2019.01.21

AI 기반의 위협 탐지가 아직 시장을 장악하지 못한 이유

Terena Bell | CSO
소프트웨어 업체 다크트레이스(Darktrace) CEO 니콜 이건에 따르면, 사이버보안 전문가 10명 가운데 2명만이 일반적으로 AI를 위협 탐지의 핵심 구성요소로 도입하고 있다. 이건은 다른 이들은 "전적으로 거부"하거나 "AI로 시도하는 것"에는 동의하지만 이를 활용하기 위한 필요한 노력을 하지 않고 있다고 전했다.
 
ⓒ Getty Images Bank

정보 보안 전문가들은 위험을 기피하는 것으로 알려져 있지만, 때로는 새로운 기술을 시도하는 것에 대한 거부감이 있다는 단점도 있다. 그들에게도 합리적인 이유가 있다. 기업의 위험을 방지하는 것이 가장 중요한 일이다. 하지만 이론적으로 AI는 더 많은 문제를 더욱 신속하게 식별할 수 있는 잠재력이 있다. 그렇다면 모든 보안팀이 이를 사용하지 않는 이유는 무엇일까. 

조사 업체 커핑거콜(KuppingerCole) 수석 분석가 마이크 스몰은 "많은 팀이 실제로는 사용할 수 있지만 단지 그것을 AI라고 생각하지 않기 때문일 수 있다"고 말했다. 다크트레이스와 센선(Senseon) 및 SecBI 등의 경쟁업체는 전통적인 안티바이러스 소프트웨어보다 높은 수준에서 위협 탐지를 수행한다. 하지만 스몰은 "어떤 의미에서는 그들의 행위가 전혀 특별하지 못하다"고 말했다. 스몰은 위협 탐지 AI가 가능한 위협과 취약점을 식별하기 위해 패턴을 찾는 강화된 형태의 행동 분석(behavioral analytics)이라고 설명했다. 시만텍과 맥아피 등의 모든 대형 사이버 보안 플랫폼은 이미 이런 일반적인 유형의 기술을 적용하고 있다.

보안 팀들은 기술보다는 성과를 위해 구매하고 있다. 많은 팀이 대형 툴에 내장된 행동 분석 기능에서 충분한 성과를 거두고 있다. 지난 해, 포브스는 맥아피가 연간 25억 달러 이상의 매출을 올리고 있다고 보도했다. 반면에 다크트레이스는 4억 달러 이상의 매출을 올렸다.

특수 산업용 공구가 가정용 공구 플랫폼만큼 팔릴 것이라고 기대하는 것은 현실적이지 않지만 이 수치를 통해 위협 탐지와 관련해서는 AI가 아직 시장을 차지하지 못했다고 말할 수 있다. 그렇다면 진짜 장애물은 무엇일까. 사람마다 답변이 다르다. 공급업체나 전문가 스몰, 구매자 에릭 고티어의 답변은 모두 달랐다.

공급업체의 관점에서, 변화에 대한 거부감은 위협 탐지 분야에서 AI 도입 속도를 늦춘다.
12월 5일 뉴욕에서 열린 AI 총회에 패널로 참가한 이건은 이런 변화에 대한 거부감을 지적했다. 이건은 "사이버보안 산업은 약 30년 정도 되었다고 볼 수 있다. 그 결과, 특정 툴과 특정 방법론과 프로세스로 일하던 매우 능숙한 실무자들이 있다"고 설명했다.

"하지만 한계를 높이고 새로운 기술을 시도하고 싶어하는 사람들은 나이와는 큰 상관이 없다는 것을 발견했다"고 말했다. 

분석가의 관점에서 위협 탐지 AI는 설명이 어렵다는 점을 꼽았다.
스몰은 "위협 탐지 AI는 그렇게 쉽지 않다"고 말하면서 "오늘날 시장에 존재하는 단독형 위협 탐지 AI가 오늘날의 정보 보안 문제를 해결하지는 못한다"고 말했다. 보안 위협을 예로 들어보자. 스몰은 "AI는 블랙박스와 같으며 허위 경보와는 반대로 표시된 문제의 진실 여부에 상관없이 적절한 답을 얻거나 잘못된 답을 얻을 수밖에 없다. 그리고 잘못된 답을 얻으면 그 이유를 모르게 된다"고 말했다. 

