에이전틱 AI는 사이버보안을 비롯한 다양한 IT 운영과 서비스 전반을 혁신할 잠재력을 지니고 있다. 인간의 개입 없이 특정 업무를 수행하는 이 기술은 일부 CISO에게 다소 부담스럽게 느껴질 수 있지만, 점점 더 많은 사이버보안 리더들이 에이전틱 AI가 생각보다 단순하며 도입도 쉽다는 사실을 깨닫고 있다.
줌의 CISO 산드라 맥레오드는 “에이전틱 AI가 점점 성숙해질수록 사이버보안 분야에서의 가능성은 더욱 매력적으로 다가온다”라고 말했다. 그는 “AI는 인간이 따라갈 수 없는 규모와 속도로 작동할 수 있기 때문에 사이버보안의 여러 활용 사례에 매우 적합하다”라고 전했다.
맥레오드는 “AI는 피로감 없이 방대한 데이터를 지속적으로 처리할 수 있어, 인간의 집중력이 점차 떨어지는 환경 모니터링에 특히 유용하다”라며 “이미 과중한 업무에 시달리는 보안팀이 감당하기엔 범위가 너무 넓거나 우선순위가 낮은 문제들을 해결하는 데 큰 도움이 된다”라고 설명했다.
또한 AI는 실시간으로 대응할 수 있어 인간보다 훨씬 빠르게 움직일 수 있으며, 공격 피해 범위를 줄이거나 위협이 탐지되지 않은 채 머무는 시간을 최소화할 수 있다. 맥레오드는 “AI가 대량의 반복 업무나 시급한 작업을 처리하면 사람은 보다 전략적이고 가치 있는 일에 집중할 수 있다”라고 말했다.
맥레오드는 “조직이 에이전틱 AI를 사이버보안 전략에 포함할 준비가 되어 있는가를 고민해야 할 시점”이라며 “지금부터 소개할 일곱 가지 대표 활용 사례를 검토해볼 필요가 있다”라고 덧붙였다.
1. 자율형 위협 탐지 및 대응
델테크놀로지스의 사장 겸 CSO 존 시모네는 “에이전틱 AI의 대표적인 사이버보안 활용 사례는 자율형 위협 탐지와 대응”이라며 “이 기술은 위협을 탐지하고 보호하며, 격리하고 복구하는 전 과정을 지금까지 볼 수 없던 속도와 규모로 수행할 수 있다”라고 말했다.
그는 “에이전틱 AI는 실시간으로 침입 시도를 자동 탐지하고 차단하며, 위험을 완화하기 위해 보안 및 IT 설정을 스스로 변경할 수 있다”라며 “본질적으로 실시간 자율형 사이버 방어 요원처럼 작동한다”라고 설명했다.
시모네는 “최근 사이버공격은 점점 더 자율형 에이전트에 의해 초고속으로 수행되고 있으며, 인간의 대응 속도로는 이를 따라잡기 어렵다”라고 지적했다. 이어 “자율형 위협 탐지의 핵심 가치는 속도와 규모이며, 이는 기존 방식이 가장 취약한 부분”이라며 “에이전틱 AI는 방어자에게 동일한 속도와 범위로 대응할 수 있는 능력을 제공해 사이버전의 균형을 맞출 것”이라고 말했다.
2. 보안운영센터(SOC) 지원
딜로이트의 사이버 리스크 서비스 총괄 나레시 퍼사드는 “보안운영센터(SOC)는 위협 탐지와 대응의 최전선에 있기 때문에 에이전틱 AI의 적용에 매우 적합한 분야 중 하나”라고 말했다.
SOC는 하루에도 수천 건의 경보를 처리해야 해 분석가들이 ‘경보 피로(alert fatigue)’에 시달리고 있다. 퍼사드는 “분석가 한 명이 한 건의 티켓을 처리하는 데 평균 21분 이상이 소요되고, 사건을 문서화하거나 포렌식 데이터를 수집하는 작업도 매우 많은 시간을 필요로 한다”라고 설명했다. 또한 “취약점이나 사용자 접근 이상 징후를 추적하는 과정 역시 복잡하며, 공격자들이 AI를 활용해 대규모 공격을 수행함에 따라 사건 수는 더욱 늘어날 것”이라고 덧붙였다.
