시스코는 28일 시스코 XDR과 스플렁크 시큐리티의 위협 탐지 및 대응 기능 강화, 새로운 AI 에이전트 도입, 시스코 AI 디팬스 플랫폼과 서비스나우 섹옵스(SecOps) 간 통합을 포함한 다양한 AI 기반 보안 강화 조치를 공개했다. 아울러 사내 및 업계 전반의 AI와 보안 기술 발전을 목표로 하는 신규 조직 ‘파운데이션 AI(Foundation AI)’를 신설하고, 첫 프로젝트로 보안 애플리케이션 강화를 위해 설계된 오픈소스 AI 추론 모델을 출시했다.
이번 발표는 미국 샌프란시스코에서 열린 RSA 컨퍼런스 2025에서 이뤄졌다. 시스코에 따르면 시스코 XDR은 IT 환경 전반에 걸쳐 엔터프라이즈 위협 탐지, 조사, 대응을 통합하고 간소화하기 위해 설계된 클라우드 네이티브 보안 솔루션이다. 이 서비스는 시스코 및 서드파티 보안 도구 80여 종 이상을 통합해 조직별 맞춤형 보안 구성을 가능하게 한다고 시스코는 설명했다.
시스코는 이번 XDR 신제품을 통해 수동 조사 방식에서 벗어나, AI 기반 자동화 의사결정으로 전환한다고 밝혔다. 이에 따라 단순히 신호를 탐지하는 수준을 넘어, 증거 기반으로 신호를 조사하고 이해할 수 있도록 했다고 시스코 제품 관리 부문 부사장 AJ 시플리는 설명했다. 시플리는 “보안 운영의 새로운 기준을 세워 보안팀이 신속하게 결정을 내릴 수 있도록 하는 것이 목표”라고 전했다.
이러한 접근의 첫 사례로, 시스코는 스플렁크 플랫폼, 엔드포인트, 네트워크, 위협 인텔리전스, 행위 및 문맥 데이터를 통합해 특정 활동이 실제 위협인지 여부를 에이전틱 AI로 판별하는 XDR 신규 기능 ‘인스턴트 어택 베리피케이션(Instant Attack Verification)’을 선보였다.
시플리는 공식 블로그를 통해 “새로운 XDR 기능으로 가장 일반적인 공격에 대해 자동화된 탐지 및 대응이 가능하다”라며 “머신러닝, 머신 추론, 대규모언어모델(LLM)이 결합돼 조사 생애주기의 다양한 단계에서 여러 AI 에이전트가 작동한다”라고 설명했다. 이어 “각 조사 결과는 명확한 판결로 도출되며, 이를 통해 시스코 XDR 또는 스플렁크 SOAR의 사전 구축된 플레이북을 즉각 실행할 수 있다. 이때 인간 개입 여부는 각 조직의 프로세스에 따라 결정된다”라고 밝혔다.
시스코는 또한 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response)을 의미하는 스플렁크 SOAR를 통해 사이버 위협 대응을 자동화 및 관리할 수 있다고 언급했다. 시플리에 따르면 현재 이용 가능한 새로운 SOAR 버전과 6월 출시 예정인 스플렁크 엔터프라이즈 시큐리티 8.1은 가시성 및 통합된 워크플로우를 강화해 보안 운영을 지원하고, 탐지 및 자동 대응 기능을 엔터프라이즈 보안 인터페이스 내에서 직접 개선할 예정이다.
XDR에는 이번에 새로운 자동화 포렌식 기능도 추가됐다. 이 기능은 엔드포인트 활동에 대한 가시성을 크게 높여 조사 정확도를 향상시키는 데 기여한다. 시플리는 “새로운 XDR 포렌식 기능은 디지털 포렌식을 트리거해, 감염되거나 부분적으로 암호화된 장비를 포함해 엔드포인트에서 350개 이상의 아티팩트를 수집한다”라며 “이 수집 항목에는 레지스트리 파일, 메모리 덤프, 활동 로그 등 수백 가지 데이터가 포함되며, 포렌식 조사를 위해 필수적인 정보다”라고 설명했다. 또한 그는 “이러한 증거 수집은 위험 점수, 행동 분석 등 다양한 신호 기반으로 자동 트리거되거나 사건 페이지에서 한 번의 클릭으로 실행할 수 있다”라고 설명했다.
