지난 수십 년 동안 소프트웨어와 IT의 엄청난 발전은 우리가 살고 있는 세상과 우리가 세상과 상호작용하는 방식을 근본적으로 변화시켰습니다. 엔지니어들은 사용자가 소프트웨어와 상호작용하는 방식부터 마우스를 움직이는 방식까지 데이터를 저장하는 방법을 배웠습니다. 이렇게 수집된 데이터는 그 자체로는 큰 도움이 되지 않습니다. 하지만 최근 몇 년 동안 특히 인공지능의 분석 기능이 향상되면서 방대한 양의 사용자 데이터를 마이닝하여 인사이트를 얻을 수 있게 되었습니다. 이러한 방식으로 대량의 사용자 데이터를 분석하는 것을 행동 분석이라고 합니다.
행동 분석은 사용자 행동 데이터에 대한 빅데이터 분석과 인공 지능을 결합하여 패턴, 트렌드, 이상 징후 및 기타 유용한 인사이트를 파악하여 적절한 조치를 취할 수 있도록 합니다. 행동 분석은 전자상거래, 의료, 뱅킹, 보험, 사이버 보안 등 다양한 산업과 애플리케이션에서 사용됩니다.
ArcSight 인텔리전스를 통해 보안팀은 파악하기 어려운 공격을 선제적으로 방어할 수 있습니다. 분석가는 행동 분석에서 얻은 상황에 맞는 인사이트를 통해 내부자 위협 및 지능형 지속 위협(APT)과 같은 복잡한 위협에 맞서 싸우는 데 있어 진정으로 중요한 것을 빠르게 확대할 수 있습니다.
자세히 알아보기데이터 생성은 지난 10년간 폭발적으로 증가했으며 아래 그림에서 볼 수 있듯이 앞으로도 기하급수적으로 늘어날 것으로 예상됩니다. 이 차트에 따르면 2025년에는 전 세계 데이터 영역에 약 160제타바이트가 존재할 것으로 예측됩니다. 제타바이트는 워낙 방대하기 때문에 시각화하기 어렵습니다. 하지만 각 바이트를 1킬로미터로 표현하면 1제타바이트는 태양을 3,333,333,333,333번 왕복할 수 있는 양에 해당합니다. 생성된 데이터의 15%만 저장될 것으로 추정되지만 여전히 엄청난 양의 데이터입니다.
행동 데이터를 저장하는 데에는 몇 가지 중요한 문제가 있습니다:
행동 데이터는 주로 사람들이 소프트웨어 또는 서버와의 상호작용을 통해 수집됩니다. 상호 작용의 예로는 웹사이트에 데이터를 업로드하거나 웹사이트에서 제품을 선택하는 것이 있습니다. 이러한 이벤트는 쉽게 액세스할 수 있는 방식으로 날짜 및 시간 스탬프와 함께 디바이스의 로컬 데이터베이스에 저장되거나 일반적으로 기업 소유의 서버에 저장됩니다.
모든 산업은 데이터 수집과 그 데이터의 활용을 중심으로 구축됩니다. 다음은 익숙하지 않을 수 있는 데이터 수집의 몇 가지 예입니다:
지금까지 사이버 보안은 잠재적인 사이버 위협을 탐지하기 위해 규칙 중심 프레임워크만을 사용해 왔습니다. 한밤중에 대량의 데이터가 다운로드되는 경우를 예로 들 수 있습니다. 이 작업은 규칙 위반을 트리거하여 보안팀에 경고를 보낼 수 있습니다. 이러한 규칙 기반 접근 방식은 오늘날에도 여전히 계층화된 분석 보안 접근 방식의 중요한 부분이지만, 영리한 해커는 이러한 시스템에 설정된 많은 규칙이 트리거되는 것을 피할 수 있으며 악의적인 방식으로 행동하는 직원(내부자 위협이라고도 함)을 발견하기 어려울 수 있습니다. 행동 분석은 복잡한 머신 러닝 알고리즘을 사용하여 기업 전반의 사용자 및 엔터티 데이터를 분석하고 보안 침해의 징후일 수 있는 예기치 않은 행동을 식별함으로써 사람 중심의 방어를 가능하게 합니다.
