[논문]인공지능 기술의 통합보안관제 적용 및 사이버침해대응 절차 개선

고광수; 조인준

doi:10.5392/jkca.2021.21.10.059

인공지능 기술의 통합보안관제 적용 및 사이버침해대응 절차 개선
Application of Integrated Security Control of Artificial Intelligence Technology and Improvement of Cyber-Threat Response Process 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.21 no.10, 2021년, pp.59 - 66

고광수 (배재대학교대학원 사이버보안학과) , 조인준 (배재대학교대학원 사이버보안학과)

초록
AI-Helper

본 논문에서는 통합보안관제에 인공지능 기술을 적용하고, 기존 보안관제와 인공지능 보안관제의 대응절차를 일원화한, 개선된 통합보안관제 절차를 새롭게 제안하였다. 현재의 사이버보안관제는 사람의 능력 수준에 의존도가 매우 높다. 그래서 사람에 의해 여러 이기종 장비에서 발생하는 다양한 로그를 분석하고, 급증하는 보안이벤트를 모두 분석·처리한다는 것은 사실상 무리가 있다. 그리고 문자열과 패턴 일치로 탐지하는 시그니처 기반의 보안장비는 APT(Advanced Persistent Threat)와 같은 고도화·지능화된 사이버공격을 정확히 탐지하기에 기능상 부족한 면이 있다. 이러한 문제들을 해결하기 위한 방안으로 인공지능 지도·비지도학습 기술을 사이버공격 탐지 및 분석에 적용하고, 이를 통해 수 없이 많이 발생하는 로그와 이벤트의 분석을 자동화하여, 고도화된 사이버공격의 지속적인 발생을 예측·차단할 수 있도록 하여 전반적인 측면에서 대응수준을 높였다. 그리고 보안관제에 인공지능 기술을 적용한 후 AI와 SIEM의 중복 탐지 등의 문제점을 일원화 된 침해대응 프로세스(절차)로 통합·해결함으로써 개선된 통합보안관제 서비스 모델을 새롭게 제안하였다.

Abstract ▼ AI-Helper

In this paper, an improved integrated security control procedure is newly proposed by applying artificial intelligence technology to integrated security control and unifying the existing security control and AI security control response procedures. Current cyber security control is highly dependent on the level of human ability. In other words, it is practically unreasonable to analyze various logs generated by people from different types of equipment and analyze and process all of the security events that are rapidly increasing. And, the signature-based security equipment that detects by matching a string and a pattern has insufficient functions to accurately detect advanced and advanced cyberattacks such as APT (Advanced Persistent Threat). As one way to solve these pending problems, the artificial intelligence technology of supervised and unsupervised learning is applied to the detection and analysis of cyber attacks, and through this, the analysis of logs and events that occur innumerable times is automated and intelligent through this. The level of response has been raised in the overall aspect by making it possible to predict and block the continuous occurrence of cyberattacks. And after applying AI security control technology, an improved integrated security control service model was newly proposed by integrating and solving the problem of overlapping detection of AI and SIEM into a unified breach response process(procedure).

주제어

표/그림 (11)

그림 그림 1. 2020년 악성코드 탐지․대응 동향
그림 그림 2. 보안관제 기술 변화
그림 그림 3. 위협탐지 누수(미탐·오탐)
그림 그림 4. 지도학습 알고리즘 원리
그림 그림 5. 인공지능 지도학습 알고리즘
그림 그림 6. 비지도학습 알고리즘 원리
그림 그림 7. 인공지능 비지도학습 알고리즘
그림 그림 8. 인공지능 보안관제 솔루션 탐지
표 표 1. 기존 보안관제와 인공지능 보안관제 비교
그림 그림 9. 기존 보안관제와 인공지능 보안관제의 침해대응 절차 통합 흐름도
표 표 2. SIEM 및 인공지능 보안관제 침해대응 절차 통합 전·후

AI 본문요약
AI-Helper

가설 설정

하지만 해당 기술을 보안관제 현장에 구축하여 적용한 결과 3가지 문제점이 확인 되었다. 첫째 기존 의보 안 관제와 인공지능 보안관제가 서로 개별로 동작한다는 것이다. 보안관제 운영자는 중복 이벤트가 발생하는 두 시스템의 탐지 결과를 모두 확인해야 하는 어려움이 발생하였다.

