많은 기업에서 AI가 강력한 사이버보안 도구로 자리 잡고 있다. AI 기반 시스템은 실시간으로 위협을 탐지해 신속한 대응과 완화를 가능하게 한다. 또한 새로운 데이터를 지속적으로 학습하며 진화하는 역량도 갖추고 있다. 이는 기업이 새롭게 등장하는 위협을 식별하고 대응하는 데 점점 더 중요한 역할을 하고 있다.
보안팀이 점점 더 정교해지는 위협에 한 발 앞서기 위해 AI 도입을 고려한 적이 있다면 참고할 만한 6가지 창의적인 AI 활용법을 소개한다.
1. 공격 발생 전 예측
예측형 AI는 보안 담당자가 사건이 발생하기 전에 방어 결정을 내리고, 심지어 대응까지 자동화할 수 있도록 한다. 예측 기술 기업 비포어AI(BforeAI)의 보안 전략가 안드레 피아차는 “예측형 AI 기술은 높은 정확도로 작동해 수많은 경고, 오탐을 처리한다. 부담에 시달리는 보안팀의 생산성도 높일 수 있다”라고 설명했다.
예측형 AI는 인터넷에서 수집한 방대한 데이터와 메타데이터를 기반으로 작동한다. 이 과정에서는 ‘랜덤 포레스트’라고 불리는 머신러닝 알고리즘이 예측을 생성하기 위해 데이터를 분석한다. 피아차는 “이 알고리즘은 검증된 인프라 데이터베이스인 그라운드 트루스(ground truth)를 기반으로 한다”라고 설명했다. 그라운드 트루스는 현실 세계 관찰에 기반한 일종의 ‘정답 데이터’로, 모델이 신뢰할 수 있는 결과를 산출하는지 검증하는 역할을 한다. 예측형 AI는 또한 악의적 의도를 구성하는 것으로 알려진 행위 패턴 데이터베이스도 활용할 수 있다.
피아차는 예측이 실질적인 가치를 가지려면 높은 정확도가 필수적이라고 말했다. 그에 따르면 알고리즘은 공격 표면의 변화하는 특성, 예를 들어 IP나 DNS 기록 변경, 범죄자가 고안한 새로운 공격 기법 등을 반영하기 위해 그라운드 트루스를 지속적으로 업데이트한다. 피아차는 “이 덕분에 장기적으로도 예측의 정확성이 유지되며, 필요할 경우 사람의 개입 없이 자동화된 대응까지 가능하다”라고 말했다.
2. 머신러닝 기반 생성적 적대 신경망
사이버보안 기술 기업 노팔사이버(NopalCyber)의 최고 솔루션 아키텍트 미셸 사윤은 “생성적 적대 신경망(Generative Adversarial Network, GAN)을 활용하면 지금까지 등장하지 않은 고도화된 사이버 공격을 만들어내는 동시에 방어 능력도 강화할 수 있다. 이 기법은 시뮬레이션된 수많은 위협을 기반으로 훈련해 사이버보안 시스템이 학습하고 적응하도록 한다”라고 설명했다.
사윤은 GAN을 활용하면 시스템이 수백만 건의 새로운 공격 시나리오를 학습해 효과적인 방어 전략을 개발할 수 있다고 설명했다. 그는 “아직 발생하지 않은 공격을 시뮬레이션함으로써 다가올 위협에 선제적으로 대비하고, 공격 기술 혁신과 방어 준비 태세 사이의 격차를 좁히는 기술”이라고 말했다.
GAN은 생성기와 판별기라는 2가지 핵심 요소로 구성된다. 사윤은 “생성기는 실제 공격자의 전술을 모방해 새로운 악성코드 변종, 피싱 이메일, 네트워크 침입 패턴과 같은 현실적인 사이버 공격 시나리오를 만들어낸다”라고 설명했다. 반면 판별기는 이런 시나리오를 평가하며 악성 행위와 정상 행위를 구분하는 법을 학습한다. 사윤은 두 요소가 역동적인 피드백 루프를 형성한다면서, “생성기는 판별기의 평가를 기반으로 공격 시뮬레이션을 정교화하고, 판별기는 점점 더 고도화된 위협을 탐지할 수 있도록 지속적으로 능력을 향상시킨다”라고 말했다.
3. AI 분석가 어시스턴트
휴즈네트워크시스템(Hughes Network Systems)은 위협을 분류하는 데 필요한 노동 집약적인 과정을 생성형 AI로 자동화해 저연차 분석가의 역할을 한 단계 끌어올리고 있다.
휴즈의 사이버보안 제품 책임자 아지스 에다칸디는 “휴즈 AI 엔진은 보안 경고를 실시간으로 모니터링하고, 여러 출처의 데이터를 상관 분석하며, 원래 상당한 수작업이 필요한 상황별 내러티브를 생성한다. 이는 AI가 사람 분석가를 대체하는 것이 아니라 초기 조사 업무의 상당 부분을 수행하는 지능형 보조 도구가 되는 것”이라고 설명했다.
에다칸디는 이 접근법이 보안 운영센터(SOC)의 효율성을 크게 개선한다고 언급했다. 분석가들이 경고를 더 빠르고 정밀하게 처리할 수 있도록 돕기 때문이다. 그는 “하나의 경고가 발생하면 로그 점검, 위협 인텔리전스 교차 검증, 비즈니스 영향 평가 등 일련의 후속 작업이 연쇄적으로 이어진다. AI는 이 과정을 기계 수준의 속도로 수행해 분석가가 맥락 수집에 시간을 소모하지 않고 실제 위협 검증과 대응에 집중할 수 있도록 한다”라고 말했다.
