[무료 온라인 세미나] 보안 전문가 부족과 기술 격차 해소법 - Fortinet 361 Security Conference 2020

지난 22일, 포티넷 코리아에서 주관하는 온라인 세미나가 열렸다.

관심있는 세션을 몇 개 들어서 내용을 정리해놓으려고 한다.

 

1. [토크쇼] 보안 전문가 부족과 기술 격차 해소법 ← (현재 글)

2. UEBA 내부 직원 보안 유즈케이스 소개 (SIEM)

3. 보안위협 분석 자동화 유즈케이스 소개 (SOAR)

 

---

첫 번째 세션은 한 분의 진행자와 네 분의 패널이 함께하는 토크쇼로 진행되었다.

- 진행: 김인순 IT 전문 기자
- 패널: SC은행 이상윤 부장, Metlife 김상혁 차장, KT 박연주 팀장, 포티넷 코리아 박종석 이사

Q. 코로나 19로 인한 사이버보안 업무의 변화

• 금융 회사는 망 분리로 인해 원격/재택근무가 어려웠는데, 코로나로 인해 금감원에서 제재를 완화하여 원격 업무가 가능해짐
• 원격 업무가 가능해지면서 보안 위협이 높아짐
• VPN / VDI를 통해 접속하도록 하고 있으며, 각 직원의 환경이 위험할 수 있으므로 모니터링을 강화하고 보안 인식을 고취함
• 화상회의 솔루션, vpn 서비스에 대한 문의가 증가함

Q. 최근 인상 깊었던 사이버 위협

• 8월 즈음 금융사를 대상으로 한 DDoS 공격이 있었음
• 정보 유출, 멀웨어 → 스피어 피싱 메일, SWIFT에 대한 보호가 강화되어야 함
• IT 기업들이 금융에 진출하면서, 금융사에서도 클라우드 도입 등을 활발하게 하고 있음
  → 빠르게 기능을 만들어 출시하다보니 보안적인 문제가 없도록 하는 것이 어려움

Q. 보안 위협 대응에 어려운 점

• 보안 부서에서만 해서 될 것이 아니고 전반적인 보안 인식을 높여야 함
• 기존에는 가정 PC를 좀비로 만들었는데, 최근에는 IoT, DNS 서버 등을 이용하는 등 패턴이 다양해짐
• 보안 인력 수급에 대한 문제가 있으며, 정상 트래픽으로 가장한 경우가 증가하여 구분이 어려움

Q. 기술적, 인력적 어려움을 AI로 대체하고 있는데, 체감되는지

• 아직은 AI 기술력이 과도기에 있으며 원하는 만큼 올라오지는 않음
• 그럼에도 좋은 솔루션이 있는지 지속적으로 확인하며 POC하고 있음
• 관제 인력을 대체하거나 정상/공격 트래픽을 구분하는 데 도움이 되길 바람

Q. 보안 위협 대응을 AI로 대체할 수 있을까?

• AI 기술은 아직까지 초기 단계임. 완전 자동화는 어려움
• 어떤 데이터 셋을 활용해서 학습하였는지, 원하는 결과를 낼 수 있는지가 중요 관건이 될 것 같음

Q. 구체적으로 AI로 보안 위협을 대처하는 방법

• 악성 코드 분석하는 인력을 구하거나 키우기는 것이 매우 어려움
• 어떤 시그니처가 업데이트 되지 않더라도 스스로 학습하여 새로운 오브젝트가 들어왔을 때 악성 여부를 판단했으면 좋겠음

Q. 금융권 망 분리로 겪는 어려움

• 2014 대규모 보안사고(패치 서버가 악성 코드 유포) 이후 망 분리가 강화됨
• 내부 시스템에 시그니처를 등록해야 하는데, 망 분리로 인해 수동으로 작성하다 보니 오류도 많이 발생하고 빠르게 패치되지 않음
• 무결성 검증, 중계 서버 검증을 통해 패치 작업을 가능한 자동화 하고자 함
• AI가 내부망에서 학습하면서 탐지하도록 해 늦은 패치작업 등을 보완하길 원함 (아직 기술력은 여기까지 올라오지 않음)

Q. AI 보안 솔루션을 도입한다면 우선 순위와 고려 사안

• 위협에 대응하기 전에 위험 평가가 먼저 필요함. 인력으로 대응할지, 아니면 솔루션/프로세스 등으로 대응할지 우선순위를 지정해야 함
• AI 솔루션을 사용한다면, 어떤 역할을 하기 위한 건지 어떤 알고리즘을 사용하였는지 어떤 데이터셋을 활용하였는지 확인

 

위 내용엔 쓰지 않았지만 후반부로 갈수록 포티넷 제품 홍보가 되는 것 같았다..ㅋㅋㅋㅋ

그렇지만 유익한 정보들이 많아서, 나중에 AI 솔루션 도입을 고려할 때 참고하면 좋을 것 같다 :)

 

[무료 온라인 세미나] UEBA 내부 직원 보안 유즈케이스 소개 (SIEM) - Fortinet 361 Security Conference 2020