[데이터넷] AI 보안비서가 보안조직을 ‘과로’에서 해방시켜줄지 관심이 쏠리고 있다. AI 보안비서는 생성형AI를 이용해 보안분석가가 빠르고 정확하게 의사결정 할 수 있도록 도울 수 있다. AI 보안비서의 역할과 한계, 활용사례를 알아본다.<편집자>

IBM은 모닝컨설트의 조사결과를 인용, 보안운영센터(SOC) 분석가가 하루의 32%를 위협이 되지 않는 이벤트를 조사하는데 시간을 허비하고 있으며, 81%는 수동조사로 인해 탐지·대응 시간이 더오래 걸리고 있다고 밝혔다. IBM은 SOC가 조직이 직면한 위협을 명확하게 이해하지 못해 너무 넓은 범위에서 잠재적으로 위협적이지 안은 경고 조사에 시간을 낭비하고 있다고 진단했다.

SOC는 그동안 많은 위협 탐지·대응 솔루션을 도입·운영하면서 실제 비즈니스에 위협이 되는 리스크에만 대응할 수 있도록 개선해왔다. XDR, SIEM, SOAR 등 고도화된 위협 탐지·대응 시스템을 도입하고, 보안 전문가를 채용하며, 매니지드 서비스까지 이용하는 조직에서도 SOC의 난제를 해결하지 못한다. 위협은 계속 변하고 진화하고 있는데, 보안 기술과 전문성은 실시간으로 변하는 새로운 위협에 ‘실시간’으로 대응하지 못하기 때문이다.

SOC의 문제를 사람과 솔루션 투입으로 해결할 수 있는 단계는 아니다. SIEM·SOAR이 도입돼 있다 해도 솔루션이 처리하지 못하는 고도의 위협은 분석가가 직접 처리해야 한다. 분석가가 처리할 수 있는 이벤트는 하루 평균 7개인데, 하루에 발생하는 크리티컬한 이벤트는 그 이상이거나, 심각하지 않은 위협으로 지나치기 쉽다.

그래서 AI를 활용한 보안 비서가 필요하다. SOC 요원은 AI 보안 비서에게 탐지된 이벤트와 유사한 공격과 대응 방법, 이전에 자신의 회사가 이러한 공격을 당했는지 여부 등을 묻고 적절하게 대응할 수 있다.

AI, 보안조직 생산성 높여

AI 보안 비서는 분석가가 참고해야 할 각종 자료와 데이터를 검색해 정렬하고, 대규모 데이터에서 연관된 데이터를 빠르게 찾아내 보안 조치를 보다 쉽게 할 수 있다. 특히 빠른 조치가 매우 중요한 강점이라고 할 수 있는데, 보안에서 단 몇 분의 지체로 인해 큰 피해를 입을 수 있기 때문이다.

새로운 취약점이 공개되면 몇 분 내에 이 취약점을 이용하는 익스플로잇이 다크웹에 공개되며, 공격자들은 즉시 이를 이용한 공격을 개시한다. 그러나 보안조직은 취약점이 공개됐을 때, 이 취약점이 자사 어떤 시스템에 어떻게 영향을 미치는지 파악하는데 상당한 시간을 필요로 한다. AI를 이용하면 자동으로 취약점 영향을 받는 시스템을 찾아내며, 비즈니스에 미치는 영향도도 알려줄 수 있다.

황성규 시스코코리아 상무는 “극심한 인력부족 문제를 겪고 있는 보안조직이 AI를 이용해 업무 효율성을 높이면 결과적으로 기업·기관의 보안을 강화하는데 기여할 수 있다”며 “AI가 보안인력을 대체할 수는 없지만 생산성을 높이 수 있다. AI 보안비서는 운영자가 업무를 시간 효율적으로 수행할 수 있도록 지원하고, 기존 시스템보다 유관 정보를 더 정확하고 빠르게 제공받을 수 있게 하여 업무의 효율성과 정확성을 높여주는 역할을 수행할 수 있다”고 설명했다.

보안 솔루션 연계해 탐지 정확도 높여

‘AI 보안비서’ 열풍은 마이크로소프트 ‘시큐리티 코파일럿’이 일으켰다. 시큐리티 코파일럿은 프라이빗 프리뷰 상태임에도 업계에서 높은 관심을 보이면서 유사 서비스를 경쟁적으로 출시하고 있다.

시큐리티 코파일럿은 GPT4 모델을 이용해 마이크로소프트의 보안 전문지식, 글로벌 위협 인텔리전스, 보안 전용 모델과 결합시켰다. 보안 전문가로부터 질문을 받으면 시큐리티 코파일럿이 학습한 결과물과 현재 운영중인 마이크로소프트 보안 솔루션의 탐지 기술을 사용해 답을 준다. 이를 통해 보안 분석가의 작업 효율을 크게 개선할 수 있으며, 분석가가 놓칠 수 있는 부분까지 파악해 정확한 보안 의사결정을 할 수 있도록 돕는다.

시큐리티 코파일럿은 고객의 데이터를 학습하지 않으며, 마이크로소프트가 수집하는 하루 65조건의 보안 신호와 8500여명의 마이크로소프트 보안 전문가의 분석결과를 지속적으로 학습하면서 응답 결과를 개선한다.

일반적으로 사용될 수 있는 시큐리티 코파일럿 사용 사례를 소개하면, 보안관제 요원이 현재 세계에서 가장 심각한 위협과 해당 위협이 우리 회사에 존재하는지, 어떤 영향을 미치는지 물어봤을 때, 시큐리티 코파일럿은 글로벌 위협 인텔리전스 상에서 나타나는 심각도 높은 위협 정보 중 내부 시스템 스캐닝을 통해 검색한 결과를 연계해 알려준다. 내부 보안 시스템은 서드파티 솔루션에서 제공하는 정보까지 연계 분석해 알려줄 수 있다.

