제이머신으로 시작하는 안랩 AI 굴기

4차산업혁명에서 보안은 ‘예측형 방패’가 되기를 요구받는다. 쉴 새 없이 파고드는 사이버 공격은 이제 인공지능(AI) 없이 대응하기 어려워졌다. 국내 클라우드 보안시장을 연 안랩은 AI 보안에서 독보적 위치를 점하기 위해 회사를 사고 사람도 모은다. 안랩의 클라우드·AI 시너지는 향후 개인 보안을 포함한 서비스 혁신의 단초가 될 것으로 보인다.

안랩은 1월 AI 정보보안 스타트업 ‘제이슨’ 지분 60%를 확보했다. 2017년 세워진 이 회사는 해킹이나 정보기술(IT) 운영 장애 등 이상 징후를 AI로 탐지·대응하는 시스템 ‘제이머신(J Machine)’ 서비스를 개발해 금융사와 대기업에 제공 중이다.

안랩은 독립 자회사인 제이슨의 AI 기반 이상행위 분석 기술을 자사 서비스에 접목해 고도화한다는 로드맵을 세웠다. 이를 위해 지난달 시작한 경력직 공개채용을 통해 AI·기계학습(ML) 연구·개발직 인력을 다수 충원할 계획이다.

 
◆시장우위 전략에 AI 추가

제이머신을 보면 안랩 서비스의 장기적 발전 방향을 예상할 수 있다. IT 운영에 필요한 관제 시스템은 크게 세 가지로 나뉜다. 임직원 행위 분석으로 정보 유출을 탐지하는 UEBA 내부통제 기능, IT 시스템 성능 분석으로 장애를 예측하는 AIOps, 해킹 공격을 감시하고 분석하는 SIEM 보안 관제 등이다.

통합된 세 기능은 이상 징후 탐지·분석·대응 단계 전반에 활용된다. 제이머신은 임직원 행동 변화를 학습해 이상 징후를 탐지한다. 평소와 다른 행동 패턴을 보이는 사람, 보안 사고를 일으켰던 사람과 유사하게 행동하는 사람을 선별해 낸다.

이를 위해 평소 로그 데이터(소프트웨어 사용 기록) 외에 메신저와 이메일 기반 이력, 사용 빈도 등을 관계도 형태로 분석해 AI 판단 정보로 활용한다. 단, 개인 프라이버시를 위해 메시지와 이메일 내용 자체를 수집하지는 않는다.

보안 전문가는 한 화면에서 원하는 방식으로 분석 결과를 확인할 수 있다. 해킹 공격자와 행동 유사도가 높은 사람을 찾고, 그와 친밀히 행동해온 이도 식별해 확인할 수 있다.

이상 징후 이벤트는 하루에만 수천건이 쏟아지지만 한 사람이 처리할 수 있는 업무량은 수십 건에 불과하다. 제이머신은 전문가의 이상 징후 대응 데이터를 기계학습 형태로 모방해 습득할 수 있다. 제이머신을 활용하면 보안 관제 인력은 단순 반복 업무를 벗어나 최신 보안사고 분석 등 창의적인 일에 집중할 수 있게 된다.

제이머신이 사용하는 기계학습 방법은 다양하다. 지도학습과 비지도 학습, 딥러닝 기법을 쓴다. 지도학습은 교사가 학생을 가르치듯이 모든 정보를 컴퓨터 시스템에 알려준다. 결과(목표)가 명확한 데이터를 학습해서 수학 모델을 만들고, 새 데이터가 추가될 수학 모델과 비교해 결과를 예측한다. 어떤 경우가 위협인지 알려주는 식이다.

비지도 학습은 컴퓨터가 학습 목표 없이 유사한 데이터를 묶는 방식이다. 최종 판단은 분석 데이터 결과를 본 사람의 몫이다.

기계학습의 일종인 딥러닝은 컴퓨터가 특징표현학습을 할 수 있게 만드는 방법이다. 물리적으로 표현된 외부 정보가 어떤 의미를 가지는지 사람처럼 학습하고 해석하는 기술이다. 제이머신은 이렇게 특정 패턴을 이미지화해 학습하며 이상 신호를 감지할 수 있다.

일부 작동구조(아키텍처)에서는 이상 신호 데이터를 이미지 분석에 활용하는 딥러닝 모델을 쓴다. 이를 합성곱 신경망(CNN·Convolutional Neural Network)이라고 부른다. 컴퓨터가 직접 이미지와 비디오, 텍스트와 사운드를 분류하는 기계학습 유형이다.

컴퓨터는 이미지를 숫자로 인식한다. 우선 입력된 이미지를 빨강·초록·파랑(RGB) 유형으로 나눈다. 이후 특정 필터 함수로 원본 이미지를 훑으며 곱해서 최종값을 낸다. 이를 합성곱이라 부른다. 합성곱을 통해 나온 최종값을 특성지도라고 한다. 최종값의 범위를 좁혀 가는 풀링 작업이 이어지고, 해당 데이터는 분류기로 전달된다. 제이머신은 이 과정을 거쳐 해석하기 쉽게 처리된(전처리) 내용을 학습·예측한다.

 
◆클라우드에 적용될 AI 보안

안랩이 제이슨 인수 후 기존 서비스 고도화를 예고한 만큼, AI 활용 분석을 개인용 V3에 적용할 지 여부도 관심이다. 안랩은 “향후 사업 관련 계획을 말 할 수 없다”고 답했다. 개인기기 복잡성과 의존도가 높아지는 만큼, 안랩 개인 보안에 AI가 활용될 가능성은 배제할 수 없다.

안랩이 기존부터 제공한 클라우드 보안 서비스와 AI 보안 관제의 시너지도 기대된다. 현재 제이머신 구동 환경은 기업 자체 보유 전산실 서버에 직접 설치해 운영되는 ‘온프레미스’ 방식이다. 각 기업 특성에 따라 이상 징후 탐지 모델이 다르고, 내부 데이터의 외부 반출도 불가능하다.

최근 원격 환경인 클라우드 구동 준비도 마쳤다. 안랩 관계자는 “제이머신을 클라우드 환경에서도 구성할 수 있는 테스트가 완료된 상황”이라며 “향후 고객 인프라 환경에 따라 유연하게 대응할 수 있도록 제공할 예정”이라고 말했다. 안랩은 2016년 아마존 웹 서비스(AWS) 클라우드 고객의 서버 보안을 원격 관리하면서 국내에서 본격 클라우드 보안 시대를 열었다. 같은해 마이크로소프트 애저(Microsoft Azure), 2017년 IBM 클라우드에도 서비스 영역을 넓혔다.

올해 창립 25주년을 맞은 안랩은 3월 사내 연구개발 인력을 모두 연구소 조직으로 통합했다. 위협 인텔리전스(TI)와 클라우드 보안, 운영기술(OT) 보안, 블록체인 등 4대 도전 과제와 AI, 기계학습 등 혁신과제 달성에 속도를 낸다는 전략이다.