2018.05.23

'진화하는 위협, AI로 맞선다' 소포스의 프로젝트 다윈

Tamlin Magee | Computerworld UK
사이버보안 업체 소포스의 최고 혁신 책임자 댄 시아파는 사이버보안 업계가 보안 결정에 AI를 수용하는 데 함께 나서야 한다고 주장했다.



사이버보안 업체 소포스가 진화론자 찰스 다윈의 정신을 이어받아 연결형 사이버보안이라는 자사의 비전을 보안 업계 전반에 전파하려 한다. 소포스는 APIs 및 기타 써드파티와 협력하여 정교하고 복합적인 보안 문제를 해결하려 하고 있다.

소포스 제품 담당 SVP를 지냈고 현재는 이 회사의 최고 혁신 책임자인 댄 시아파는 보안 관련 의사 결정에 인공지능을 적용하는데 업계 전체가 합치된 접근을 할 필요가 있다고 말했다.

시아파는 <컴퓨터월드UK>와의 인터뷰에서 소포스의 ‘다윈 프로젝트’가 어떻게 이전 프로젝트들로부터 진화해 왔는가를 설명하였다.

유선 인터뷰에서 그는 “우리가 ‘동기화 보안(synchronised security)’이라는 개념을 처음 제안한 지 4년여가 지났다. 보안 상품들이 상호 직접 소통하며 정보를 공유한다는 개념이다. 간단하게는 특정 엔드포인트에서 문제가 감지될 경우 해당 정보를 방화벽에 전달하고, 방화벽은 해당 엔드포인트가 외부와 통신하는 것을 차단하는 식의 구조도 동기화 보안의 한 예다”고 이야기했다.

소포스는 이 개념을 확장해 네트워크 안의 위협 확장을 차단하고 각 엔드포인트가 방화벽과 현재 구동 중인 애플리케이션 정보 등에 관한 내용을 통신할 수 있는 구조를 개발했다.

소포스의 모델은 방화벽이 애플리케이션에 대한 시각을 확보하지 못했던 기존 구조를 탈피해 방화벽 차원에서 개별 정책 설정과 관련한 의사결정을 내릴 수 있도록 한다.

소포스의 다음 목표는 이런 접근법을 신경 네트워킹과 결합해 ‘최초 감염'이 발생하기 전에 악성 파일을 선행적으로 감지하는 것이다.

이를 위해서는 네트워크 안의 ‘엔드포인트'과 ‘실행 지점'을 아우르는 센서 전반의 데이터가 필요해진다. IoT 기기, 접근점, 방화벽, 실패한 인증 등이 모두 여기 포함된다. 어떤 기기나 사건이라도 현재 해당 지점에서 발생한 사건을 다른 곳과 공유해야 한다는 것이 이 아이디어의 핵심이다.

적자생존
시아파는 “우리가 다윈의 이름을 빌려온 것은 적자생존이 가장 강하거나, 가장 똑똑한 이의 생존을 의미하는 것이 아니라 가장 환경과 변화에 잘 적응하는 이의 생존을 의미했기 때문이다. 계속해서 변화하는 IT 환경(새로운 기기, 새로운 클라우드 서비스, 새로운 직원의 출현 등)에서는 다양한 센서를 통해 전체적인 생태계에 대한 통찰력을 가지고 있어야 한다”고 말했다.

그는 “딥러닝 AI를 이용하여 센서에서 추출한 정보를 분석하고, 실행 지점에서 실시간으로 눈에 보이는 것에 대응할 수 있도록 해야 한다. 이것이 바로 보안산업이 지향해야 할 방향이다”고 덧붙였다.

소포스는 자체적으로도 충분히 정보들을 연결할 수 있을 만큼 방대한 제품 생태계를 구축하고 있지만, 아직 소포스가 영향을 미치지 못하는 분야들도 많다. 소포스의 이러한 요청은 업계 전반에 협력을 요청하는 외침이라는 것이 시아파의 해석이다. 즉, 써드파티에 API를 공개하자는 것이다.

그는 “생태계 전체가 이러한 태도를 수용해야 한다고 생각한다. 왜냐하면 그 어떤 고객도 100% 소포스의 제품이나, 어느 한 기업만의 제품을 사용하지는 않을 것이기 때문이다. 물론 개별 기업 입장에서는 그런 것을 바라겠지만... 그런 일은 거의 없다”고 이야기했다.