스몰은 계속해서 이유를 모르는 사이버보안 전문가는 유출 발생 시 언론에 자신의 결정을 설명하는데 있어서 도움이 되지 않는다고 말했다. 그리고 데이터 보안 소송이 증가하는 시대에 이런 한계로 인해 보안 부서는 법정에서 스스로의 결정을 보호하기가 더 어려워지고 있다. 스몰은 "그것이 한계 요소다"고 말했다.

구매자의 관점에서는 위협 탐지 AI의 추가적인 데이터에 대응할 수 없다.
HR기업 스카우트의 기술 이사이자 ISO 고티어는 언론과 소송에 대한 걱정이 그리 크지 않다. 고티어는 스카우트에 활용할 충분한 인력이 없기 때문에 해당 기술을 구매하지 않았다. 고티어는 "우리는 중소기업이다. 이런 것들, 다시 말해 AI 주도적인 위협 보호 플랫폼 또는 현재 인기를 얻고 있는 것으로 보이는 많은 위협 정보 피드들이 더 많은 정보를 제공하지만 일종의 2차 계층 정보밖에 되지 못한다. 우린 1차 위협을 매우 진취적이고 실질적으로 처리할 인력조차 거의 없다"고 설명했다. 

고티어는 "이것은 비용 편익의 문제다. 위협 탐지 AI가 플랫폼 이상의 것을 제공하기는 하지만 여기에서 조치를 취할 수 없다면 추가적인 데이터를 위한 비용을 지불할 것이다. 여기에서 별다른 가치를 얻지 못한다"고 말했다. 또한 "AI의 출력을 모니터링하려면 스카우트가 보유한 것보다 더 많은 인력이 필요하기 때문에 기술이 아니라 이를 가능하게 하는 능력을 더 확보해야 한다. 일정 규모가 되어야 이런 비용을 감당할 수 있다"고 덧붙였다. 

이건은 다크트레이스도 툴을 구축하기도 전에 이런 문제를 파악했으며 이를 방지하기 위해 노력했다고 말했다. 이건은 다크트레이스를 설립할 때 '데이터 사이언티스트를 고용하고 이를 파악할 수 있는 사람들에게만 판매할 수 있다면 시장이 제한적일 것이라고 예상했다. 그 결과, 그들은 개발자들에게 고객들이 더 많은 사람을 고용하지 않도록 자동 학습 및 유지보수가 가능하게 해야 한다고 말했다. 사실 그들은 이를 통해 보안 인력을 늘리는 것이 아니라 줄이고 싶어한다.
 

위협 탐지 AI, 단순한 정보가 아닌 통찰을 제공해야 한다

스몰과 고티어는 이를 위해 다크트레이스나 기타 공급업체의 경우 이 기술이 통찰을 제공해야 한다고 말했다. 고티어는 "지금 당장 AI가 정보를 제공하지만 자신이 직접 그 의미를 파악해야 한다"고 말했다. 스몰은 "위협 탐지가 스스로 기존 행동 접근방식에 제한되는 한 절대로 그런 일은 없을 것"이라고 말했다. 스몰은 "대신 AI 공급업체가 기술을 한 단계 더 발전시킬 수 있는 방법을 고민해야 한다"면서, "위협이 실질적일 가능성이 높은 이유를 설명해야 한다"고 말했다. 

