[디지털경제뉴스 박시현 기자] 포티넷은 셀프러닝 심층신경망(Deep Neural Networks, DNN) 기술을 활용해 사이버 위협 교정의 속도를 높이고, 시간 소모적인 수동 방식의 보안 분석 업무를 자동화한 AI 어플라이언스 ‘포티AI(FortiAI)’를 발표했다.
◆고객 내부에서 포티가드랩의 고급 사이버 위협 탐지 기술 활용 가능 = 포티넷 CMO 겸 제품 총괄 선임 부사장 존 매디슨(John Maddison)은 “포티AI는 포티가드랩(FortiGuard Labs)의 AI 기술과 축적된 지식을 기반으로 사이버 위협을 탐지하는 패키지 솔루션이다. 고객들은 서브-세컨드의 속도로 정교한 위협을 식별, 분류, 조사할 수 있는 셀프러닝 AI를 통해 내부 인프라 환경에서 직접 포티가드랩의 고급 사이버 위협 탐지 기술을 활용할 수 있다”고 설명했다.
포티넷에 따르면 사이버 범죄자들은 점점 더 정교해지고 있다. 기존의 사이버 위협은 계속되면서 새롭게 AI, 머신러닝, 오픈소스 커뮤니티를 기반으로 하는 정교한 지능형 공격들이 증가하고 있다.
또 공격 범위가 확대되고 있다. 수백만 개의 새로운 애플리케이션, 클라우드 마이그레이션 증가, 커넥티드 디바이스의 증가로 인해 보안 팀이 제대로 보호, 관리해야 하는 엣지가 수십억 개에 달하고 있다.
그리고 사이버 기술 인력 부족으로 인해 보안 팀들이 제약을 받고 있다. 사이버 보안 업계는 조직에 가장 큰 리스크가 되고 있는 ‘기술 격차’ 과제에 직면해 있다. 점차 증가하는 잠재적, 실제적 위협을 적절히 분류, 조사, 대응할 수 있는 숙련된 보안 전문가가 충분하지 않은 상황이며, 이로 인해 사이버범죄자들은 레거시 보안 프로세스 및 툴을 손쉽게 뛰어넘어 공격을 감행하고 있다.
◆조직의 위협 보호에 셀프러닝 AI 적용 = 보안 전문가들이 직면한 이러한 과제를 해결할 수 있도록 포티넷은 사이버 위협에 대한 교정을 가속화하는 ‘포티AI 버추얼 시큐리티 애널리스트(Virtual Security Analyst)’를 발표했다.
포티AI는 현재 보안 전문가들이 하고 있는 시간 소모적인 수동작업을 자동화해 처리함으로써 보다 높은 가치의 보안 기능에 그들의 시간을 활용할 수 있도록 해준다. 포티AI의 셀프러닝 기능은 조직의 네트워크에 구축된 이후 축적된 정보를 바탕으로 더욱 스마트하게 동작한다.
포티AI는 인간 뇌의 뉴런을 모방한 심층신경망 기술이라고 불리는 딥 러닝을 활용해 이 기술이 구축된 조직 특징에 맞게 사이버 위협에 대한 과학적 분석을 이용하여 복잡한 의사결정을 내린다.
◆포티AI의 버추얼 시큐리티 애널리스트 기술의 특징 = 포티AI의 버추얼 시큐리티 애널리스트 기술은 지능화되어가는 사이버 위협을 보다 효과적으로 방어한다. 포티AI의 특징은 다음과 같다.
▶실시간 위협을 식별, 분류하기 위해 기존의 시간 소모적인 수동 조사 작업을 자동화: 제한적인 보안 직원이 레거시 보안 프로세스를 사용하고 있는 기업들은 위협 경고마다 수동적인 방식으로 조사를 진행하는데 이는 매우 시간 소모적이며 힘든 작업이다.
이로 인해 대응 시간이 느려져서 데이터 유출 또는 보안사고 등의 추가 리스크가 발생할 수 있다. 이를 해결하기 위해 포티AI는 DNN을 사용해 전체 위협 이동 경로를 식별하고, 서브-세컨드의 속도로 ‘페이션트 제로(patient zero, 최초감염자)’나 모든 후속 감염을 파악한다.
▶공격의 즉각적인 탐지 및 치료를 위해 보안 프로세스 혁신: 포티AI의 버추얼 시큐리티 애널리스트는 과학적으로 사이버 위협의 특성을 분석하고 위협 대응을 가속화하는 정확한 의사결정을 내림으로써 조직이 위협에 노출되는 시간을 크게 줄여준다.