사이버 보안에서 행동 분석은 흔히 사용자 및 엔터티 행동 분석 또는 UEBA라고 불립니다. UEBA는 조직의 대부분의 데이터를 선별하여 보안 분석가가 평가할 수 있는 고품질의 리드를 개발할 수 있어 상당한 시간과 비용을 절약할 수 있기 때문에 인기가 높아졌습니다. 또한 UEBA를 사용하면 보안 분석가의 수를 줄일 수 있어 경쟁이 치열한 보안 인재 전쟁에 참여해야 하는 기업의 부담을 줄일 수 있습니다.
보안에서 행동 분석의 가장 큰 활용 분야 중 하나는 내부자 위협을 탐지하는 것입니다. 내부자 위협은 금전적 이득이나 회사에 대한 보복으로 동기가 부여된 조직 직원의 공격입니다. 직원들은 업무에 사용하는 민감한 정보에 이미 액세스하고 있기 때문에 회사에서 해당 정보를 훔치기 위해 해킹이 필요하지 않습니다. 따라서 보안 규칙이 트리거되지 않는 경우가 많습니다. 그러나 행동 분석은 직원이 보이는 비정상적인 행동을 식별하고 보안 팀에 경고하는 데 사용할 수 있습니다.
보안에서 행동 분석의 또 다른 일반적인 적용 분야는 지능형 지속 위협(APT)을 탐지하는 것입니다. APT는 해커가 조직의 서버에 장기간 접속할 때 발생합니다. 이러한 공격은 특히 기존 방법으로는 탐지하기 어렵습니다. APT는 액세스를 오래 지속하기 위해 일반적인 규칙이 트리거되지 않도록 의도적으로 설계되기 때문입니다. 하지만 행동 분석은 알고리즘이 APT가 일반적으로 보이는 비정상적인 활동을 모니터링하기 때문에 APT를 탐지할 수 있습니다.
UEBA 소프트웨어의 마지막 응용 분야는 제로 데이 공격을 탐지하는 것입니다. 제로데이 공격은 이전에 사용된 적이 없는 새로운 공격이므로 이를 탐지하기 위해 작성된 규칙이 없습니다. 행동 분석은 이전의 행동 데이터를 사용하여 정상적이지 않은 것을 평가하기 때문에 이러한 새로운 공격은 일반적으로 회사의 보안을 침해하기 위해 평범하지 않은 새로운 실행 파일과 방법을 사용하기 때문에 종종 탐지할 수 있습니다.
사물 인터넷 또는 IoT는 인터넷 및/또는 다른 디바이스에 연결하여 연결된 디바이스의 웹을 만드는 주변 디바이스 네트워크를 말합니다. IoT는 지난 10년 동안 제조, 공급망, 소비재를 비롯한 여러 산업 분야에서 상당한 성장을 거듭하고 있습니다. 이러한 IoT 디바이스의 대부분은 행동 데이터를 수집하고 해당 데이터를 사용하여 분석을 수행하여 인사이트 또는 적절한 조치를 도출합니다.
