‘취약점 평가부터 침투 테스트까지…’ AI로 공격형 사이버 보안을 개선하는 방법

AI, 특히 LLM과 이를 기반으로 하는 에이전트는 사이버 보안 전반에 걸친 혁신을 이끌고 있다. 특히 공격형 보안 분야에서 그 영향력이 두드러진다.

클라우드 보안 얼라이언스(CSA)는 최근 보고서에서 AI의 도입이 “취약점 평가, 침투 테스트, 레드 팀 활동을 포함한 공격형 보안 환경에 근본적인 변화를 가져왔다. 이런 변화로 인해 AI는 제한적 용도에서 벗어나 다재다능한 범용 기술로 재정의되고 있다”라고 설명했다.

비인간 ID 관리 솔루션 기업 오아시스 시큐리티(Oasis Security)의 공동 설립자이자 최고 제품 책임자인 아밋 짐머만은 AI가 진화하는 위협에 대응하기 위한 필수 도구가 됐다고 말했다. 그는 특히 공격자들도 점점 AI 기술을 활용하고 있어 중요성이 더욱 커지고 있다고 언급했다.

짐머만은 “공격 수법이 더 정교해짐에 따라 조직들은 앞서 나가기 위해 AI 기반의 공격형 사이버 보안을 채택해야 한다. AI는 단순한 편의를 넘어 보안 경쟁력을 유지하기 위한 핵심 자산이 되고 있다”라고 진단했다.

공격형 사이버 보안, 즉 오프섹 보안은 시스템의 취약점을 찾기 위해 공격자의 행동을 시뮬레이션하며, 여기에는 침투 테스트, 레드 팀 활동, 윤리적 해킹 등이 포함된다.

문제가 발생하기 전에 해결하고자 하는 공격형 보안

샌드박스AQ(SandboxAQ)의 엔지니어링 부사장인 스테판 라이헤나우어는 “공격형 사이버 보안은 문제가 발생하기 전에 해결하는 것을 의미한다. 적극적인 테스트를 통해 자체 취약점을 찾아 공격자보다 먼저 수정해야 한다”라고 설명했다.

코발트 랩스(Cobalt Labs)의 최고 전략 책임자인 캐롤라인 웡은 공격형 보안이 개발자의 잠재적 사각지대를 해결할 수 있기 때문에 중요하다고 말했다. 웡은 “소프트웨어 개발자로서 우리는 스스로 개발한 모든 것을 의도한 방식으로만 사용해야 한다고 생각하는 경향이 있다”라고 지적했다.

다시 말해 소프트웨어를 사용하는 좋은 방법만 지나치게 강조하고 오용 및 악용 사례, 잠재적으로 유해한 사용 사례를 무시하는 편견이 있을 수 있다는 것이다. 웡은 “조직이나 소프트웨어가 공격에 취약할 수 있는 지점과 방식을 파악하는 가장 좋은 방법은 공격자의 사고방식을 따르는 것”이라고 조언했다.

인재 부족의 영향을 줄일 수 있는 AI

CSA는 AI와 공격형 보안의 결합이 공격형 보안 실무자가 직면한 많은 과제에 대한 해결책을 제시하고 있다고 설명했다.

보고서는 “인공지능, 특히 LLM은 이런 과제를 해결할 수 있는 유망한 방법을 제공한다. AI는 인적 자원의 부담을 줄이고, 공격형 보안 테스터의 역량을 크게 강화하며, 전반적인 공격형 보안 관행의 효율성을 높일 수 있다”라고 언급했다.

CSA의 기술 연구 책임자인 션 하이드는 AI가 대규모 데이터 세트를 분석하고 결합해 과거에는 놓칠 수 있었던 공통 주제를 파악하는 데 유용하다고 설명했다. 그는 “AI는 24시간 시스템 모니터링, 특정 문제 발생 시 제안된 조치 방안 제공과 같은 작업과 연결된다. 특히 후자가 시간이 지남에 따라 보안 분야에서 AI 사용의 핵심이 될 것”이라고 말했다.