그는 “SOC에 에이전틱 AI를 도입하면 탐지 기능을 자동화하고, 자연어처리(NLP)를 활용해 사건 보고서를 작성하며, ID 시스템과 연동해 비정상 접근을 분석하고, 자동 복구를 수행할 수 있다”라고 설명했다. 이어 “무엇보다 에이전틱 AI 기반 SOC는 업무량 변화에 따라 기하급수적으로 확장 가능한 운영이 가능해질 것”이라고 강조했다.
3. 자동 분류와 보안 이벤트 로그 고도화
사이버보안 서비스 기업 라드웨어(Radware)의 위협 연구 총괄 파스칼 지넨스는 “자동 분류(트리아지)와 보안 이벤트 로그의 데이터 고도화가 결합되면 에이전틱 AI의 강력한 활용 사례가 된다”라고 말했다.
그는 “AI 에이전트가 여러 위협 인텔리전스 피드에서 침해 지표(IOC)를 자율적으로 수집하고, 내부 텔레메트리 데이터와 상관 분석한 뒤, 오픈소스 정보(OSINT)와 사이버 위협 인텔리전스(CTI) 저장소의 맥락을 추가해 데이터를 풍부하게 만든 후, 분석가를 위한 구조화된 경보를 자동으로 작성하는 모습을 상상해보라”라고 설명했다.
지넨스는 “이런 시스템이 구축되면 SOC 팀이 여러 플랫폼을 수동으로 넘나들며 데이터를 연결할 필요가 없으며, AI 에이전트가 자동으로 교차 분석을 수행하고 이상 징후를 표시하며, 대응 방안을 제시하는 플레이북을 미리 준비할 수 있다”라고 말했다.
그는 “이 접근 방식은 속도와 규모라는 사이버보안의 두 가지 근본적인 문제를 동시에 해결한다”라고 강조했다. “현재 분석가들은 끝없는 경보에 파묻혀 있으며, 여러 데이터 소스 간의 연관성을 파악할 시간조차 부족하다”라며 “에이전틱 AI는 반복적이고 대량의 상관 분석 작업을 대신 수행함으로써 탐지와 대응 사이의 간극을 줄이고, 분석가가 운영이 아닌 검증과 전략 수립에 집중할 수 있게 한다”라고 설명했다.
지넨스는 “결국 이 기술은 인간을 대체하는 것이 아니라, 전문성을 강화하면서 불필요한 잡음을 제거해 효율을 극대화하는 도구”라고 덧붙였다.
4. 보안 인력 역량 강화
팔로알토네트웍스(Palo Alto Networks)의 생성형 AI 제품 관리 디렉터 라훌 라마찬드란은 “사이버보안 분야의 또 다른 큰 문제는 기술이 아니라 인력 격차이며, AI 에이전트가 이에 대한 가장 현실적인 해답을 제시한다”라고 말했다.
그는 “AI 에이전트는 과중한 업무에 시달리는 보안팀의 ‘전력 승수(force multiplier)’ 역할을 하며, 보안 체계를 안정적으로 유지하기 위한 반복적인 유지보수와 여러 보안 도구 간 복잡한 문제 해결을 자동화할 수 있다”라며 “이로써 핵심 인력이 수동적이고 반복적인 업무 대신, 중요한 위협 대응에 집중할 수 있다”라고 설명했다.
라마찬드란은 “사이버보안 인력난은 일시적인 현상이 아니라 앞으로도 오랫동안 지속될 구조적 현실”이라며 “단순히 인력을 더 채용한다고 해결될 문제가 아니다”라고 경고했다. 이어 “AI 에이전트를 도입하는 것은 기존 인력에 대한 전략적 투자로, 그들의 생산성과 효율성을 높이고, 결과적으로 더 만족스러운 업무 환경을 조성하는 결정”이라고 말했다.
