보고서 정보
주관연구기관 |
코드원 |
연구책임자 |
정연일
|
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2024-02 |
과제시작연도 |
2023 |
주관부처 |
과학기술정보통신부 Ministry of Science and ICT |
등록번호 |
TRKO202400004695 |
과제고유번호 |
1711193722 |
사업명 |
디지털전환K-SW기술개발(R&D) |
DB 구축일자 |
2024-07-22
|
키워드 |
인공지능.보안운영센터.통합보안솔루션.보안 정보 이벤트 관리.포스트 코로나.Artificial Intelligence.SOC (Security Operation Center).Integrated Security Solution.SIEM (Security Information,Event Management).Post-COVID-19.
|
초록
▼
□ 연구개발 목표 및 내용
◎ 최종 목표
◦ 포스트 코로나 시대의 보안 환경 개선을 위한 인공지능형 SOC 시스템 개발
- 보안 정보 이벤트들을 저·중·고 위험도 수준으로 분류
- 저위험도 보안 이벤트는 자동 처리
- 중·고위험도 보안 이벤트는 학습에 의해 처리 방식 제안
- 즉각 대응이 가능한 스마트폰 메시지를 통한 실시간 알림
- 실시간 현황을 알 수 있는 보안 관제 대시 보드 지원
- 모바일 환경을 위한 비대면/원격처리 지원
◎ 전체 내용
◦ 보안 관제의 필요성이 증
□ 연구개발 목표 및 내용
◎ 최종 목표
◦ 포스트 코로나 시대의 보안 환경 개선을 위한 인공지능형 SOC 시스템 개발
- 보안 정보 이벤트들을 저·중·고 위험도 수준으로 분류
- 저위험도 보안 이벤트는 자동 처리
- 중·고위험도 보안 이벤트는 학습에 의해 처리 방식 제안
- 즉각 대응이 가능한 스마트폰 메시지를 통한 실시간 알림
- 실시간 현황을 알 수 있는 보안 관제 대시 보드 지원
- 모바일 환경을 위한 비대면/원격처리 지원
◎ 전체 내용
◦ 보안 관제의 필요성이 증가하고 있지만 기존 SOC 시스템의 문제점으로 도입 및 운영에 어려움이 존재
◦ 기존 SOC 시스템의 문제점을 해결하기 위하여 이벤트 처리에 AI 기술을 도입, 실시간 운영을 위하여 모바일 환경을 지원
◦ SIEM 로그 보안 데이터를 분석하여 위험도 별 분류
◦ 저위험도 보안 이벤트의 경우 단순 반복 처리 작업의 경우 보안 분석가의 관여 없이 자동으로 해당 이벤트 처리
◦ 중·고위험도 보안 이벤트의 경우 보안 분석가가 기존의 처리된 내용을 참고하여 해당 이벤트를 처리할 수 있도록 처리 방식에 대한 대안 제시
◦ 즉각 대응 및 빠른 전달을 위해서 스마트폰으로 실시간 전달 및 알람 처리
◦ SOC 운영을 위한 실시간 대시보드를 이용한 종합 현황, 침해 정보, 관제 요청 상황, 침해 IP 등 시각화 Web 서비스 지원
◎ 1차년
● 목표
◦ SOC Portal
- 실시간 현황을 확인 가능 대시보드
- 3DMap을 이용한 관제 대시보드
- 보안 이벤트 처리 티켓팅 시스템
- 각종 게시판 및 보고서 작성 시스템
◦ Mobile SOC Portal
- 모바일용 관제 상황 대시보드
- 모바일용 3DMap을 이용한 관제 대시보드
- 모바일용 게시판 및 보고서 시스템
◦ PUSH Management System
- 위험 알람 및 경고 실시간 전달
- 사용자 등록 및 관리
◦ 2FA Server
- 2차 인증 전용 2차 패스워드 서버
● 내용
◦ 1차년도 개발은 SIEM으로부터 발생한 Log 데이터를 규정과 절차에 의해서 처리하는 SOC 시스템과 관련 서버들을 개발
◦ SOC 시스템의 주요 기능
- SIEM API 연계
- 2 Factor 인증 체계, 인증서를 이용한 암호화 통신
- 계정 별 로그인 IP 설정 지원
- 많은 정보 전달을 위한 기본 대시 보드