제안 방법

본 논문에서는 빅데이터로그 기반 SIEM을 진화시켜, 당면한 사이버보안관제의 문제점 개선 방안을 제안하였다. 기본 구상은 최근의 추세를 반영, 인공지능기술을 보안관제 영역에 도입하여 SIEM 기반 보안관제의 난제들을 기술적으로 극복하고, 기존 보안관제와 인공지능 보안 관제 간의 긴밀한 연계를 통해 보다 개선된 통합보안관제 체계의 절차적 통합 방안을 제시하였다. 논문의 구성으로 제 Ⅱ장에서는 관련 연구로서 기존 통합보안관제 체계의 현황과 문제점, 그리고 인공지능 기반 보안관제 체계의 필요성에 대하여 서술하였다.
본 논문에서는 빅데이터로그 기반 SIEM을 진화시켜, 당면한 사이버보안관제의 문제점 개선 방안을 제안하였다. 기본 구상은 최근의 추세를 반영, 인공지능기술을 보안관제 영역에 도입하여 SIEM 기반 보안관제의 난제들을 기술적으로 극복하고, 기존 보안관제와 인공지능 보안 관제 간의 긴밀한 연계를 통해 보다 개선된 통합보안관제 체계의 절차적 통합 방안을 제시하였다.
본 장에서는 3장에서 제시된 인공지능 기술을 보안관제의 현장 적용․활용시 나타한 한계를 기술하고, 이를 해결하기 위해 기존 보안관제와 인공지능 기반 보안관제의 연계를 통한 침해대응 절차 개선 방안에 대하여 기술하였다.
본 절에서는 인공지능 비지도학습 알고리즘의 보안관제 적용을 통해 기존의 보안관제체계에서 탐지하기 어려운 복합적 이상행위(Anomaly Action)등의 고도화된 사이버공격 탐지방안을 제시한다.
본 절에서는 인공지능 지도학습 알고리즘의 보안관제 적용을 통해 수많은 사이버공격 보안이벤트의 정․오탐 판단(예측)을 자동화 함으로써 기존 보안관제의 문제점 해결방안을 제시하였다.
인공지능 보안관제 기술을 활용하는데 있어, 한계상황을 해결하기 위해서는 여러가지 방안이 있을 수 있다. 본 절에서는 하나의 방안으로 접근성이 가장 용이한 기존의 통합보안관제(SIEM 이용)와 인공지능 보안관제의 침해대응 절차(프로세스)를 통합하는 방안을 다음과 같이 제안하였다.
제 Ⅲ장에서는 인공지능 기술인 지도학습(Supervised Learning)과 비지도학습(Unsupervised Learning) 알고리즘을 보안관제에 심층 적용하고, 이를 통해 기존보안관제 문제점의 구체적인 해결 방안을 제시하였다. 제 Ⅳ장은 앞 장에서 제시된 인공지능 보안관제와 기존보안관제의 개별적 동작에 의한 보안관제 한계를 정리하고, 이를 개선하기 위한 보안관제 프로세스 통합 절차 방안을 제안하였다. 그리고 제 Ⅴ장은 본 연구의 결론으로 연구의 결과를 정리하고 향후 인공지능 보안관제가 나아가야할 연구 방향에 대하여 기술하였다.

이론/모형

쉽게 설명해서 동물(기린, 고양이)에 대한 모양과 이름의 사례들을 학습 시켜, 새로운 동물의 질문에 대해답을 내리게 하는 인공지능 기술이다. 이러한 지도학습은 CATBoost(범주형 문제처리), Stochastic Gradient Descent(확률적 경사 하강법) 등의 머신러닝 알고리즘을 사용하여 시그니처 기반 사이버공격 탐지 부분에 적용한다.

성능/효과

둘째 인공지능 보안관제의 탐지 이벤트가 [그림 8]에 보는 바와 같이 매우 많이 발생하여 운영자가 전체를 분석 하는 것은 시간적으로 불가능하였다. 셋째 인공지능 보안관제의 탐지 결과는 해당 위협에 대한 위험도 예측이기 때문에 보안관제 운영자가 재검증해야 하는 상황은 심리적으로 가장 큰 애로사항이다.
둘째, SIEM의 상관분석 기능을 활용하여 대량으로 발생되는 탐지 결과를 그룹핑 하여 대응할 수 있다. 셋째, 각 솔루션 간 처리 결과 값이 자동으로 서로에게 피드백 되어 탐지 위험도 예측 신뢰성이 지속적으로 향상 된다는 것이다. 즉, 인공지능 기술 기반 보안관제의 ‘위험도 예측’ 학습이 자동화 된다는 것이다.
인공지능의 보안관제 적용을 통하여 인적․시간적 자원을 절감과 잠재적 위험을 예방할 수 있는 효과가 나타났다. 하지만 해당 기술을 보안관제 현장에 구축하여 적용한 결과 3가지 문제점이 확인 되었다.

후속연구

논문을 마치며 이러한 선진 기술들의 지속적인 연구를 통하여 보다 안전한 사이버 세상을 만들어 가는 데 이바지 되길 기대한다.

참고문헌 (10)

국경완, 공병철, 인공지능을 활용한 보안기술 개발 동향, 정보통신기획평가원, 2019.
한국인터넷진흥원, 악성코드_은닉사이트_탐지_동향_보고서(20년_하반기), 2020.
김기영, 김종현, "빅데이터 환경에서 통합 보안관제를 위한 이종 보안정보 이벤트 수집 및 공유기술 동향," 한국정보기술학회지, 제10권, 제3호, pp.23-30, 2012.

상세보기
https://www.igloosec.com
최동열, 안은영, "빅데이터를 이용한 자동 이슈 분석 시스템," 한국콘텐츠학회논문지, Vol.20, No.2, pp.240-247, 2020.

원문보기 상세보기
Cisco 2018 Security Capabilities Benchmark Study, 2018.
유홍렬, 정성미, 권태경, "새롭게 진화하는 위협의 패러다임 - 지능형 지속 위협(APT)," 전자공학회지, Vol.41, No.4, pp.16-30, 2014.

원문보기 상세보기
김규일, 박학수, 최지연, 고상준, 송중석, "보안관제 효율성 제고를 위한 실증적 분석 기반 보안이벤트 자동검증 방법," 정보보호학회논문지, Vol.24, No.3, pp.507-522, 2014.

원문보기 상세보기
류권상, 최대선, "인공지능 보안 공격 및 대응 방안 연구 동향," 정보보호학회지, Vol.30, No.5, pp.93-99, 2020.

원문보기 상세보기
이세호, 조인준, "사이버보안 프레임워크 기반의 보안 오케스트레이션 서비스 모델 제안," 한국콘텐츠학회논문지, Vol.20, No.7, pp.618-628, 2020.

원문보기 상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증