▶맞춤형 위협 인텔리전스를 통해 오탐지 감소: 오탐지(False Positives)는 보안 분석가들이 추가 조사해야 하는 만큼 업무적으로 부담이 되며, 진짜 위협과 위협이 아닌 것을 구분하는데 많은 시간이 소모된다.
맞춤형 위협 인텔리전스를 통해 포티AI는 새로운 공격에 즉각적으로 적응하고, 오탐지를 줄이면서 새로운 멀웨어의 특징을 학습한다.
◆에어-갭 네트워크에 온프레미스 AI 제공 = 포티AI의 또 다른 주요 차이점은 에어-갭(Air Gapped) 네트워크를 보유한 조직에 적합한 온프레미스 AI를 제공한다는 점이다.
운영 기술 환경, 정부기관, 일부 대규모 기업들은 네트워크의 인터넷 연결을 제한하는 엄격한 규제 준수 또는 보안 정책을 따라야 한다. 셀프러닝 AI 모델을 사용하는 포티AI는 ‘학습’ 및 ‘성숙’을 위해 인터넷 연결이 필요하지 않기 때문에 폐쇄된 환경이나 엄격한 보안 정책을 가진 조직들도 위협에 효과적으로 대응할 수 있다.
포티넷은 AI를 활용해 고객들이 보안 상태를 강화할 수 있도록 지원해온 오랜 경험을 가지고 있다.
새로운 포티AI는 최소 제곱법 최적화(least squares optimization) 및 베이지언 통계학(Bayesian probability) 메트릭스와 같은 다양한 형태의 AI기술을 활용한다. 포티넷이 제공하는 서비스는 포티AI를 기반으로 보완됐다.
▶포티가드랩 위협 인텔리전스: 포티가드랩은 입증된 고급 AI 및 머신 러닝 기술을 사용해 매일 1,000억 개 이상의 보안 이벤트를 수집, 분석한다. 포티가드랩에서 도출된 이 위협 인텔리전스는 포티넷의 대표적인 솔루션인 포티게이트 NGFW를 포함해 다양한 포티넷의 가입 서비스를 통해 제공된다.
▶포티샌드박스: 포티넷은 침해사고 방지를 자동화하기 위해 샌드박스에 AI기술을 적용했다. 포티샌드박스(FortiSandbox)에는 제로데이 위협에 대한 정적, 동적 분석을 위한 2가지 머신러닝 모델이 포함되어 랜섬웨어 및 크립토재킹(cryptojacking)과 같이 끊임없이 진화하는 멀웨어 탐지 기능이 향상됐다.
포티샌드박스는 범용 보안 언어를 사용해 멀웨어를 분류함으로써 네트워크 팀과 보안 팀 간의 원활한 의사소통으로 보다 향상된 보안 운영을 가능하게 해준다.
▶포티EDR: 포티넷의 포티EDR(FortiEDR)은 머신러닝을 사용해 실시간 조율된 사고 대응 기능을 통해 지능형 위협에 대한 엔드포인트 보호를 자동화한다. 고객들은 인프라 환경 내에서 네트워크, 사용자, 호스트 활동을 보다 효과적으로 제어할 수 있다.
▶포티인사이트: 포티인사이트(FortiInsight)는 머신러닝 분석을 사용해 엔드포인트, 데이터 이동, 내부 사용자 활동을 효과적으로 모니터링해 내부 위협으로 인한 비정상적이고 악의적인 동작 및 정책 위반을 탐지한다.
▶포티웹: 웹 애플리케이션 및 API를 보다 효과적으로 보호하기 위해 포티웹(FortiWeb)은 머신러닝을 적용해 각 애플리케이션에 특화된 방어를 맞춤 설정한다. 포티웹은 위협을 신속하게 차단하면서 최종사용자 경험을 방해할 수 있는 오탐지를 최소화한다.
▶포티SIEM: 포티SIEM(FortiSIEM)은 머신러닝을 활용해 위치, 시간, 사용된 장치 및 액세스된 특정 서버와 같은 일반적인 사용자 행동 패턴을 인식한다. 그런 다음, 별도 위치에서의 동시 로그인과 같은 비정상적인 활동이 발생하는 경우, 이를 보안 운영 팀에 자동으로 공지할 수 있다.