- 위협 정보의 시각화를 위한 3D 대시 보드
- 위협 정보 요약/세부 정보 일괄 처리 및 조회 기능
- 생성형 게시판 및 특수 목적 게시판 운영
- 시스템 알림 및 긴급 팝업 알림 기능, 보고서 자동 생성 기능
- 스마트폰을 이용한 메시지 전달 및 알림 기능
- PUSH 메시지를 통한 담당자에게 실시간 메시지 전송 기능
◦ SOC 시스템에서 관제 센터의 통합 대시 보드 기능
- 이벤트 티켓 발행, 티켓 분석, 티켓 종료, 보고서 생성
- 담당자 이관, 승인 요청/결재
◦ SOC 시스템에서 고객사의 대시 보드 기능
- 티켓 수관, 위협 분석, 티켓 종료, 보고서 검토
- 소명 요청/결재, 승인 요청/결재
◦ SOC 시스템에서 시각화 정보 내용
- 관제 요청 현황, 위협 발생 현황
- 전체 추이 차트, 관제 현황 차트
- 3D 지구본, 2D 세계 지도
◦ 모바일용 SOC 시스템
- 위협 정보의 시각화를 위한 3D 대시 보드
- 위협 정보 요약/세부 정보 일괄 처리 및 조회 기능
- 생성형 게시판 및 특수 목적 게시판 운영
- 시스템 알림 및 긴급 팝업 알림 기능, 보고서 자동 생성 기능
- 스마트폰을 이용한 메시지 전달 및 알림 기능
- 관제 요청 현황, 위협 발생 현황
- 전체 추이 차트, 관제 현황 차트
- 3D 지구본, 2D 세계 지도
◦ PUSH 관리 서버의 경우 SOC 시스템 서버에서 발생한 이벤트에 따라서 각 담당자에게 이벤트 정보 알람, 처리 요청, 대응 요청 등의 메시지를 전달하게 되며, 스마트폰용 전용 APP을 이용하여 수신 및 대응이 가능하도록 개발
◎ 2차년
● 목표
◦ 인공지능 보안 로그 위험도 분류 서버
- 보안 로그, 보안 이벤트 자동 분류
- 저중고 위험도별로 이벤트, 로그 분류
- SIEM 연동 및 데이터 분석
◦ 저위험도 보안 이벤트 자동 처리 서버
- 저위험도 보안 이벤트 자동 처리
- SOC 시스템과 연동하여 자동 처리 연계
- 자동 처리 서버 현황 대시보드
◦ 중고위험도 보안 이벤트 처리 방안 제안 서버
- 중고 위험도 기존 처리 방안 리스트 제안
- 중고 보안 이벤트 기존 처리 방안 분석 및 제안 리스트 작성
- 선택 자동 처리 및 수동 처리 연계
- 특정 위험도 이벤트 자동 문자 경고 메시지 전송
◦ 인공지능 기반 SOC 시스템 연동 테스트
● 내용
◦ 2차년도 개발은 SIEM으로부터 발생한 Log 데이터를 분석하여 저위험도, 중·고위험도 별로 분류작업을 하고 저위험도 이벤트의 경우 기존의 진행된 절차에 의해서 자동으로 업무를 처리 할 수 있게 진행하며, 중·고위험도의 경우 기존의 진행된 절차를 학습하여 보안 분석가에게 처리 절차를 제안하여 정해진 규칙에 의해서 진행 되도록 구현
◦ 로그 분석 서버는 SIEM으로부터 생성되는 Log 데이터를 분석하여 저·중·고 위험도 별로 분류
◦ 로그 분석 서버에서는 기존의 Log 데이터가 처리된 결과에 대하여 머신러닝 기술을 이용하여 학습을 하며, 위험도별로 기존 처리 방법을 포함하여 저위험도 알람 서버와 중·고위험도 처리 제안 서버로 전송
◦ 로그 분석 서버는 하루 처리량에 따라서 대규모의 이벤트가 발생되는 곳에서 원활한 처리를 위하여 저·중·고 위험도 처리를 위한 서버를 그룹으로 구성하였을 경우 부하를 분산할 수 있도록 분산 처리를 지원
◦ 저위험도 알람 서버는 기존의 처리 결과에 의한 절차를 학습하여 오탐(False Positive)을 실시간으로 확인하여 적용
◦ 저위험도 이벤트를 전달받은 저위험도 알람 서버는 기존 처리 절차와 규칙을 확인하여 SOC 서버에서 자동으로 처리될 수 있는 티켓을 전달
◦ 2차 년도에 개발하는 저위험도 알람 서버와 1차년도에 개발된 SOC 서버와 연동 작업 및 테스트
◦ 중·고위험도 처리 제안 서버는 기존의 처리 방식을 확인하여 처리 방식에 대한 비중을 표시하며 처리 절차와 규칙에 대해서 보안 분석가가 확인할 수 있도록 분석
