기업의 IT 환경을 이해하는 AI 보안 모델

by NVIDIA Korea

사이버보안이 수렁에 빠졌습니다.

하이브리드 컴퓨팅 환경이 확산되고 사용자들은 분산된 지역에서 24시간 내내 네트워크에 접근하며 사물인터넷은 전례 없이 많은 데이터들을 만들어내고 있습니다. 이 문제를 해결하기 위해 기업과 조직들이 그 어느 때보다도 많은 보안 툴을 가동하고 있는데요.

조너선 플랙(Jonathan Flack) 브로드브릿지 네트웍스(BroadBridge Networks) 시스템 아키텍트에 따르면 방대한 네트워크 망과 대량의 지식재산권(IP)을 보유한 기업의 경우 50개에서 75개의 벤더 솔루션을 사용하는 게 사실 드문 일이 아니라고 합니다.

플랙은 이것이 “비합리적인 일”이라고 설명하며 이렇게 묻습니다. “모든 정보를 단일 공간에 수렴해 놓고 맥락에 따라 효과적으로 적용되게 할 수는 없을까요?”

바로 이 문제가 캘리포니아 주 프리몬트에 본사를 둔 브로드브릿지가 해결하고자 하는 것입니다. 창립 3년차의 이 기업은 AI 스타트업의 시장 진출에 필요한 지원과 전문성, 테크놀로지를 제공하는 NVIDIA Inception 프로그램의 회원사이기도 합니다.

브로드브릿지는 데이터 보안에 NVIDIA GPU 기반의 AI기술을 적용합니다. 시시각각으로 변화하는 데이터 소스를 일시적으로 정렬해 연결고리를 찾는 것이죠.

기업의 액티브 디렉토리 로그, 윈도우 이벤트 로그, 방화벽 로그에서는 100만분의1초 만에 여러 이벤트가 발생할 수 있습니다. 그렇지 않아도 업무량이 과도한 보안 직원들에게는 이 모든 로그들을 뒤져 이벤트를 정렬할 시간적 여유가 없을텐데요.

이 업무를 브로드브릿지가 대신합니다. 데이터를 자동으로 수집하고 상호 연결하여 시간 별로 제공하는데요, 이때 밀리초 단위까지 정확성이 보장됩니다.

브로드브릿지의 소프트웨어는 이벤트의 원인을 효과적으로 밝혀내고 관련 조치들을 제안합니다. 사이버보안 전문 인력이 전세계적으로 부족한 가운데 기업의 보안팀 또한 인력 확보에 어려움이 있다보니 브로드브릿지의 도움이 절실한 상황이죠.

“우리의 목표는 보안 인력들이 8시간 근무 후 퇴근해 가족과 시간을 보내고 휴식을 취할 수 있도록 워크로드를 줄이는 것입니다”라고 플랙은 설명합니다. “반년 전에 발생한 침입 상황을 지금 발견하고는 영향을 받은 시스템의 로그 전부를 일일이 뒤지고 있을 수는 없습니다. 모든 데이터를 적절하게 종합하고 정렬해 보관한 상태에서 특정 기간을 설정하고 해당 네트워크 데이터 전체에 대해 BlazingSQL 쿼리(query)를 실행하기만 하면 됩니다.”

데이터에 대한 유기적 접근

브로드브릿지의 모델은 보안업계의 오픈 소스 데이터로 학습을 진행했습니다. 그러나 브로드브릿지의 시스템의 AI 활용법이 다른 기업과 차별화되는 지점은 처음부터 어느 정도 개발이 된 모델을 제공하는 것이 아니라 AI 모델이 개별 고객의 네트워크에서 훈련된다는 것입니다.

플랙은 “GM의 위협 환경과 펜타곤 내 국방부사무실의 위협 환경은 서로 다를 것”이라면서 다음과 같이 설명합니다. “우리가 제공하는 것은 최초의 출발점입니다. 이후부터는 해당 모델이 고객의 자체 네트워크 데이터를 활용해 재훈련을 진행합니다. 시스템은 100% 자체적으로 보강되는 거죠.”

브로드브릿지의 AI모델은 보안 분석가들에게 발생 이벤트를 자세히 검토할 수 있도록 도와줍니다. 그리고 보안 분석가들이 각 이벤트를 ‘정상’ 또는 ‘추가 확인이 필요함’으로 분류하고 태그를 달게 되죠.

다음으로 이 메타데이터가 저장되어 추론 서버가 식별한 것, 분석가가 관찰한 것, 분석이 필요한 기타 이벤트 등의 기록을 제공합니다. 이 모든 것들이 딥 러닝 파이프라인에 모아져 모델을 개선합니다.

브로드브릿지는 쿠버네티스(Kubernetes)와 도커(Docker)를 사용해 역동적인 스케일링을 제공합니다. 플랙의 설명에 따르면 브로드브릿지의 소프트웨어는 100GB 네트워크에서 실시간 애널리틱스를 진행할 수 있습니다. 고객의 딥 러닝 프로세스가 AWS, Azure, 구글, 오라클 클라우드의 NVIDIA GPU 인스턴스에 업로드되며 여기서 AI가 고객 네트워크의 세부사항들에 대한 학습을 실시합니다.

브로드브릿지의 내부 개발은 AI 고유의 수요에 부응하고자 NVIDIA DGX시스템을 기반으로 진행되었습니다. 1차 개발은 DGX-1에서, 보다 최근의 개발은 DGX A100에서 진행되었는데요. 특히 플랙은 DGX A100가 제공하는 월등한 성능 향상에 주목했습니다.

“4~5년 전만 해도 지금 우리가 하고 있는 일은 절대 불가능했습니다. 이제 우리는 1U 어플라이언스처럼 경제적인 시스템에서 GPU 기반 워크로드 다수를 동시에 실행할 방법을 갖게 된 것이죠.”

여기서 끝이 아닙니다

플랙은 제3의 벤더들이 브로드브릿지의 데이터를 사용해 디바이스의 경계 태세를 역동적으로 변경할 수 있도록 API를 공개하는 날이 올 것이라고 예견했습니다. 또한 5G 시대의 도래와 함께 증가한 데이터 플로우를 구문 분석할 툴의 필요성 또한 증대될 것이라고 내다봤습니다.

현재 브로드브릿지는 코로나19 팬데믹으로 급증한 재택 근무에 따른 가상사설망(VPN) 제한이라는 보다 시급한 문제를 해결하기 위한 방안을 모색하고 있습니다.

플랙이 조심스럽게 덧붙인 한 가지는 각 기업이 자체 보안운영센터(SOC)에 현재 보유 중인 툴을 비롯해 센서, 로그 등을 교체하는 것은 브로드브릿지의 관심사가 아니라는 사실입니다. 그보다는 데이터 일체를 보안 분석가들이 이해할 수 있게 돕는 플랫폼의 구축에 매진하고 있습니다.

플랙은 이렇게 설명합니다. “지금으로서는 보안 분석가들에게 고양이 몰이와 같이 도저히 할 수 없는 것을 통제하라고 요구하는 것이나 다름없습니다. 우리의 목표는 그 고양이 몰이를 멈추도록 하는 것입니다. 그래야 분석가들이 진짜 분석을 할 수 있게 될 테니까요.”