이러한 성장의 가장 눈에 띄는 소비자 제품 사례 중 하나는 스마트워치의 확산입니다. 불과 몇 년 전만 해도 스마트워치는 매우 드물었고 첨단 기술 애호가들만 구매했지만, 더 많은 기업이 이 산업에 뛰어들면서 스마트워치와 기타 IoT 디바이스가 훨씬 더 주류가 되었습니다. 오늘날에는 캐주얼 비디오 게임 스트리머도 시청자가 볼 수 있도록 표시되는 심박수 모니터를 착용할 정도로 IoT 디바이스가 보편화되었습니다. 행동 데이터를 수집하는 소비자 대상 IoT 애플리케이션의 예는 다음과 같습니다:
기업들은 또한 행동 분석과 함께 IoT를 사용하여 현재 역량을 강화하는 방안을 모색하고 있습니다. 기업이 운영 개선을 위해 IoT를 도입하는 주된 이유는 비용 절감, 보다 정확한 배송 예상, 우수한 제품 관리 등의 이점 때문입니다. 소비자 영역에 비해 행동 데이터를 구체적으로 수집하는 디바이스의 수는 적지만, 몇 가지 디바이스가 있습니다:
IoT 디바이스의 양이 계속 증가함에 따라 소비자와 기업 모두에게 가치를 제공하는 데 있어 행동 분석의 중요성은 더욱 커질 것입니다.
오늘날 생성되고 저장되는 데이터의 양은 '빅 데이터'라는 용어가 만들어질 정도로 이전 세대를 훨씬 뛰어넘습니다. 빅 데이터는 데이터 과학자나 통계학자가 대량의 데이터를 사용하는 방법을 사용하는 경우를 말합니다. 일반적으로 데이터의 품질이 동일하다는 가정 하에 데이터가 많을수록 분석의 효율성이 향상됩니다. 신경망과 같은 강력한 알고리즘 중 상당수는 소량의 데이터에서는 효율적이지 않지만, 대량의 데이터에서는 훨씬 더 효과적입니다.
일부 산업은 다른 산업보다 빅 데이터의 개념을 더 많이 수용하고 있는데, 웹사이트 광고가 좋은 예입니다. 예를 들어, 웹 광고 테스트에서는 A/B 테스트를 통해 데이터를 빠르게 수집하고 분석하여 비교 광고에 대한 효과 지표를 산출할 수 있습니다. 많은 업계에서 생성되는 데이터의 양, 데이터 페이월 또는 기업의 데이터 수집과 사용을 어렵게 만드는 데이터 규제로 인해 빅데이터 접근 방식을 채택하는 데 어려움을 겪고 있습니다.
행동 분석은 대량의 데이터를 생성하고 수집할 수 있으며 각 사용자별로 추적할 수 있는 경우가 많기 때문에 빅데이터 범주에 잘 맞습니다. 웹사이트를 탐색하다가 쿠키를 사용하여 사용자 경험을 추적한다는 경고가 표시되면 웹사이트 디자인을 최적화하기 위해 웹사이트에서의 행동을 추적하는 경우가 많습니다. 앞서 언급한 바와 같이, 행동 데이터의 가장 풍부한 소스 중 하나는 IoT이며, 전체 회사가 IoT 데이터에서 얻은 행동 분석을 실행하는 데에만 초점을 맞춰 설립될 정도입니다.
머신 러닝은 입력 데이터와 때로는 예상 데이터 출력을 사용하여 모델 매개변수를 미세 조정하여 정확도를 높이는 알고리즘의 한 종류입니다. 머신 러닝은 알고리즘이 사람보다 훨씬 더 많은 데이터를 처리할 수 있기 때문에 대량의 데이터를 분석하고 분류하는 데 특히 유용합니다. 행동 분석은 종종 머신 러닝을 사용하여 인사이트를 도출하거나 의사 결정을 자동화합니다.
행동 분석 및 머신 러닝 사용 사례의 몇 가지 예는 다음과 같습니다:
아마존이 시장에서 지배적인 이커머스 플랫폼이 될 수 있었던 이유 중 하나는 행동 분석으로 분류되는 소비자의 검색 습관과 구매 습관을 모두 분석하는 데 집중했기 때문입니다.