하이드는 또한 “보안 분야에서 수십만, 아니 수백만 개의 공석이 채워지지 않고 있다는 통계를 계속 접하고 있다. AI가 생성한 문제 해결 제안을 활용하면 인턴이나 초급 직원들이 더 빠르게 학습할 수 있도록 지원할 수 있다. 이를 통해 더 빠르게 연결고리를 파악하고 작동 방식을 이해할 수 있기 때문이다”라고 설명했다.

사이버 보안 인재 부족은 ISC2의 최근 조사에서도 확인됐다. 조사에 따르면 전 세계 사이버 보안 인재 격차는 480만 명에 달하며, 전 세계 수요를 충족시키기 위해 필요한 총 인력은 1,020만 명으로 추정됐다.

콘트라스트 시큐리티(Contrast Security)의 최고 정보 보안 책임자인 데이비드 린드너는 AI가 인재 격차를 해소하는 데 유용할 뿐 아니라, 공격형 보안 실무자 부족 문제를 해결하는 데도 도움이 될 것이라고 말했다. 그는 “반복적이고 시간이 많이 걸리는 작업을 자동화함으로써 AI는 공격형 사이버 보안에서 사람의 필요성을 줄일 수 있다”라고 설명했다.

린드너는 “AI는 여러 시스템에 걸쳐 신속하게 취약점 스캔을 수행해 수동 작업보다 훨씬 빠르게 약점을 식별할 수 있다. 또한 정찰 작업을 가속화하여 네트워크 토폴로지를 매핑하고, 열린 포트를 식별하며, 시스템을 프로파일링한다. 예측 분석으로 아키텍처 다이어그램, 스캔 결과, 취약점 보고서와 같은 정보를 처리함으로써 잠재적 취약점을 예상하고 테스트의 우선순위를 정할 수 있다. 이러한 자동화는 인적 자원의 필요성을 줄일 뿐만 아니라 사이버보안 운영의 효율성과 효과를 향상한다”라고 분석했다.

AI를 통한 공격형 보안 프로그램의 규모 확대

시큐로닉스(Securonix)의 사이버 에반젤리스트인 아우구스토 바로스는 인재 문제 외에도 AI가 실무자들의 운영 규모를 확대하는 데 도움을 줄 수 있다고 말했다. 바로스는 “방대한 데이터셋을 처리하고 사람의 개입 없이 대규모 공격을 시뮬레이션할 수 있는 AI의 역량은 더 자주, 더 광범위한 규모로 테스트를 수행할 수 있게 해준다”라고 설명했다.

바로스는 “대규모 또는 복잡한 환경에서 사람 운영자는 모든 시스템에 걸쳐 일관되고 철저한 테스트를 수행하는 데 어려움을 겪을 수 있다. AI는 이러한 작업을 자동화하고 여러 공격 벡터를 동시에 시뮬레이션해 더 포괄적인 평가를 보장할 수 있다. 또한 테스트를 지속적으로 수행하도록 지원해 조직이 성장에 비례해 인재를 늘리지 않고도 공격형 보안 운영을 확장할 수 있도록 한다”라고 설명했다.

CSA 보고서는 AI가 개발 수명 주기에서 공격형 보안의 ‘시프트 레프트’를 지원할 수 있다고 언급하면서, “공격형 보안에서 자동화가 증가하고 피드백 주기가 짧아짐에 따라, 이런 활동을 데브섹옵스(DevSecOps) 프로세스 초기 단계에 통합할 수 있다”라고 전했다.

보고서는 또한 “시프트 레프트 접근방식은 소프트웨어 개발 수명 주기의 초기부터 보안 고려 사항을 포함시킨다는 것을 의미한다. 이는 기업의 전반적인 보안 태세에 더 선제적이고 근본적인 영향을 미칠 수 있다. 취약점을 조기에 식별하고 완화함으로써 조직은 보안 침해의 위험을 줄이고 더 강력한 보호를 보장할 수 있다”라고 진단했다.

