사이버 보안 경고의 지능형 분류 및 우선 순위 지정 시스템: AACT

본 기사는 사이버 보안 경고의 자동화된 분류 및 우선 순위 지정 시스템인 AACT에 대해 소개합니다. AACT는 SOC 분석가의 업무 부하를 줄이고 중요한 위협에 집중할 수 있도록 지원하며, 실제 환경에서 6개월 동안 경고를 61% 감소시키는 성과를 달성했습니다.

끊임없이 증가하는 사이버 위협 속에서 길을 찾다: AACT의 등장

기업 네트워크가 확장되고 사이버 공격 표면이 급증하면서 보안 제어 시스템에서 생성되는 보안 경고의 양도 기하급수적으로 늘어나고 있습니다. 보안 운영 센터(SOC) 분석가들은 이러한 경고들을 분석하여 악성 활동을 식별해야 하지만, 엄청난 양의 양성 경고로 인해 '경고 피로'에 시달리고 있습니다. 특히 관리형 SOC 제공업체에서는 상황 전환과 비즈니스 프로세스에 대한 제한된 가시성으로 문제가 더욱 심각해지고 있습니다.

바로 이러한 문제를 해결하기 위해 등장한 것이 바로 AACT (Automated Alert Classification and Triage) 시스템입니다. Melissa Turcotte, François Labrèche, Serge-Olivier Paquette 세 연구원이 개발한 AACT는 분석가의 사이버 보안 경고 분류 작업을 학습하여 SOC 워크플로를 자동화하는 혁신적인 시스템입니다. AACT는 실시간으로 분류 결정을 정확하게 예측하여 양성 경고는 자동으로 종료하고 중요한 경고는 우선 순위를 지정합니다. 이를 통해 SOC 대기열이 줄어들고 분석가는 가장 심각하거나 관련성이 높거나 모호한 위협에 집중할 수 있게 됩니다.

실제 데이터와 검증된 성능

AACT는 실제 SOC 데이터와 공개 데이터 세트를 모두 사용하여 훈련 및 평가되었으며, 악성 경고와 양성 경고를 식별하는 데 높은 성능을 달성했습니다. 더욱 놀라운 것은 실제 SOC 환경에서의 검증 결과입니다. 6개월 동안 분석가에게 표시되는 경고가 무려 61%나 감소했으며, 수백만 건의 경고에 대한 위음성률은 1.36%에 불과했습니다.

이는 단순한 기술적 진보를 넘어, 사이버 보안 분야의 효율성과 정확성을 획기적으로 높일 수 있는 잠재력을 보여주는 결과입니다. AACT는 분석가들의 부담을 줄여주고, 더욱 중요한 위협에 집중할 수 있도록 지원함으로써 기업의 사이버 보안 방어 체계를 강화하는 데 크게 기여할 것으로 기대됩니다. AACT의 성공은 사이버 보안 분야에서 인공지능의 역할이 점점 더 중요해지고 있음을 보여주는 명확한 증거입니다.