소비자의 구매 습관을 평가함으로써 기업은 제품 프로모션과 번들 모두에 대한 최적의 기회를 파악할 수 있습니다. 행동 분석에 의해 결정되는 번들의 좋은 예는 아마존의 상품 페이지에서 초기 상품 세부 정보 아래에 있는 번들입니다. 일반적으로 번들에는 다른 사람들이 동일한 제품과 함께 구매한 몇 가지 다른 품목이 포함됩니다. 번들을 구매하면 모든 제품에 대해 약간의 할인 혜택이 제공됩니다.
구매 습관 데이터는 클러스터링과 같은 비지도 머신러닝 방법을 사용하여 고객 세분화도 가능하게 합니다. 고객 세분화를 통해 기업은 여러 그룹의 일반적인 구매 습관을 파악하여 다양한 고객층을 만족시킬 수 있는 방법을 더 잘 파악할 수 있습니다.
전 세계적으로 사기로 인한 글로벌 경제의 손실은 연간 수조 달러에 달합니다. 당연히 금융 회사들은 사기로 인한 비용을 절감하고 고객에게 보다 안전한 경험을 제공하기 위해 비정상적인 소비자 행동에서 감지된 사기 행위를 포착하는 데 많은 투자를 하고 있습니다.
사기 거래는 행동 머신 러닝 알고리즘을 사용하여 정상적인 행동을 파악하여 비정상적인 거래가 발생하면 사기 가능성이 있는 거래로 표시할 수 있도록 합니다. 금융회사는 사기 가능성이 있는 활동이 발생하면 고객에게 연락하여 거래가 실제로 사기인지 여부를 확인하는 경우가 많습니다.
사기를 나타낼 수 있는 비정상적인 행동의 예로는 소비자가 로스앤젤레스에서 커피를 구매한 후 20분 후에 런던에서 도넛을 구매하는 경우를 들 수 있습니다. 두 구매를 모두 하기 위해 그렇게 빨리 이동하는 것은 불가능합니다. 또 다른 예는 소비자가 한 번도 가본 적이 없는 장소에서 고가의 제품을 구매하는 경우입니다. 예를 들어 소비자가 캐나다에 거주하면서 브라질에서 매트리스 50개를 구매하기 위해 금융 자격 증명을 사용하는 경우입니다.
머신러닝 알고리즘이 개선되고 데이터가 사일로화되어 있는 산업에서 데이터의 소셜화가 진행됨에 따라 행동 분석은 더욱 유용해질 것입니다. 행동 분석의 기회가 증가함에 따라 기업이 규정을 준수하고 존중하는 방식으로 데이터를 사용해야 할 책임도 커지고 있습니다.
오늘날 기업이 직면하고 있는 사이버 위협이 계속 증가함에 따라 귀중한 데이터를 보호하고 해커가 내부 네트워크에 접근하지 못하도록 더 많은 예방 조치를 취해야 합니다. 최고의 UEBA SecOps 소프트웨어인 ArcSight Intelligence는 행동 분석을 사용하여 악의적인 행동을 나타낼 수 있는 이상 징후를 탐지합니다. 내부자 위협, 제로데이 공격, 심지어 공격적인 레드팀 공격까지 탐지하는 입증된 실적을 보유하고 있습니다. 조직 보안을 위한 첫걸음을 내딛으세요. 지금 바로 OpenText™ CrowdStrike용 Arcsight™ 인텔리전스 데모를 예약하세요!
더 스마트하고 간편한 보호
내부자 위험, 신종 공격, 지능형 지속적 위협을 선제적으로 탐지합니다.
로그 관리 및 규정 준수를 간소화하는 동시에 포렌식 조사를 가속화하세요. 빅 데이터 검색, 시각화 및 보고를 통해 위협을 추적하고 방어하세요.
Interset 는 기계 지능으로 인간의 지능을 보강하여 사이버 복원력을 강화합니다. 고급 분석, 인공 지능 및 데이터 과학 전문 지식을 보안 솔루션에 적용하여 Interset 가장 중요한 문제를 해결합니다.