보안 업계에서 인공 지능은 이제 반드시 갖추어야 할 역량이 되었습니다. 외산, 국산 할 것 없이 보안 솔루션은 인공 지능을 통해 급변하는 사이버 위협에 대응하는 것을 큰 줄기로 삼고 있습니다. 관련해 가장 처음 시작점으로 많은 기업이 보안 로그와 이벤트 분석에 인공 지능 적용을 고민하고 있습니다.
그 이유는? 간단합니다. 하루에도 수없이 올라오는 얼럿(Alert) 속에서 오탐으로 인한 피로도를 낮추고, 진짜 위협을 가려내는 데 있어 인공 지능의 역할이 매우 중요해질 것이기 때문입니다. 물론 인공 지능이 만능열쇠는 아니지만 말이죠. 관련해 사이버 보안 솔루션이 수집하는 로그에 인공 지능을 더 쉽고 편하게 더할 수 있는 방법을 소개한 글이 RAPIDS 블로그에 올라와 주요 내용을 요약해 보았습니다. 핵심만 말하자면 자연어 처리(Natural Language Processing)를 활용하면 보안 로그 파싱 속도와 효율을 드라마틱 하게 높일 수 있다고 합니다.
홍수처럼 쏟아지는 보안 로그 ~ 어떻게 처리하지?
보통 보안 로그 수집과 처리의 경우 SIEM 등 전용 솔루션을 많이 고려하죠. 이들 솔루션도 충분히 좋지만 나날이 늘어만 가는 로그 홍수 속에서 진짜 위협을 제때 가려내려면 뭔가 더 똑똑한 방식의 로그 분석이 필요합니다. 관련해 인공 지능이 주목받는 것은 어찌 보면 당연합니다. 룰이나 시그니처로 위협을 감지하여 얼럿을 생성하는 방식도 여전히 유용하지만, 봐야 할 대상이 너무 많은 경우 인공 지능을 통해 보안 로그 파싱 속도와 효율을 높이는 것도 좋은 방법이 될 수 있습니다.
관련해 구글 BERT((Bidirectional Encoder Representations from Transformers)를 적용해 보안 로그를 바라보는 것에 대한 업계의 관심이 커지고 있죠. 관련해 시도되고 있는 것이 cyBERT 모델입니다. 네, 이기종 보안 솔루션이 쏟아 내는 사이버 보안 로그 데이터를 매우 유연하고 강력하게 파싱하는 것에 대한 실험이 cyBERT입니다. 다음 두 표를 보면 BERT를 사이버 보안 로그 측면에서 왜 중요하게 보는지, cyBERT 모델에 대한 실험이 왜 이루어지고 있는지 대충 감이 오실 것입니다.
cyBERT에 대한 더 자세한 내용은 RAPIDS 블로그 원문을 참조 바랍니다. 보안 솔루션의 경우 과거에는 원천 기술 장벽이 나름 있었는데, 인공 지능 시대로 오면서 뭔가 같은 출발선상에서 경쟁할 수 있는 기회가 주어지는 분위기가 아닌가 싶네요.