이어서 “당장 소포스부터 우리의 기술에 대하여 이러한 태도를 수용할 것이다. 우리는 다크트레이스나 혹은 우리에게 없는 취약점 분석 기술을 가진 기업들에게 API를 공개할 것이다. 이들이 (우리의) 생태계와 연결되고, 참여하여 센서 정보를 제공하거나 실행 지점이 되어줄 수도 있다”고 그는 말했다.


기술력 격차
시아파의 최종 목표는 각기 다른 다수의 영역에서 데이터를 수집해 리스크를 줄이는 지능형 구조를 완성하는 것이다.

이를테면 위험 지역으로 출장을 떠난 회사원이 패치가 적용되지 않은 업무용 서버에 원격 접근할 경우, 서버 차원에서 이를 감지해 해당 직원이 안전한 사무실에 들어가기 전까진 접근을 자동 차단하는 식이다.

이런 구조가 구현되려면 다른 보안 업체뿐 아니라 컨커(Concur)와 같은 출장 및 비용 관리 솔루션들과도 공조 체계를 구축해 상호 정보 공유가 이뤄져야 한다.

시아파는 “현재 가장 큰 문제는 우리가 보호해야 할 자원이 너무 많다는 점이다. 이를 위해 우리는 서로 완전히 분리된 제품들을 위한 수많은 보안 통제 솔루션을 갖추고 있다. 여기에서 수집된 무수한 정보를 보안 애널리스트에게 전달하는 것이 현재의 업무 구조인데, 이것의 맹점은 분석 결과의 품질이 담당 애널리스트의 역량에 크게 좌우된다는 점이다”라고 설명했다.

이어서 그는 “이런 구조에서 결과 도출은 몇 시간이 걸리기도 한다. 더군다나 이렇게 보안 리포트를 받아보면 감지된 활성 공격 가운데 60% 이상이 이미 한 달 이상 네트워크에 머무르고 있던 것임을 알 수 있다. 이미 침입해 필요한 정보는 다 캐낸 상태라는 것이다. 물론 공격 시도의 많은 부분은 아주 기본적인 랜섬웨어들이고 이것은 조금만 신경 써도 충분히 잡을 수 있다”고 덧붙였다.

“그렇지만 이보다 정교하고 복잡한 것들의 조합인 경우, 매우 숙련된 보안 애널리스트를 믿어야 한다. 문제는 우리가 제공하는 정보가 너무 많아서 애널리스트가 살펴봐야 하는 부분이 너무 많다는 것이다. 결국 이들은 꼭 필요한 부분만을 살펴보게 된다. 모든 것을 다 커버할 만큼 충분한 수의 보안 애널리스트를 고용할 수 없기 때문이다.”

사이버보안 기술력 격차는 이러한 문제를 악화시키고 있다. 한 애널리스트는 채용과 교육에 대한 급진적이고 새로운 접근 방식을 취하지 않는 이상 2022년까지 기술력 격차가 180만 명으로 증가할 수 있다고 말한다. 이로 인해 대기업들이 가장 훌륭한 최상급 인재를 다 데려가게 되고, 중소기업들은 인력난에 허덕이게 된다. 공급망 중 빈틈이 한 곳만 있어도 전체가 피해를 입게 된다.

위에서 말한 ‘급진적’ 방식들 중 하나는 중소기업 티어의 등식에서 아예 애널리스트를 배제하는 것이다. 물론 이렇게 되면 찰스 다윈보다는 <인구론>의 저자이자 경제학자인 토머스 맬서스에 더 가까운 방식이 될 수도 있다.

시아파에 따르면 소포스가 프로젝트 다윈으로 달성코자 하는 것은 애널리스트들의 워크로드 줄이기다. 경우에 따라서는 아예 애널리스트를 AI로 대체하고자 하는 것일 수도 있다. 딥러닝이 그 일을 대신할 수 있게 된다면 더 이상 인간 애널리스트를 신뢰하지 않아도 된다.