마이크로소프트는 시큐리티 코파일럿을 소개하는 블로그에서 “시큐리티 코파일럿이 항상 모든 것을 올바르게 처리하는 것은 아니다. AI로 생성된 콘텐츠에는 실수가 포함될 수 있다. 시큐리티 코파일럿은 지속적으로 학습하고, 도구에 직접 내장된 피드백 기능을 통해 명시적인 피드백을 제공한다. 이러한 상호 작용을 통해 계속 학습하면서 일관되고 적절하며 유용한 답변을 생성할 수 있도록 진화하고 있다”고 설명했다.

AI 문제 최소화 한 AI 탐지 모델 서비스

우리나라에서도 AI 보안비서 모델이 정식 공개됐다. 이글루코퍼레이션의 AI 탐지모델 서비스 ‘에어(AiR)’가 보안 분석가가 더욱 정확하고 빠른 의사결정을 내릴 수 있도록 돕는 AI 조력자 역할을 지원한다.

에어는 분류형·설명형·생성형 AI 기술을 바탕으로 AI 모델의 예측 결과와 근거를 자연어 형태로 설명한다. 보안 담당자가 보안 로그, 이벤트의 정·오탐 여부를 명확히 판별하고 이해할 수 있도록 설명형 AI를 탑재했다.

생성형 AI의 편향성, AI 알고리즘 오염, AI 타깃 공격, 민감 데이터 외부 유출 등의 문제점을 최소화하며, AI의 혜택을 누릴 수 있도록 지원한다.

이글루코퍼레이션은 다년간의 AI 보안 솔루션 개발 및 데이터셋 구축을 통해 축적한 ‘프롬프트 엔지니어링’, ‘파인 튜닝’ 역량을 토대로 생성형 AI의 환각 효과 및 편향성을 최소화했다. 또한, 데이터 비식별화 및 적대적 AI 공격에 대한 방어 기술 적용으로 질의 과정의 안정성을 높였다.

정일옥 이글루코퍼레이션 전문위원은 “AI 보안비서는 환각효과, 편향성을 최소화하도록 프롬프트 엔지니어링, 파인 튜닝 등을 적절히 활용해야 하고, 다양한 데이터를 폭넓게 학습한 LLM을 보안 특화 데이터로 학습하고 파라미터 튜닝해 미세 조정해야 한다”며 “외부 LLM보다 실제 보안 현장에 구축형 시스템 방식의 생성형 AI를 적용하는 방안도 고려할 수 있다. 이 때 반드시 양질의 보안 학습데이터가 필요하다”며 이글루코퍼레이션의 AI 기술은 이러한 점을 고려해 개발된 것이라고 강조했다.

AI, SOC 업무 생산성 10배 높여

AI 보안비서를 가장 잘 활용할 수 있는 분야가 보안운영센터(SOC)이다. SOC 요원은 보안 비서에게 탐지된 이벤트와 유사한 공격과 대응 방법, 이전에 자신의 회사가 이러한 공격을 당했는지 여부 등을 묻고 적절하게 대응할 수 있다.

시스코는 SOC에 보안비서를 사용하면 업무 생산성을 10배 증가시킬 수 있다고 강조하면서 자사 AI 보안 기술의 강점을 강조한다. 시스코는 20여년간 보안 사업을 전개하면서 인시던트 대응, 공격 시나리오 등의 방대한 데이터를 갖고 있으며, 이를 LLM에 적용한 AI 보안비서 ‘생성형 AI 정책 어시스턴트’를 제공한다.

시스코 시큐리티 클라우드를 통해 제공되는 생성형 AI 정책 어시스턴트는 보안·IT 운영자가 세부적인 보안 정책 설명과 이를 인프라에 효과적으로 적용할 수 있는지에 대한 최적화된 방법을 제공한다. 이 솔루션은 시스코 보안 방화벽 관리 콘솔 내에서 기존 방화벽 정책을 기반으로 추론해서 보안 규칙을 단순화하고 실행할 수 있다.

시스코는 SOC 어시스턴트를 통해 보안 분석가들이 적절한 시기에 올바른 결정을 내릴 수 있도록 상황에 맞는 정보를 제공한다. 전체적인 상황에 대한 분석을 제공할 뿐만 아니라 시스코 시큐리티 클라우드 플랫폼 솔루션의 정보를 연관시키고 잠재적인 영향력을 전달하고 이에 맞는 대응책을 마련해주며 SOC 담당 부서가 잠재적인 위협에 대응하는 시간을 단축한다. 이 외에도 이메일 위협 감지 등 대규모언어모델과 자연어처리 기술을 결합한 솔루션을 비롯해 지도 인공 신경망, 비지도 분류 방법을 기반으로 한 AI 보안 솔루션도 제공하고 있다.

황성규 시스코코리아 상무는 “시스코 시큐리티 클라우드에서는 생성형 AI가 정책 운영 효율성을 높일 수 있는 가능성이 무궁무진하다”며 “시큐리티 클라우드는 고도화되는 사이버 위협 환경에 구애받지 않는 단순화된 사이버 보안 환경을 제공해, 최적화된 업무 환경을 구축할 수 있도록 지원한다. 또한 운영의 단순성과 효율성을 높여 보안 팀이 더 높은 수준의 업무를 수행해 낼 수 있도록 최첨단 인공지능, 머신러닝 기술 혁신에 투자하고 있으며 이를 지속해 나갈 예정”이라고 설명했다.