◦ 중·고위험도 처리 제안 서버에서 표시하는 비중에 따라서 보안 분석가가 확인 후에 승인을 할 경우 자동으로 보고서까지 작성
◦ 중·고위험도 처리 제안 서버에서는 위험도 별로 알림 내용을 전달할 대상과 내용에 대하여 메시지를 작성하여 SOC 서버로 전달하여 이메일, PUSH 메시지 혹은 두 가지 모두 사용하여 전송할 수 있게 구현
◦ 2차년도에 개발하는 중·고위험도 처리 제안 서버와 1차년도에 개발된 SOC 서버간의 연동 작업 및 위험도별 테스트 진행
□ 연구개발성과
※ 정량적 성과
◦ 고용 창출 : 6명 고용 (1차년도 5명, 2차년도 1명)
◦ 전문 연구 인력 : 2 명 (박사 1명, 학사 1명)
◦ 저작권 소프트웨어 등록
- OSOC (원에스오씨): 등록 번호 C-2022-017455
- MPMS (모바일 푸시 관리시스템): 등록 번호 C-2022-053000
- 인공지능 로그 분류 시스템: 등록 번호 C-2023-048624
- 인공지능 보안 이벤트 자동 처리 시스템: 등록 번호 C-2023-048625
- 인공지능 보안 이벤트 처리 제안 시스템: 등록 번호 C-2023-048627
- 모바일 보안 관제 포탈 시스템: 등록 번호 C-2023-048626
◦ 특허 총 8 건
- 국내 특허 등록: 함수 및 매개변수의 명칭을 자동으로 변경하는 방법, 장치 및 프로그램 (10-2613915-0000)
- 국제 특허 출원: 함수 및 매개변수의 명칭을 자동으로 변경하는 방법, 장치 및 프로그램 (PCT/KR2023/008239)
- 임시 특허 출원: 보안 로그 데이터에 따른 보안 위협도에 대한 시각화 및 가시화 방법 및 디바이스 (10-2023-0114220)
- 임시 특허 출원: 보안 로그 데이터의 처리 상황을 시각화하여 제공하는 방법 (10-2023-0114221)
- 임시 특허 출원: 보안 공격 발생 영역을 시각화하여 제공하는 방법 및 디바이스 (10-2023-0114222)
- 임시 특허 출원: 이기종 보안 로그 데이터를 통합 변환 처리하여 제공하는 방법 및 디바이스 (10-2023-0114224)
- 임시 특허 출원: 피드백을 이용하여 보안 처리 우선순위를 결정하는 방법 및 디바이스 (10-2023-0114224)
- 임시 특허 출원: 보안 공격 소스의 동일성 판단에 따른 시각화 정보를 제공하는 방법 및 디바이스 (10-2023-0114225)
◦ 상표 등록
- 센티넬: 등록 번호 40-2030-0222243
- Sentinelle: 등록 번호 40-2030-0222220
◦ 사업화
- AI SOC Ticketing System 구축 사업화
- 매출액: 228,800,000원
◦ 제품 홍보 : eGISEC 2023 참가 및 성과 홍보
- 주제: 포스트 코로나 시대의 보안환경개선을 위한 인공지능형 SOC 시스템
※ 정성적 성과
◦ 보안 사고의 신속한 처리 및 대응 시간 단축
- 자동화된 메시지 전송과 티켓 관리 시스템을 통하여 시스템 자체에서 보안 사고를 즉시 인지하고 빠르게 처리할 수 있도록 도움
- 이에 따라 사이버 공격에 대한 반응 시간을 크게 줄일 수 있으며, 이는 전체적인 보안 운영의 효율성을 향상시키는 결과에 기여
◦ 보안 운영 효율성 향상
- PUSH 서버를 통한 자동화된 메시지 전송과 티켓 관리 시스템으로 보안 사고의 신속한 처리를 가능하게 하여 전체적인 보안 운영 효율성을 향상
- 다양한 보안 이벤트 및 사이버 공격에 일정한 프로세스를 통한 처리가 가능
- 보안 인력의 피로도와 부담을 줄임
◦ 보안 이벤트 처리 과정의 복잡성 감소
인공지능 기반의 보안 이벤트 분석을 통하여 적절한 대응과 조치를 즉시 제공하는 자동화된 시스템으로 시스템 내 광범위하게 발생할 수 있는 공격을 신속 정확하게 처리하여 복잡한 결정이 요구되는 상황을 최소화
◦ 보안 데이터 문서화