그는 “AI를 믿고 운전도 맡기는 세상에서 보안 관련 의사 결정에 동일한 기술을 적용하지 못할 이유는 없다”고 강조했다. ciokr@idg.co.kr
 



2018.05.23

'진화하는 위협, AI로 맞선다' 소포스의 프로젝트 다윈

Tamlin Magee | Computerworld UK
사이버보안 업체 소포스의 최고 혁신 책임자 댄 시아파는 사이버보안 업계가 보안 결정에 AI를 수용하는 데 함께 나서야 한다고 주장했다.



사이버보안 업체 소포스가 진화론자 찰스 다윈의 정신을 이어받아 연결형 사이버보안이라는 자사의 비전을 보안 업계 전반에 전파하려 한다. 소포스는 APIs 및 기타 써드파티와 협력하여 정교하고 복합적인 보안 문제를 해결하려 하고 있다.

소포스 제품 담당 SVP를 지냈고 현재는 이 회사의 최고 혁신 책임자인 댄 시아파는 보안 관련 의사 결정에 인공지능을 적용하는데 업계 전체가 합치된 접근을 할 필요가 있다고 말했다.

시아파는 <컴퓨터월드UK>와의 인터뷰에서 소포스의 ‘다윈 프로젝트’가 어떻게 이전 프로젝트들로부터 진화해 왔는가를 설명하였다.

유선 인터뷰에서 그는 “우리가 ‘동기화 보안(synchronised security)’이라는 개념을 처음 제안한 지 4년여가 지났다. 보안 상품들이 상호 직접 소통하며 정보를 공유한다는 개념이다. 간단하게는 특정 엔드포인트에서 문제가 감지될 경우 해당 정보를 방화벽에 전달하고, 방화벽은 해당 엔드포인트가 외부와 통신하는 것을 차단하는 식의 구조도 동기화 보안의 한 예다”고 이야기했다.

소포스는 이 개념을 확장해 네트워크 안의 위협 확장을 차단하고 각 엔드포인트가 방화벽과 현재 구동 중인 애플리케이션 정보 등에 관한 내용을 통신할 수 있는 구조를 개발했다.

소포스의 모델은 방화벽이 애플리케이션에 대한 시각을 확보하지 못했던 기존 구조를 탈피해 방화벽 차원에서 개별 정책 설정과 관련한 의사결정을 내릴 수 있도록 한다.

소포스의 다음 목표는 이런 접근법을 신경 네트워킹과 결합해 ‘최초 감염'이 발생하기 전에 악성 파일을 선행적으로 감지하는 것이다.

이를 위해서는 네트워크 안의 ‘엔드포인트'과 ‘실행 지점'을 아우르는 센서 전반의 데이터가 필요해진다. IoT 기기, 접근점, 방화벽, 실패한 인증 등이 모두 여기 포함된다. 어떤 기기나 사건이라도 현재 해당 지점에서 발생한 사건을 다른 곳과 공유해야 한다는 것이 이 아이디어의 핵심이다.

적자생존
시아파는 “우리가 다윈의 이름을 빌려온 것은 적자생존이 가장 강하거나, 가장 똑똑한 이의 생존을 의미하는 것이 아니라 가장 환경과 변화에 잘 적응하는 이의 생존을 의미했기 때문이다. 계속해서 변화하는 IT 환경(새로운 기기, 새로운 클라우드 서비스, 새로운 직원의 출현 등)에서는 다양한 센서를 통해 전체적인 생태계에 대한 통찰력을 가지고 있어야 한다”고 말했다.

그는 “딥러닝 AI를 이용하여 센서에서 추출한 정보를 분석하고, 실행 지점에서 실시간으로 눈에 보이는 것에 대응할 수 있도록 해야 한다. 이것이 바로 보안산업이 지향해야 할 방향이다”고 덧붙였다.

소포스는 자체적으로도 충분히 정보들을 연결할 수 있을 만큼 방대한 제품 생태계를 구축하고 있지만, 아직 소포스가 영향을 미치지 못하는 분야들도 많다. 소포스의 이러한 요청은 업계 전반에 협력을 요청하는 외침이라는 것이 시아파의 해석이다. 즉, 써드파티에 API를 공개하자는 것이다.

그는 “생태계 전체가 이러한 태도를 수용해야 한다고 생각한다. 왜냐하면 그 어떤 고객도 100% 소포스의 제품이나, 어느 한 기업만의 제품을 사용하지는 않을 것이기 때문이다. 물론 개별 기업 입장에서는 그런 것을 바라겠지만... 그런 일은 거의 없다”고 이야기했다.