또한, ‘XDR 어택 스토리보드(XDR Attack Storyboard)’라는 새 기능을 통해 AI 기반 조사를 시각화해 복잡한 공격 과정을 한눈에 파악하고, 보안팀이 더 빠르게 대응할 수 있도록 돕는다고 시플리는 언급했다. 그는 “시스코의 AI는 동적 어택 그래프를 구성해 사건을 시간 순서에 따라 MITRE ATT&CK 전술에 매핑하고, 각 단계를 요약해 보여준다”라며 “이로 인해 보안운영센터(SOC) 분석가는 물론, 보안 비전문 IT 인력도 신속하게 사건의 경과와 의미, 필요한 조치를 이해할 수 있다”고 전했다.
이어 “AI는 조사를 계획하고 안내하며, 주요 원인을 강조하고, 격리 및 복구 조치를 제안해 빠르고 자신감 있는 의사결정을 가능하게 한다”라며 “감사 담당자나 경영진을 위해서는 기술적 복잡성을 쉽게 풀어낸 감사 준비 완료 수준의 내러티브를 제공해 실질적이고 실행 가능한 통찰을 전달한다”고 덧붙였다.
새로운 ‘파운데이션 AI’ 그룹
시스코 부사장 겸 최고제품책임자(CPO) 지투 파텔은 시스코 내에 ‘파운데이션 AI(Foundation AI)’ 조직을 신설하고 오픈소스 기반의 보안 특화 AI 추론 모델을 개발했다고 밝혔다.
파텔은 블로그에서 “파운데이션 AI 보안 모델은 사이버보안을 위해 처음부터 설계된 80억 매개변수 규모의 오픈소스 LLM”이라며 “보안 업계에서 일상적으로 사용되는 언어, 논리, 실제 지식과 워크플로우를 반영한 데이터셋을 선별해 사전 학습한 뒤 이 모델을 완성했다”라고 설명했다.
파텔에 따르면, 고객은 이번에 공개된 새로운 모델을 자사 AI 보안 기반으로 활용하거나, 필요에 따라 자체 폐쇄형 모델과 통합해 사용할 수 있다. 새로운 추론 프레임워크를 통해 어떤 베이스 모델이든 AI 추론 모델로 전환할 수 있다는 것이 그의 설명이다. 파텔은 “업계 최초로 이 같은 방식을 적용했으며, 사이버보안 커뮤니티에 큰 이점을 제공할 것으로 기대한다”라고 말했다.
시스코는 파운데이션 AI를 사내 AI 및 보안 기술 개발을 전담하는 전문 연구개발 그룹으로 설명했다. 파텔에 따르면 이 그룹은 2024년 시스코가 로버스트 인텔리전스(Robust Intelligence)를 인수하며 확보한 AI 및 보안 전문성을 바탕으로 구성됐다.
서비스나우 통합 강화하며 AI 보안 역량 확장
시스코는 서비스나우와의 통합을 한층 강화해, 서비스나우의 보안운영(SecOps) 정보를 시스코 AI 디팬스 패키지에 연동했다고 밝혔다.
시스코 AI 디팬스 패키지는 다양한 모델과 클라우드 서비스 전반에서 AI 애플리케이션을 개발하는 엔터프라이즈 고객을 보호하기 위해 설계된 솔루션이다. 올해 초 발표된 이 패키지는 AI 액세스(AI Access), AI 클라우드 가시성(AI Cloud Visibility), AI 모델 및 애플리케이션 검증(AI Model & Application Validation), AI 런타임 보호(AI Runtime Protection) 등 네 가지 핵심 요소로 구성돼 있다. AI 액세스는 누가 AI 애플리케이션을 사용하고 있는지에 대한 가시성과 통제 기능을 제공하며, AI 클라우드 가시성은 승인되지 않은 AI 워크로드를 포함해 분산된 환경 전반의 AI 자산을 식별할 수 있도록 지원한다.
시스코는 “고객은 서비스나우를 활용해 IT 서비스 관리를 간소화하고, 자동화 및 통합 솔루션을 통해 리스크 및 거버넌스를 제어하는 운영 워크플로우를 강화하고 있다”라며 “AI 디팬스를 통해 이제 동일한 역량을 활용해 AI 자산 기반의 거버넌스 및 리스크 완화 프로그램을 구축할 수 있게 될 것”이라고 전했다.
시스코와 서비스나우의 공동 고객은 2025년 하반기부터 이번 통합 기능을 활용할 수 있을 전망이다. 양사는 2025년 후반에 추가 통합 계획도 준비하고 있다고 밝혔다.
[email protected]
Read More from This Article: 시스코, 엔터프라이즈 네트워크 전반에 AI 기반 보안 자동화 지원
Source: News