- 다양한 보안 이벤트 발생 시 보고서를 생성하여 체계적인 데이터 문서화 가능
- 보안 데이터 관리 기능은 보안 이벤트, 사고의 분석, 대응 조치, 사후 검토, 그리고 지속 업데이트를 위한 정보 제공
◦ 보안 사고 대응력 강화
- 정제를 거친 대규모 보안 이벤트 로그 데이터를 학습시킨 인공지능 기술은 모델에 입력된 패턴에 따라 사고 대응 매커니즘을 가능하게 하여 공격 시나리오에 맞는 처리 프로세스를 자동으로 구현함
- 개별 보안 이벤트에 대한 정확도 높은 자동 조치는 판단 시간을 대폭 감소시키므로 이에 비례하여 사고 대응력 또한 강화됨
- 잠재적인 피해를 최소화에 이바지하여 보안 수준 향상
◦ 추가 피해 발생 가능성 방지
종래의 보안 문제는 한시적인 사건으로 그치는 경우가 많았으나, 최근 새로 발견되는 사이버 공격은 장기적인 침투와 지속적인 이상 행위를 통하여 큰 피해를 입히는데, 인공지능 기반 보안 이벤트 분류, 자동처리, 그리고 조치 방안 제안 등의 기능은 공격자가 시스템에 추가적인 피해를 입히는 것을 방지하고, 보안 사건으로 인한 손실을 최소화함
◦ 보안 상황 파악의 효율성 제고
대시보드에 내외부 보안 현황, 관제 요청 발생 현황, 그리고 IP주소 정보를 통하여 침해 국가 표시 등을 가시적으로 파악할 수 있도록 하여 내외부 보안 상황 실시간 확인을 가능하게 하여 보안 운영의 효율을 높임
◦ 보안 위협 예측 가능
- 기존에 발생한 보안 이벤트 데이터를 기반으로 이후 상황 예측 가능
- 미래 보안 위협을 미리 파악하여 위험 상황 대비를 위한 효과적인 대응 전략 수립 가능
◦ 보안 데이터 관리의 투명성 향상
보안 사건이 발생할 때마다 해당 사건의 세부 정보, 대응 과정, 그리고 결과까지의 모든 기록 과정이 저장 및 관리되어 시스템 내에 남음
□ 연구개발성과 활용계획 및 기대 효과
◦ 예상 수요처
- 한국수력원자력, 한국전자통신연구원, 교원그룹 등 본사 기존 거래 고객을 중심으로 초기 시장 진입
- LG헬로비전, KT 등과 같이 통신 및 방송 서비스를 제공하면서 대규모 네트워크 및 데이터를 관리하는 등 고객 적합성이 높은 업체를 대상으로 신규 시장 진입
- SOC 운영 필요성을 인식 중인 다수 기관 및 기업
- 개인정보보호법, 정보통신망법 등 다양한 법적 요구사항을 효과적으로 준수하기 위해 보다 진보적인 보안 기술이 요구되는 산업 전반
- 보안 수요가 높아지는 국내외 금융기관 대상으로 보안솔루션 판매 확대
- 생성형 인공지능으로 인해 새로운 보안 위협이 세계적 규모로 확산되는 가운데 글로벌시장의 인공지능 보안솔루션 수요 증가, AI SOC로 수익 창출 기대 가능
- 일본 기업 중 SOC 운영을 필요로 하는 기업 (일본 협력 업체와 논의 중)
◦ 활용 내용
- 외부 침입 상황에 노출되거나, 내부망의 보안이 필요하거나 망분리 운영, 보안 사고에 대응 프로세스가 없어서 해결에 어려움을 겪는 기관/기업 도입
- 네트워크 전반에 걸친 보안 사건을 실시간으로 모니터링하고, 분석하는 인공지능형 SOC 기술을 적용하여 오탐과 정탐을 구분하고 정확도를 향상하는 등의 예측 모델을 통하여 미래의 보안 위협을 예방
- 클라우드 기반 SOC 서비스, 즉 SaaS(SOC as a Service)를 제공하여 초기 비용이 부담스러운 중소기업이나 자체적인 보안 인프라 구축이 어려운 기관이 서비스 형태로 SOC를 운영할 수 있도록 도움
- 원격 근무 지원을 위하여 모바일 환경에도 적용가능한 SOC 시스템을 통해 공간에 구애받지 않고 어디서나 보안 상황 모니터링이 가능하며, 이와 동시에 필요한 조치를 취할 수 있도록 함
- 국가의 중요 인프라인 발전소에서는 사이버 테러와 같은 고도의 위협에 대비하여 방화벽, IPS, 백신 등 다수의 보안솔루션에 더하여 보안 로그 이벤트를 수집하는 SIEM, 그리고 별도의 SOC 시스템까지 다수의 서비스를 도입하는데, 해당 기술은 이를 통합된 인공지능 SOC로써 제공할 수 있으므로 다양한 사이버 위협으로부터 시설을 보호하는 동시에 잠재적인 위험을 최소화하는 효과적인 대응 체계를 구축하는 것을 수월하게 할 것으로 기대
