2020-03-31 22:30 (화)
IBM, 인공지능 기반 '큐레이더 어드바이저 위드 왓슨'에 신규 보안기능 추가
상태바
IBM, 인공지능 기반 '큐레이더 어드바이저 위드 왓슨'에 신규 보안기능 추가
  • 길민권 기자
  • 승인 2018.11.29 14:03
이 기사를 공유합니다

IBM의 AI 기반 보안솔루션인 'IBM 큐레이더 어드바이저 위드 왓슨(IBM QRadar Advisor with Watson, QAW)'에 새로운 기능이 추가됐다. 새롭게 추가된 기능을 통해, IBM 큐레이더어드바이저위드왓슨 솔루션은 새로운 종류의 사이버공격 패턴을 식별하고, 고객 환경에 맞춤화 된 분석 및 학습이 가능하게 됐다. 이와 더불어 다양한 사이버보안 전문가들의 실제 사례 및 지식을 바탕으로 개발된 사이버범죄 행동 관련 오픈소스 지침서인 ‘마이터어택’을 활용하게 됐다. 이를 통해, 보안분석가들은 사이버공격의 진화과정에 대해 이해하고 추후 전개상황을 예측할 수 있게 됐다.

2021년에는 사이버보안 인력부족이 최대 350만명에 달할 것으로 예측된다. 이에 따라 보안부서는 방대한 규모의 사이버보안 위협과 경보를 효과적으로 분석하고 대응할 수 있는 역량을 확보하기 위해 노력중이다. 큐레이더어드바이저위드왓슨은 외부 보안커뮤니티로부터 입수할 수 있는 최신 리서치 자료와 조직내에서 발생하는 상황을 기반으로 학습한다. 이런 AI 및 머신러닝 기술을 적용할 경우 보안분석가들은 필요한 지식을 획득하고, 자동화 기능을 도입해 보다 신속하고 효과적으로 위협에 대응할 수 있다.

조직내 위협에 대한 새로운 학습모델 적용

IBM 시큐리티는 조직내에서 발생하는 위협의 행동양식과 보안대응조치를 학습하고 컨텍스트화 할 수 있도록 지원해 큐레이더어드바이저위드왓슨의 학습능력을 강화했다. 큐레이더어드바이저위드왓슨을 통해 보안분석가들은 구조화 및 비구조화된 보안데이터를 외부소스로부터 수집하고 판독하여 이해할 수 있게 됐다. 아울러 가장 관련성이 높은 정보를 통해 특정한 위협에 관한 사실을 파악할 수 있게 됐다. 이외에도 큐레이더어드바이저위드왓슨은 고객사내에서 발생한 모든 이벤트에 관한 사항들에 대해서도 학습하고 있다. 이번에 새롭게 추가된 2가지 기능은 다음과 같다.

◇위협처분 모델

큐레이더어드바이저는 조직내에서 과거에 발생한 유사 이벤트에 대한 조치와 결과를 기반으로 새로운 알고리즘을 적용해 특정한 유형의 위협에 대한 모델을 구축한다. 새로운 조사가 시작될 경우 이 모델을 적용해 오탐가능성을 방지하거나 보안분석가가 특정한 위협을 멀웨어나 데이터 유출 혹은 기타 유형의 위협으로 보고할 것인지 여부를 판단할 수 있도록 지원한다. 이 기능은 사용횟수가 늘어 날수록 보안분석가와의 상호작용에 기반한 학습과 적응을 통해 인텔리전트 능력이 향상된다.

◇조사간(Cross-Investigation) 분석

다수의 보안분석가들이 기업의 보안관제센터(SOC) 내에서 상호간에 관련성을 갖는 상이한 공격들을 나누어 담당하거나, 장기적이며 단일한 공격으로 인해 수개월 간격을 두고 경보를 탐지하는 경우가 발생할 수 있다. 큐레이더어드바이저는 조사간 분석기능을 기반으로 인지적 추론을 통해 상이한 조사들간의 공통점을 발견할 수 있다. 아울러, 서로 연관 된조사들을 자동으로 분류해 업무가 중복되는 상황을 방지하고 조사에 필요한 정보를 제공한다.

보안분석가는 새로운 학습모델을 갖춘 큐레이더어드바이저위드왓슨과 보안커뮤니티에서 발표하는 결과를 학습하는 왓슨포사이버시큐리티의 분석기능을 통해 보다 심층적이고 일관된 조사를 진행하며 보다 신속하고 효율적으로 위협에 대응할 수 있다.

사이버범죄 행동에 관한 오픈소스 지침서 활용

마이터어택은 업계전반의 사이버보안 전문가들로부터 입수한 실제사례와 인사이트를 토대로 개발된 사이버 범죄행동에 관한 오픈소스 지침서다. 마이터어택은 위협이 발생하고 진행되는 과정에서 나타나는 단계별 패턴과 행위를 정의한다. 큐레이더어드바이저위드왓슨은 마이터어택프레임워크를 활용해 외부의 공격과 내부의 위협이 고객의 인프라내에서 어떻게 진행되고 있는지에 관한 분석까지도 제공할 수 있다. 예를들면, 멀웨어가 조직에 지금 침투했는지, 또는 패스워드나 신용카드 정보 등의 데이터를 이미 수집했는지 등을 분석할 수 있다. 아울러 신뢰수준과 더불어 각 공격단계에 관련된 증거도 제시한다. 더불어, 해당 기능은 보안분석가가 공격이 진행되는 상황을 시각화할 수 있도록 지원한다. 따라서 특정한 사건이 위협 수명주기상에서 어느 단계에 위치하는지, 다음 행동은 무엇이 될지를 즉각적으로 이해할 수 있어 대응시간과 효과를 대폭 향상할 수 있다.

★정보보안 대표 미디어 데일리시큐!★