「申告データと内部検知結果を組み合わせ、(異常兆候)遮断ポリシーの反映サイクルを1日単位から10分単位へ短縮した。攻撃が短い周期へと変わる流れに合わせ、防御のリズムを引き上げた」
ソン・ヨンギュSKテレコム保安ガバナンス室長(副社長・55)は12日、ChosunBizの取材に対し、このように語った。ボイスフィッシングとスパムが生成型人工知能(AI)を通じて一段と迅速かつ精巧になっている状況のなか、SKテレコムは検知・遮断・復旧の全工程を実戦型へ再設計しているという説明だ。2001年にSKテレコムへ入社したソン室長はIT開発業務を担当し、2014年からはセキュリティ業務を担っている。現在は個人情報保護室長も兼務している。
成果は数字にも表れている。SKテレコムは昨年、音声スパム・ボイスフィッシングの通話やメッセージなど通信詐欺の試行約11億件を先制遮断した。前年比で35%増の規模だ。音声2億5000万件、メッセージ8億5000万件を防いだ。ソン室長は「一年限りのきらめく成果ではなく、組織と技術をともに積み上げてきた累積効果が現れ始めたものだ」と述べた。
ソン室長はセキュリティフレームの転換も強調した。ソン室長は「従来のファイアウォール中心からゼロトラスト(信頼せず常に検証するセキュリティ原則)中心へ移行している」とし、「利用者と端末を接続区間ごとに再認証し、資産別のマイクロセグメント制御で迂回アクセスを減らしている」と語った。アカウント権限管理の強化とソースコード脆弱性統制の高度化も並行中だと付け加えた。
◇エイドット端末分析とネットワーク遮断方式の結合
顧客接点ではPASSとエイドット電話がセキュリティの役割を分担する。PASSは誘導型メッセージの検知通知を提供し、エイドット電話はAI安心遮断で疑わしい信号や異常兆候を即時に警告する。とりわけエイドット電話は、通話中の文脈を端末で直接分析するオンデバイス構造を採用した。ソン室長は「通話内容をサーバーに蓄積して回す方式ではなく、端末内での分析によりプライバシーへの懸念を抑えた」と説明した。
ネットワーク段でも多層防御を強化した。メッセージ・音声フィルタリング装置が大容量トラフィックを先にふるい落とし、端末接点で文脈に基づく判別を加える。肝は反映速度だ。ソン室長は「脅威情報がポリシーへ反映される時間的な間隔を縮め、攻撃パターンの変化に対応する時間を短縮した」と述べた。
◇AIが高速選別、人は高難度検証
運用方式はAIと人の結合だ。AIが大量データを一次分類し、人が悪性URL・類似パターン・誤検知の有無を最終確定する。ソン室長は「モデルの精度を左右するのは結局のところ正解データの品質だ」とし、「人員をむやみに増やすより、AIで選別し、人は高難度の検証に集中してこそ生産性と精密度を同時に高められる」と語った。
モデルはMLOps体制(学習→検証→配布→モニタリング→再学習を自動化・標準化して運用する方式)で運用する。一度配布したモデルを長期間固定するのではなく、学習・配布・検証・再学習を繰り返す。ソン室長は「過去は四半期・半期中心だった運用サイクルを月単位へ前倒しし、攻撃パターンの変化速度に合わせた」と述べた。
◇RACI・ランブック・レッドチームで組織も実戦型へ転換
組織レベルでは対応ラインを単一化した。サイバー脅威対応組織を新設した後、ガバナンス組織と技術対応組織を統合し、セキュリティオペレーションセンターを軸に束ねた。部門別の分散対応を顧客保護という単一目標へ再整列した。
規程も再整備した。クラウド・サプライチェーンの脅威を反映して情報保護処理指針を見直し、統制領域ごとにRACI(役割・責任分担)体制を適用して担当・責任・助言・共有の対象を事前に明確化した。事故類型別のランブックを整え、識別・検知・対応・復旧段階の実行も標準化した。
ランサムウェア・DDoS・アカウント乗っ取り型攻撃のシナリオに基づく模擬訓練、レッドチームとブルーチーム間のチェックループも常時化した。ソン室長は「目標は『事故ゼロ』というスローガンではなく、事故の可能性を下げ、発生時の被害拡大を最小化する復元力の強化だ」と語った。
ソン室長は通信事業者の構造的限界も併せて指摘した。ソン室長は「通信事業者は接続プラットフォームであり、単独であらゆるハッキング犯罪を根源的に封じることはできない」としつつ、「警察・韓国インターネット振興院(KISA)・金融界とデータを連携し、協力してこそ実効性が高まる」と述べた。さらに「限界を理由に後退することはできない」とし、「事前検知と即時対応能力をさらに引き上げるのが通信事業者の役割だ」と付け加えた。
ソン室長は「セキュリティは現場運用が成否を分ける」とし、「基本と原則の上にAIの革新を組み合わせ、顧客が実感する安全水準を高めていく」と述べた。続けて「SKテレコムの方向性は明確だ。セキュリティは宣言ではなく、毎日更新される運用だ」と語った。