신 구간에 발생하는 통신을 빅데이터로 수집, 저장한다. 이를 분석해 알려지지 않은 공격을 탐지해낸다.

이런 방식을 사용하는 국내 보안 업체가 많지 않다. 악성코드를 중심으로 분석하는 경우가 절대 다수를 차지한다. 반면 해외에서는 '다크트레이스' 등 이런 제품들이 많이 나온다. 네트워크는 전체적인 그림을 살펴볼 수 있고, 어떤 결과든 로그를 기반으로 명확히 인지할 수 있는 공간이기 때문이다. 해커가 네트워크에 침투하더라도 시간의 흐름에 따른 트래픽 변화를 관찰해 공격의 원인과 결과를 확인할 수 있다. 나루씨큐리티는 이런 데이터들을 현장에서 분석한 뒤, 분석해서 도출된 내용들을 장비화하고 있다."

-데이터 바우처 사업에 참여하게 된 계기는?

"10년 전의 보안은 정상 탐지를 뜻하는 '정탐'과, 이상 현상이 아닌데도 탐지되는 '오탐'으로 지표를 분류했다. 요즘의 보안은 정상 행위처럼 보여도 악성 행위일 수 있는 지표들이 존재한다. 보다 심층 깊은 분석이 필요해진 것이다. 또 인간이 직접 살펴봤을 때에는 정탐과 오탐 여부를 정확히 판단하기 애매해 이같은 심층 분석을 요하는 경우도 있다.

데이터 바우처 사업에 참여하기 전엔 이같은 심층 분석을 수행하기 위해 시간과 인적 노력이 수반됐다. 데이터사이언스를 통해 분석된 악성·정상 통신 분류는 장치가 설치된 사업장 기준으로 이뤄져 있어 장치가 없는 타 사업장에 이를 바로 도입하기가 어려웠다. 트래픽 수집과 분류 작업을 거쳐야 하기 때문이다.

사업 특성상 데이터들을 누적할 수 있기 때문에, 보안 장비에 AI를 활용하기에 적합하다는 판단을 했다. 그런데 회사 규모 상 전문 인력을 구하기도, 지속적으로 유치하기가 어려웠다. AI가 학습하게 할 위협 모델링까지는 여력이 있지만, 이를 구동할 여력이 없었다."

-네트워크 플로우 데이터의 가공 과정은?

"어떤 내용을 학습할지에 대한 피쳐 추출은 나루씨큐리티가, 가장 최적화된 AI 학습 도구는 엘렉시가 제공했다. 기업 내부망에 설치된 장비에서 최소 1개월 이상 모든 데이터를 플로우 형태로 수집한 이후, 수집된 통신에서 분석 프로파일에 해당하는 지속 통신을 추출한다. 추출된 각 통신 데이터를 학습, 교차 검증, 검증 데이터로 분류 이후 각 통신 간 유사도 측정을 통해 적용된 알고리즘의 성능을 검증하는 과정을 거쳤다.

-AI 도입으로 얻은 효과는?

"커넥텀은 공격 발생 시 반드시 발생하는 현상의 모델링을 활용해 제로데이 공격을 탐지하고 있다. 이때 발생하는 현상은 각 사업장에서 각각의 데이터 분석을 통해 구현돼 왔다. 솔루션의 AI화를 통해 통신 특성에 따른 분류가 가능해지고, 이를 통해 한 사업장에서 획득된 인텔리전스를 다른 사업장에서도 사용이 가능하도록 했다. 정상 행위와 얼마나 동떨어져 있는지도 파악이 가능해졌다."

-AI 탐지 모듈은 어떻게 쓰이나.

"현재의 정보보호 탐지체계는 지속적으로 IP 주소, 바이너리 해시값, 도메인명 등 문자열 기반의 탐지를 기반으로 운영돼 왔다. 최근 급증하고 있는 국가 기반 공격자의 출현은 이러한 문자열 기반의 공격을 우회하기 위한 충분한 자원을 갖췄다. 문자열 기반 식별값을 지속적으로 바꿔 네트워크 상에서 발생하는 위협 탐지를 어렵게 만든다.

이번에 개발된 탐지 모듈은 이런 한계를 극복하기 위해 문자열 기반의 식별자에 의존하지 않고 통신 사실의 분석만으로 통신의 형태를 분류할 수 있게 했다. 이 방법은 머신러닝을 통해 네트워크에서 발생하는 통신의 특성을 추출하고, 이를 현재 발생하는 통신과 비교해 네거티브, 포지티브 방식의 정보보호 체계 운용을 가능케 한다.

포지티브 방식 운용은 기업, 기관, 군, 스마트공장 등 지속적인 네트워크 통신이 발생하는 구간에서 주요 정상 통신의 추이를 머신러닝으로 학습하고, 변화 내용을 추적해 특정 범위에 머물 경우 이를 사용자에게 경보하는 방식으로 운용될 수 있다. 네거티브 방식 운용은 악성 통신 이력을 특성에 따라 특정할 수 있도록 머신러닝 학습 후 유사도에 따라 식별하게 할 수 있다. 이 때문에 최근 급증하는 5G 기반 IoT, OT 정보보호에도 효과적이다.