- SOC 시스템을 이미 운영 중인 대기업에서는 기존 시스템과 인공지능 기반 SOC를 통합하여 보안 운영의 자동화를 추진하고 고급 분석 기능을 강화할 수 있음
- 통합 SOC 시스템 및 모바일 앱을 다종다양한 보안 프로그램을 사용하는 기관에 적용, 다수의 보안솔루션 관리 용이성을 제공하는 동시에 잠재적 위협에 대한 알림을 수시로 확인할 수 있게 하는 보안 상태 감독으로부터 사이버 보안 수준을 제고할 수 있을 것
◦ 파급 효과
- 초기 단계인 AI SOC 시장과 기술의 선점 효과, AI SOC 세계 시장에서 경쟁력 확보
- 국내 인공지능 보안솔루션에 대한 기술 투자 확대를 통하여 분야 내 기술 리더십을 확보하고, AI SOC의 품질과 성능을 향상하여 시장 점유율을 늘려갈 것
- AI SOC를 시작으로 다양한 인공지능형 보안솔루션 서비스를 확장하여 새로운 고객층을 확보하고, 기존 고객의 충성도 또한 제고
- 당사는 AI SOC 기술의 표준화 추진을 통하여 사이버 분야에서의 통합적인 기술 플랫폼을 구축할 수 있으며, 이를 통해 보안시스템의 호환성과 유연성을 높여 국내 보안 서비스의 품질 향상에 기여
- AI SOC 기반 보안 컨설팅 서비스를 제공하여 한수원, 중부발전, 교원 등 고객사의 보안 환경 개선 및 보안 리스크를 관리에 도움을 주어 만족도를 높이고, 장기적인 고객 관계 구축 가능
- 국내뿐 아니라 AI SOC의 해외 판매를 확대함으로써 글로벌 보안 시장에서의 AI SOC의 경쟁력을 강화하고 해외 진출을 통한 이익을 증대
- 현재 일본의 CSC사와 해당 제품에 대한 일본 진출에 대해 논의 중이며 24년 이내에 사업화를 진행하기로 합의
(출처 : 요약문 4p)
목차 Contents
- 표지 ... 1
- 최종보고서 ... 2
- 요 약 문 ... 4
- 목차 ... 9
- 1. 연구 개발 과제의 개요 ... 10
- 1.1. 보안 환경 현황 ... 10
- 1.2. 연구개발 대상의 국내외 현황 ... 16
- 2. 연구 개발 과제의 수행 과정 및 수행 내용 ... 21
- 2.1. 연구 개발 과제 제안 목표 및 제안 내용 ... 21
- 2.2. 연구 개발 과제의 수행 과정 및 수행 내용 ... 37
- 2.3. 연구 개발 과제의 인증 서류 ... 104
- 3. 연구개발과제의 수행 결과 및 목표 달성 정도 ... 109
- 1) 연구수행 결과 ... 109
- 2) 목표 달성 수준 ... 123
- 4. 목표 미달 또는 미흡한 사항에 대한 원인분석 ... 126
- 5. 연구개발성과의 관련 분야에 대한 기여 정도 ... 127
- (1) 기술적 측면 ... 127
- (2) 경제적, 산업적 측면 ... 129
- (3) 사회적 측면 ... 130
- (4) 당사 성장 전략적인 측면 ... 131
- 6. 연구 개발 성과의 관리 및 활용 계획 ... 133
- 1) 향후 5년간 성과활용·확산 활용 방안 및 계획 (활동 계획) ... 138
- 2) 주요 성과 활용 (기대) 성과 목표 ... 143
- 3) 성과 활용·관리 추진체계 ... 144
- 4) 기타 ... 148
- 7. 연구개발 성과에 관한 후속 연구 및 추가 개발 계획 ... 152
- 1) 후속 연구 및 추가 개발 계획 ... 152
- 2) 추가 자체 투자 계획 ... 153
- 8. 연구개발비 사용실적 ... 155
- 1. 연구개발비 사용명세서 ... 155
- 2. 발생이자 사용명세서 ... 155
- 3. 반납액 명세서 ... 155
- 끝페이지 ... 172
※ AI-Helper는 부적절한 답변을 할 수 있습니다.