이어서 “당장 소포스부터 우리의 기술에 대하여 이러한 태도를 수용할 것이다. 우리는 다크트레이스나 혹은 우리에게 없는 취약점 분석 기술을 가진 기업들에게 API를 공개할 것이다. 이들이 (우리의) 생태계와 연결되고, 참여하여 센서 정보를 제공하거나 실행 지점이 되어줄 수도 있다”고 그는 말했다.


기술력 격차
시아파의 최종 목표는 각기 다른 다수의 영역에서 데이터를 수집해 리스크를 줄이는 지능형 구조를 완성하는 것이다.

이를테면 위험 지역으로 출장을 떠난 회사원이 패치가 적용되지 않은 업무용 서버에 원격 접근할 경우, 서버 차원에서 이를 감지해 해당 직원이 안전한 사무실에 들어가기 전까진 접근을 자동 차단하는 식이다.

이런 구조가 구현되려면 다른 보안 업체뿐 아니라 컨커(Concur)와 같은 출장 및 비용 관리 솔루션들과도 공조 체계를 구축해 상호 정보 공유가 이뤄져야 한다.

시아파는 “현재 가장 큰 문제는 우리가 보호해야 할 자원이 너무 많다는 점이다. 이를 위해 우리는 서로 완전히 분리된 제품들을 위한 수많은 보안 통제 솔루션을 갖추고 있다. 여기에서 수집된 무수한 정보를 보안 애널리스트에게 전달하는 것이 현재의 업무 구조인데, 이것의 맹점은 분석 결과의 품질이 담당 애널리스트의 역량에 크게 좌우된다는 점이다”라고 설명했다.

이어서 그는 “이런 구조에서 결과 도출은 몇 시간이 걸리기도 한다. 더군다나 이렇게 보안 리포트를 받아보면 감지된 활성 공격 가운데 60% 이상이 이미 한 달 이상 네트워크에 머무르고 있던 것임을 알 수 있다. 이미 침입해 필요한 정보는 다 캐낸 상태라는 것이다. 물론 공격 시도의 많은 부분은 아주 기본적인 랜섬웨어들이고 이것은 조금만 신경 써도 충분히 잡을 수 있다”고 덧붙였다.

“그렇지만 이보다 정교하고 복잡한 것들의 조합인 경우, 매우 숙련된 보안 애널리스트를 믿어야 한다. 문제는 우리가 제공하는 정보가 너무 많아서 애널리스트가 살펴봐야 하는 부분이 너무 많다는 것이다. 결국 이들은 꼭 필요한 부분만을 살펴보게 된다. 모든 것을 다 커버할 만큼 충분한 수의 보안 애널리스트를 고용할 수 없기 때문이다.”

사이버보안 기술력 격차는 이러한 문제를 악화시키고 있다. 한 애널리스트는 채용과 교육에 대한 급진적이고 새로운 접근 방식을 취하지 않는 이상 2022년까지 기술력 격차가 180만 명으로 증가할 수 있다고 말한다. 이로 인해 대기업들이 가장 훌륭한 최상급 인재를 다 데려가게 되고, 중소기업들은 인력난에 허덕이게 된다. 공급망 중 빈틈이 한 곳만 있어도 전체가 피해를 입게 된다.

위에서 말한 ‘급진적’ 방식들 중 하나는 중소기업 티어의 등식에서 아예 애널리스트를 배제하는 것이다. 물론 이렇게 되면 찰스 다윈보다는 <인구론>의 저자이자 경제학자인 토머스 맬서스에 더 가까운 방식이 될 수도 있다.

시아파에 따르면 소포스가 프로젝트 다윈으로 달성코자 하는 것은 애널리스트들의 워크로드 줄이기다. 경우에 따라서는 아예 애널리스트를 AI로 대체하고자 하는 것일 수도 있다. 딥러닝이 그 일을 대신할 수 있게 된다면 더 이상 인간 애널리스트를 신뢰하지 않아도 된다.

그는 “AI를 믿고 운전도 맡기는 세상에서 보안 관련 의사 결정에 동일한 기술을 적용하지 못할 이유는 없다”고 강조했다. ciokr@idg.co.kr
 

X