에다칸디는 AI 엔진이 이미 확립된 분석가 플레이북과 런북을 학습해 여러 조사 과정에 필요한 절차를 익혔다고 설명했다. 그는 “경고가 발생하면 AI는 사람 분석가와 동일한 조사 단계를 시작해 신뢰할 수 있는 데이터 소스에서 정보를 수집하고, 결과를 상관 분석하며, 위협 스토리를 종합한다”라고 말했다. 최종 결과물은 분석가가 바로 활용할 수 있는 요약 보고서로 제공되며, 조사 시간이 한 시간에서 몇 분으로 단축될 수 있다. 그는 “이 방식이 분석가가 더 많은 경고를 처리할 수 있도록 돕고 있다”라고 덧붙였다.
4. 미세 편차를 탐지하는 AI 모델
보안 서비스 기업 XY프로테크놀로지(XYPRO Technology)의 CEO 스티브 체르치안은 “AI 모델은 시스템의 정상적인 동작을 기준으로 사람이 놓치거나 기존 규칙, 임계값 기반 시스템이 탐지하지 못하는 미세한 편차까지 감지할 수 있다”라며 “이미 알려진 악성 행위를 뒤쫓는 대신 시스템, 사용자, 네트워크, 프로세스 수준에서 ‘정상’이 무엇인지를 지속적으로 학습한다. 그 후 기준에서 벗어나는 모든 행위를 탐지해 이전에 본 적 없는 이상 징후까지 식별할 수 있다”라고 설명했다.
또한 AI 모델은 실시간 데이터, 프로세스 로그, 인증 패턴, 네트워크 흐름 등이 입력될 때마다 정상적인 행위를 지속적으로 학습해 이상 활동을 식별한다. 체르치안은 “예를 들어 사용자가 평소와 다른 시간대에 새로운 위치에서 로그인하면 위험 신호가 즉시 발생한다. 시간이 지남에 따라 이런 신호가 더 많이 식별되면서 모델이 더 똑똑해지고 정밀해진다”라고 설명했다.
5. 자동화된 경고 분류 및 대응
관리형 탐지 및 대응 기업 에어MDR(AirMDR)의 CEO 쿠마르 사우라브는 “직원 1,000명 규모의 기업은 하루 약 200건의 경고를 받는다. 경고 하나를 철저히 조사하는 데만 최소 20분이 걸리기 때문에 모든 경고를 분석하려면 분석가가 최소 9명은 필요하다. 결과적으로 대부분의 경고가 무시되거나 충분히 조사되지 못한다”라고 말했다.
AI 분석 기술은 각 경고를 검토한 뒤, 이를 정확히 판단하기 위해 추가로 어떤 데이터가 필요한지 스스로 결정한다. 이후 보안 스택 내 다른 도구와 연동해 데이터를 수집하고, 해당 경고가 대응이 필요한 위협인지 무시할 수 있는 사안인지 판별한다. 사우라브는 “만약 악성으로 확인되면 기술은 위협을 완화하거나 복구하는 데 필요한 조치를 파악하고 즉시 보안팀에 알린다”라고 설명했다.
6. AI 기반 능동형 기만 기법
사이버보안 교육 기업 콘트라(Kontra)의 CEO 지안 초드하리는 AI를 활용한 능동형 기만 기법(proactive generative deception)이 동적인 위협 환경에서 참신한 접근법일 수 있다고 설명했다.
그는 “단순히 위협을 탐지하는 대신, AI가 지속적으로 현실감 높은 가짜 네트워크 세그먼트, 데이터, 사용자 행위를 생성 및 배포하도록 훈련할 수 있다. 공격자를 겨냥해 끊임없이 진화하는 디지털 미로 공간을 구축하는 것과 같다”라고 말했다.
초드하리는 이 방식이 해커를 유인하기 위해 의도적으로 설치하는 기존 허니팟(honeypot)을 넘어 훨씬 더 광범위하고 지능적인 기만 환경을 만든다고 설명했다. 그는 “이 접근법은 공격자가 실제 자산에 도달하기 전에 지치고 혼란에 빠지도록 유도하는 데 목적이 있다”라고 설명했다.
초드하리는 이 접근법이 권력 구도를 완전히 바꾼다는 점에서 특히 유용하다고 언급했다. 그는 “새로운 위협에 끊임없이 반응하는 대신 AI가 만든 환영에 공격자가 반응하도록 유도할 수 있다. 이로 인해 공격자는 유인 시스템을 탐색하고 가짜 데이터를 탈취하며 조작된 네트워크 트래픽을 분석하느라 많은 비용과 시간을 들이게 된다”라고 말했다. 이 기법은 방어자에게 소중한 시간을 벌어줄 뿐만 아니라, 공격자가 기만 환경과 상호작용하는 과정에서 전술, 기법, 절차(TTPs)에 관한 풍부한 위협 인텔리전스를 확보하는 데도 유용하다.
다만 초드하리는 AI 기반 능동형 기만 환경을 구축하려면 여러 분야에 걸쳐 상당한 자원이 필요하다고 지적했다. 그는 “특히 강력한 클라우드 기반 인프라와 생성형 AI 모델을 학습 및 운영할 고성능 GPU 자원이 필요하며, 숙련된 AI/ML 엔지니어, 사이버보안 아키텍트, 네트워크 전문가로 구성된 팀이 요구된다”라고 설명했다. 이어 그는 “진짜처럼 설계된 기만을 생성하려면 정상 및 악성 네트워크 트래픽 데이터셋 등 다양하고 방대한 데이터셋에 대한 접근도 필수적”이라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 사이버보안 혁신을 이끌 창의적인 AI 활용법 6가지
Source: News