현재 IBM Q레이더 어드바이저가 이 문제를 해결하려 노력하고 있다. 스몰은 "이는 훨씬 복잡한 것이다. 이벤트 발생 후 모든 지표, 실제로 발생한 일, 실태, 기타 이 일을 겪은 대상, 문제의 위치 등을 분석하는 것이 쉽지 않다. 이렇게 통찰력이 높은 AI는 분명 구축이 어렵겠지만 판매하기는 훨씬 쉬울 것이다"고 말했다. editor@itworld.co.kr 


2019.01.21

AI 기반의 위협 탐지가 아직 시장을 장악하지 못한 이유

Terena Bell | CSO
소프트웨어 업체 다크트레이스(Darktrace) CEO 니콜 이건에 따르면, 사이버보안 전문가 10명 가운데 2명만이 일반적으로 AI를 위협 탐지의 핵심 구성요소로 도입하고 있다. 이건은 다른 이들은 "전적으로 거부"하거나 "AI로 시도하는 것"에는 동의하지만 이를 활용하기 위한 필요한 노력을 하지 않고 있다고 전했다.
 
ⓒ Getty Images Bank

정보 보안 전문가들은 위험을 기피하는 것으로 알려져 있지만, 때로는 새로운 기술을 시도하는 것에 대한 거부감이 있다는 단점도 있다. 그들에게도 합리적인 이유가 있다. 기업의 위험을 방지하는 것이 가장 중요한 일이다. 하지만 이론적으로 AI는 더 많은 문제를 더욱 신속하게 식별할 수 있는 잠재력이 있다. 그렇다면 모든 보안팀이 이를 사용하지 않는 이유는 무엇일까. 

조사 업체 커핑거콜(KuppingerCole) 수석 분석가 마이크 스몰은 "많은 팀이 실제로는 사용할 수 있지만 단지 그것을 AI라고 생각하지 않기 때문일 수 있다"고 말했다. 다크트레이스와 센선(Senseon) 및 SecBI 등의 경쟁업체는 전통적인 안티바이러스 소프트웨어보다 높은 수준에서 위협 탐지를 수행한다. 하지만 스몰은 "어떤 의미에서는 그들의 행위가 전혀 특별하지 못하다"고 말했다. 스몰은 위협 탐지 AI가 가능한 위협과 취약점을 식별하기 위해 패턴을 찾는 강화된 형태의 행동 분석(behavioral analytics)이라고 설명했다. 시만텍과 맥아피 등의 모든 대형 사이버 보안 플랫폼은 이미 이런 일반적인 유형의 기술을 적용하고 있다.

보안 팀들은 기술보다는 성과를 위해 구매하고 있다. 많은 팀이 대형 툴에 내장된 행동 분석 기능에서 충분한 성과를 거두고 있다. 지난 해, 포브스는 맥아피가 연간 25억 달러 이상의 매출을 올리고 있다고 보도했다. 반면에 다크트레이스는 4억 달러 이상의 매출을 올렸다.

특수 산업용 공구가 가정용 공구 플랫폼만큼 팔릴 것이라고 기대하는 것은 현실적이지 않지만 이 수치를 통해 위협 탐지와 관련해서는 AI가 아직 시장을 차지하지 못했다고 말할 수 있다. 그렇다면 진짜 장애물은 무엇일까. 사람마다 답변이 다르다. 공급업체나 전문가 스몰, 구매자 에릭 고티어의 답변은 모두 달랐다.

공급업체의 관점에서, 변화에 대한 거부감은 위협 탐지 분야에서 AI 도입 속도를 늦춘다.
12월 5일 뉴욕에서 열린 AI 총회에 패널로 참가한 이건은 이런 변화에 대한 거부감을 지적했다. 이건은 "사이버보안 산업은 약 30년 정도 되었다고 볼 수 있다. 그 결과, 특정 툴과 특정 방법론과 프로세스로 일하던 매우 능숙한 실무자들이 있다"고 설명했다.

"하지만 한계를 높이고 새로운 기술을 시도하고 싶어하는 사람들은 나이와는 큰 상관이 없다는 것을 발견했다"고 말했다. 

분석가의 관점에서 위협 탐지 AI는 설명이 어렵다는 점을 꼽았다.
스몰은 "위협 탐지 AI는 그렇게 쉽지 않다"고 말하면서 "오늘날 시장에 존재하는 단독형 위협 탐지 AI가 오늘날의 정보 보안 문제를 해결하지는 못한다"고 말했다. 보안 위협을 예로 들어보자. 스몰은 "AI는 블랙박스와 같으며 허위 경보와는 반대로 표시된 문제의 진실 여부에 상관없이 적절한 답을 얻거나 잘못된 답을 얻을 수밖에 없다. 그리고 잘못된 답을 얻으면 그 이유를 모르게 된다"고 말했다. 

