당신의 네트워크가 맥락을 파악할 수 있는가? 이러한 부분에서 머신러닝이 도움을 줄 수 있다.
CIO의 최우선 현안은 무엇일까? CIO의 직무가 무엇인지 한마디로 명확하게 표현할 수 있을까? 기업 이사회와 고위 임원은 (정보시스템 회사가 아닌 이상) 자사의 정보시스템에 많이 신경 쓰지 않는다. 그러나 이들도 신경 쓰며 걱정하는 것이 한 가지 있다. 바로 보안 침해와 지속적인 사이버 위협이다.
조직 내에 최고정보보호책임자(CISO)가 있든 없든, CIO로서 당신의 최우선 현안은 조직을 보호하는 것이다. 기업 정보 자산의 보호를 위해 고려해볼 수 있는 방법을 소개한다.
게이팅 게임
'게이팅 게임(Gating game)'이란 게이머가 퍼즐을 풀어야만 앞으로 나아갈 수 있는 전략 또는 모험 경기를 말한다. 게이머는 출입구를 여는 도구를 발견하거나 다음 스테이지로 향하는 경로를 알려주는 수수께끼를 풀어야 한다. 게이머는 이러한 과제가 자신의 지적 능력을 측정하는 것이라 생각하곤 한다. 그래서 몇 날 며칠씩 문제를 해결하는 데 골몰한다.
(해커의) 관심 영역을 분할하고 물리적 관문이 아닌 논리적 관문을 통해 흐름을 통제한다는 발상은 보안에 걸맞는 개념인 것처럼 보인다. 다소 딱딱한 비유일 수 있지만 교정 시설은 실시간 감시 가능한 범위 내에서만 각 구역에 접근할 수 있게 함으로써 수감자를 관리한다. 특정 행위가 발생하면 일련의 이벤트가 촉발돼 적정 영역을 차단하여 잠재적 위험을 막는다.
현명한 CIO라면 이 두 가지 개념을 결합해 행동 인지와 문제 해결에 바탕을 둔 보안 시스템을 구축할 수 있다.
제로 트러스트가 아니다. '제로 에포트(effort)'다.
다음은 발신자 및 수신자 네트워크와 그에 따른 클라이언트-서버 조합이 포함된 이메일 시스템 기본 개요다. 녹색 상자는 이메일을 주고받는 사용자다. 노란색 양방향 화살표는 인증행위 및 이메일 클라이언트와의 상호작용을 나타낸다.
밝은색 푸른 상자는 사용자를 지원하는 이메일 클라이언트-서버 시스템을 말하며, 푸른색 화살표는 시스템 내의 상호 연결성을 의미한다(어두운 푸른 상자는 기업 재량에 놓여 있는 네트워크 자원과 컴퓨팅 자원이다).
악성 봇은 노란 화살표를 지나기만 하면 모든 네트워크를 돌아다닐 수 있다. 이런 일은 조직에서도 일어난다. 서버에서 실행되는 바이러스 탐지 과정은 의심스러운 클라이언트에 초점을 맞춘다. 이에 의해 해당 하드웨어 리소스에 연루된 사용자는 처벌 받거나 아니면, 소셜 엔지니어링의 사기행각에 관해 통보 받은 뒤 교육을 받는다.
맥락 인식 시스템 구축
하지만 과연 서버가 각 클라이언트의 동작 이력을 추적해 위협 요소를 적절하게 차단할 수 있을까? 조직의 서버가 각 클라이언트를 한 명의 사용자로 취급해 명목적으로 인증을 요청하면 어떻게 될까?
반대로, 각 클라이언트가 서버 및 이용자와의 상호작용 이력을 생성한다면 어떻게 될까? 대량의 거래 데이터를 고려한다면, 클라이언트와 서버에서 둘다 실행되는 머신러닝 알고리즘은 분명 사이버 위협에 대해 정보에 기반한 결정을 내릴 수 있다.
네트워크에 결정 관문이 많아진다면 바이러스나 해커가 자유롭게 돌아다닐 수 있는 영역이 크게 줄어든다(위의 그림에서 어두운 푸른색으로 칠해진 클라이언트-서버 네트워크는 온-보드 인공지능을 나타낸다).
이는 단순히 머신러닝 알고리즘을 보안에 도입해야 함을 우회적으로 시사하는 것이 아니다. 오히려 시스템 컴포넌트들이 맥락을 더욱 잘 파악하여 이들의 자율적 의사 결정을 향상시키라는 권고에 가깝다. ciokr@idg.co.kr