테스트 빈도를 높일 수 있는 AI

CSA의 하이드는 AI가 개발 과정에서 보안 테스트 빈도를 높이고, CI/CD 파이프라인에서 보안 점검을 자동화하며, 개발팀에게 거의 즉각적인 취약점 피드백 루프를 제공할 것이라고 말했다. 하이드는 “또한 설계 단계에서 위협 모델링 생성과 소프트웨어 개발 수명 주기 전반에 걸친 지속적인 보안 평가에도 AI가 사용될 것”이라고 말했다.

한편 베라코드(Veracode)의 최고 정보 보안 책임자인 소하일 이크발은 생성형 AI가 이미 기계의 속도로 코드를 생성하고 있기 때문에 취약점을 해결하려면 그 속도에 맞춰야 한다고 언급했다.

이크발은 “수정 기능을 갖춘 AI 플랫폼은 애플리케이션이 프로덕션 환경에 배포되기 전에 취약점을 예방함으로써 공격형 사이버보안에서 중요한 역할을 할 수 있다. 이를 통해 장기적인 보안 문제를 방지하고 소프트웨어 보안에 대한 책임을 개발 프로세스의 시작 단계로 더 효율적으로 옮길 수 있다”라고 설명했다.

자동화의 빈틈 해결

바이트위스퍼 시큐리티(Bytewhisper Security)의 최고 기술 책임자인 카일 핸킨스는 생성형 AI가 다른 종류의 자동화에서 발견되는 몇 가지 결함도 해결할 수 있다고 말했다.

핸킨스는 “LLM은 정적 애플리케이션 보안 테스트(SAST)가 전통적으로 어려워했던 비즈니스 로직 결과를 감지하는 데 특히 탁월하다. 우수한 AI는 API가 민감하기 때문에 인증이 필요하다는 것을 추측하거나 비밀번호가 암호화되지 않은 상태로 데이터베이스에 전달되는 것을 알아차릴 수 있다”라고 설명했다.

그는 또한 “개발 주기 초기에 이 도구를 통합하면 개발자가 프로세스 초기에 오류를 발견하도록 안내하고 속도를 높일 수 있다. 중요한 점은 다중 검증 단계가 필요하다는 것이다. SAST 도구와 수동 보안 코드 검토는 개발자와 LLM 자체의 오류를 잡아내는 중요한 안전 장치로 남아야 한다”라고 조언했다.

CSA는 AI가 급속하게 발전하면서 에이전시 및 자동화 기능이 향상됐지만 전 세계 공격형 보안 팀에게 새로운 기회와 도전을 동시에 제공하는 양날의 검일 수 있다고 언급했다.

보고서는 “법적, 윤리적 프레임워크의 범위를 벗어나 활동하는 악의적 행위자들이 이미 AI의 발전을 악용하고 있다. 이는 방어자들이 선제적으로 혁신해야 할 필요성을 강조한다”라고 전했다.

AI 시스템이 워크플로우에 통합됨에 따라 새로운 기술적, 조직적 과제가 계속 등장하고 있으며 이를 신중하게 관리할 필요성도 제기되고 있다. AI 기반 도구가 오용되거나 예측 불가능한 행동을 하지 않도록 하기 위해서는 지속적인 주의가 필요하다.

CSA는 AI에 위험과 과제가 있음에도 불구하고 공격형 보안과 발전한다면 실무자에게는 큰 도움이 될 수 있다고 설명했다. CSA는 “AI를 채택하고 AI의 잠재력과 위험에 대해 팀을 교육하며 지속적인 개선 문화를 조성한다면, 조직은 방어 능력을 크게 향상시키고 사이버 보안에서 경쟁 우위를 확보할 수 있다”라고 진단했다.
[email protected]