스몰은 계속해서 이유를 모르는 사이버보안 전문가는 유출 발생 시 언론에 자신의 결정을 설명하는데 있어서 도움이 되지 않는다고 말했다. 그리고 데이터 보안 소송이 증가하는 시대에 이런 한계로 인해 보안 부서는 법정에서 스스로의 결정을 보호하기가 더 어려워지고 있다. 스몰은 "그것이 한계 요소다"고 말했다.

구매자의 관점에서는 위협 탐지 AI의 추가적인 데이터에 대응할 수 없다.
HR기업 스카우트의 기술 이사이자 ISO 고티어는 언론과 소송에 대한 걱정이 그리 크지 않다. 고티어는 스카우트에 활용할 충분한 인력이 없기 때문에 해당 기술을 구매하지 않았다. 고티어는 "우리는 중소기업이다. 이런 것들, 다시 말해 AI 주도적인 위협 보호 플랫폼 또는 현재 인기를 얻고 있는 것으로 보이는 많은 위협 정보 피드들이 더 많은 정보를 제공하지만 일종의 2차 계층 정보밖에 되지 못한다. 우린 1차 위협을 매우 진취적이고 실질적으로 처리할 인력조차 거의 없다"고 설명했다. 

고티어는 "이것은 비용 편익의 문제다. 위협 탐지 AI가 플랫폼 이상의 것을 제공하기는 하지만 여기에서 조치를 취할 수 없다면 추가적인 데이터를 위한 비용을 지불할 것이다. 여기에서 별다른 가치를 얻지 못한다"고 말했다. 또한 "AI의 출력을 모니터링하려면 스카우트가 보유한 것보다 더 많은 인력이 필요하기 때문에 기술이 아니라 이를 가능하게 하는 능력을 더 확보해야 한다. 일정 규모가 되어야 이런 비용을 감당할 수 있다"고 덧붙였다. 

이건은 다크트레이스도 툴을 구축하기도 전에 이런 문제를 파악했으며 이를 방지하기 위해 노력했다고 말했다. 이건은 다크트레이스를 설립할 때 '데이터 사이언티스트를 고용하고 이를 파악할 수 있는 사람들에게만 판매할 수 있다면 시장이 제한적일 것이라고 예상했다. 그 결과, 그들은 개발자들에게 고객들이 더 많은 사람을 고용하지 않도록 자동 학습 및 유지보수가 가능하게 해야 한다고 말했다. 사실 그들은 이를 통해 보안 인력을 늘리는 것이 아니라 줄이고 싶어한다.
 

위협 탐지 AI, 단순한 정보가 아닌 통찰을 제공해야 한다

스몰과 고티어는 이를 위해 다크트레이스나 기타 공급업체의 경우 이 기술이 통찰을 제공해야 한다고 말했다. 고티어는 "지금 당장 AI가 정보를 제공하지만 자신이 직접 그 의미를 파악해야 한다"고 말했다. 스몰은 "위협 탐지가 스스로 기존 행동 접근방식에 제한되는 한 절대로 그런 일은 없을 것"이라고 말했다. 스몰은 "대신 AI 공급업체가 기술을 한 단계 더 발전시킬 수 있는 방법을 고민해야 한다"면서, "위협이 실질적일 가능성이 높은 이유를 설명해야 한다"고 말했다. 

현재 IBM Q레이더 어드바이저가 이 문제를 해결하려 노력하고 있다. 스몰은 "이는 훨씬 복잡한 것이다. 이벤트 발생 후 모든 지표, 실제로 발생한 일, 실태, 기타 이 일을 겪은 대상, 문제의 위치 등을 분석하는 것이 쉽지 않다. 이렇게 통찰력이 높은 AI는 분명 구축이 어렵겠지만 판매하기는 훨씬 쉬울 것이다"고 말했다. editor@itworld.co.kr 


X