5. 브랜드 사기 방어
사무기기 서비스 기업 데스크로닉(Deskronic)의 CEO 샤루나스 브루자스는 “가짜 도메인은 예전부터 기업들에게 큰 골칫거리였다”라며 “AI 에이전트는 자사 이름과 유사한 신규 도메인 등록을 스캔하고, 스크린샷을 확보하며, WHOIS 조회를 수행하고, 필요 시 차단 요청서까지 자동으로 작성할 수 있다”라고 말했다.
브루자스는 최근 “AI 에이전트가 피싱 사이트를 개설 후 20분 만에 탐지해냈다”라며 “기존 방식이었다면 며칠이 걸렸을 것이고, 그 사이 고객의 데이터나 금전 피해가 발생했을 것”이라고 전했다.
그는 또 다른 강력한 활용 사례로 소셜 미디어 내 사기 광고 탐지를 꼽았다. 브루자스는 “사기꾼들은 페이스북이나 인스타그램 광고를 통해 브랜드를 사칭하는데, AI 에이전트는 이런 광고를 실시간으로 감지해 즉시 알림을 보내고, 고객이 클릭하기 전에 삭제 조치를 취할 수 있다”라고 설명했다.
또한 브루자스는 “이런 공격은 매우 빠르게 일어나기 때문에 수작업으로 대응하는 팀은 그 속도를 따라잡기 어렵다”라며 “피싱 사이트나 사기 광고가 한 시간이라도 더 노출되면 사기 위험이 커지고 고객 신뢰도 훼손된다”라고 말했다. 이어 “AI 에이전트가 상시로 가짜 사이트와 광고를 탐지하면 사기 식별에 걸리는 시간이 줄고, 인력은 반복적인 모니터링 대신 검증과 전략에 집중할 수 있다”라고 덧붙였다.
그는 “결국 이러한 자동화는 업무 효율을 높이고 공격자가 움직일 수 있는 시간을 단축하며, 고객을 더 안전하게 보호하는 결과로 이어진다”라고 강조했다.
6. 헬프데스크 지원 자동화
사이버보안 서비스 기업 가이드포인트시큐리티(GuidePoint Security)의 혁신 담당 부사장 에드 더나호는 “AI 에이전트는 애플리케이션 접근 권한 부여나 인증 문제 해결처럼 반복적이고 일상적인 헬프데스크 업무를 자동화할 수 있다”라며 “이를 통해 팀 구성원들은 보다 복잡하고 신속한 대응이 필요한 요청에 집중할 수 있다”라고 말했다.
그는 “인프라 측면에서도 AI 에이전트는 시스템 로그를 빠르게 분석하고, 여러 데이터 소스의 결과를 상호 연계함으로써 근본 원인 분석(RCA) 과정을 단축할 수 있다”라며 “이로써 인적 엔지니어들이 문제 조사에 한발 앞서 착수할 수 있게 된다”라고 설명했다.
7. 자율형 실시간 제로트러스트 정책 적용
사이버 복원력 플랫폼 기업 드루바(Druva)의 CTO 스티븐 맨리는 “모든 최종 사용자는 행동 패턴, 권한 수준, 위험 점수 등 고유한 프로필을 가지고 있다”라며 “AI 에이전트는 이러한 사용자를 모니터링하고, 이상 징후가 발생하면 접근 권한을 조정하거나 재인증을 요구하며, 필요할 경우 임시로 해당 사용자를 샌드박스 환경에 격리시킬 수도 있다”라고 말했다.
그는 “이 기능은 제로트러스트(Zero Trust) 모델을 구현하려는 조직에 특히 중요하다”라며 “AI 에이전트는 인간 사용자뿐 아니라 다른 AI 같은 비인간 주체까지도 모니터링할 수 있다”라고 덧붙였다.
dl-ciokorea@foundryco.com
Read More from This Article: 사이버보안의 새로운 무기, 에이전틱 AI의 7가지 핵심 활용 사례
Source: News