보안팀 대응 업무의 가장 많은 리소스 사용은 탐지된 보안 경보를 분석해 보안 위협을 구분하는 과정 이다. 다양한 보안 장비의 상관분석을 통해 탐지된 보안 경보는 각각의 보안 로그를 재조합해 분석팀/관제팀에서 분석에 필요한 문맥 정보를 파악 한다. 이 과정에서 탐지된 보안 로그를 확인하는 과정에 시간이 많이 소요 된다. 각각의 필드 정보와 IOC 연관 정보를 식별하는 과정은 단순 업무의 반복이다.

RAG 기술을 활용해 인공지능 엔진을 보안 위협 대응 과정에 활용하면 보안 경보 분석 과정을 혁신적으로 빠르게 분석할 수 있다. 전통적으로 SIEM 솔루션에서 발생한 경보를 분석하는 과정과 인공지능 엔진을 활용해 경보를 분석하는 과정을 비교해 볼 수 있다.

다음 화면 캡처를 통해 전통적인 보안 경보 분석 하는 과정을 먼저 설명 드립니다. 탐지된 경보 중 인텔리전스 정보를 활용한 블랙 리스트 IP에 접속한 경보를 살펴 본다.

그림. 보안 경보 상세 로그 분석 1단계. 이벤트 설명

탐지 위협을 이해하기 위해 탐지된 경보에 대해 설명을 확인하고, 경보가 의미하는 내용과 조사 방법에 대한 설명을 확인 한다. 참조 내용을 기반으로 탐지된 상세 로그를 분석 한다. 탐지 시간, 탐지된 IP 정보를 확인 하고, IP 정보에 대한 평판을 확인하기 위해 평판 조회 사이트를 참고 한다. 의심 IP에 접속한 호스트에 대해 상세 정보를 확인 한다.

그림. 보안 경보 상세 로그 분석 2단계. 외부 IP 평판 정보 분석

운영 체제 정보와 연결에 사용한 프로그램을 확인 한다. 연결에 사용된 프로그램 정보는 악성코드나 백도어에 의한 원격 연결을 확인하는데 중요한 정보이다. 개별 분석 정보를 취합해 분석가는 해킹에 의한 이벤트 발생 여부를 판단 한다.

그림. 보안 경보 상세 로그 분석 3단계. 보안 장비 로그 확인

추가로 시각화 정보를 이용하게 되면 좀더 직관적으로 탐지 이벤트에 대해 이해할 수 있다. 최초 실행된 프로세스와 해당 실행 파일 정보를 통해 인터넷 연결을 통한 네트워크 연결 과정을 확인할 수 있다.

그림. 보안 경보 상세 로그 분석 4단계. 시각화 정보 분석

이러한 과정은 실시간으로 보안팀 분석가가 반복적으로 수행하는 작업이며, 분석에 대부분의 업무 리소스를 사용 한다.

생성형 AI 역량을 활용하면 앞서 분석가가 직접 확인해야 하는 정보를 자동으로 분석하고 빠르게 대응할 수 있도록 경보와 연관된 모든 정보를 확인 수 있다. 프롬프트 엔지니어링을 통해 간단하게 관련 정보를 확인할 수 있다. 엘라스틱에 수집된 로그를 이용해 분석 보고서 정보를 생성 할 수 있다. 다음 화면은 앞서 설명한 분석 과정을 Elastic AI-Driven 엔진을 통해 자동으로 모든 과정의 정보를 취합하는 화면 캡처다.

그림. 인공지능 엔진을 이용한 보안 경보 분석 정보 자동 생성

Elastic AI Assistant가 탐지된 경보에 대한 상세 로그를 분석해 중요한 위협 식별 정보를 정리 한다. 탐지된 보안 이벤트 종류와 형식을 요약하고, 연관된 호스트 정보를 상세하게 분석해 제공 한다. 호스트 또는 사용자에 대한 위험 리스크 스코어도 함께 제공해 분석가가 판단에 필요한 도움을 제공 한다.

외부로 통신을 시도한 설치 프로그램 정보를 분석에 제공하면 분석가는 시간을 들여 분석하지 않아도 핵심적인 이벤트 대응 정보를 참고 할 수 있다. 여기에 추가로 필요한 대응 조치에 대해 확인해 대응 과정에서 활용 할 수 있다. 앞서 메뉴얼하게 분석하는 과정과 비교해 보면 대응 시간을 드라마틱하게 줄여 대응 역량을 높일 수 있다. 분석 보고서는 케이스 생성을 통해 시스템에 대응 근거로 저장해 침해사고 대응 과정에 대한 기록으로 활용할 수 있다. 이처럼 인공지능 역량을 활용한 보안 위협 대응은 다양한 보안 위협을 대응하는 기업의 역량을 높이는데 매우 중요한 요소다.

자세한 데모를 통해서 생성형 AI를 활용해 실제 위협 분석을 진행하는 과정은 유튜브 링크를 참조 한다.