[데이터넷] AI 보안비서가 보안조직을 ‘과로’에서 해방시켜줄지 관심이 쏠리고 있다. AI 보안비서는 생성형AI를 이용해 보안분석가가 빠르고 정확하게 의사결정 할 수 있도록 도울 수 있다. AI 보안비서의 역할과 한계, 활용사례를 알아본다.<편집자>

AI를 보안업무에 적용한 것이 최근의 일은 아니지만, 생성형 AI는 이전의 AI 도입 전략과는 접근 방법이 다르다. 기존 AI는 보안 탐지와 대응을 자동화하는 것에 집중하고 있지만, 생성형 AI는 보안 분석가와 대화하면서 학습해 지속적으로 위협 탐지 기능을 개선할 수 있다.

팔로알토 네트웍스가 SOAR 솔루션 ‘코텍스 XSOAR’의 플레이북에 챗GPT를 적용해 플레이북을 지속적으로 개선할 수 있게 한다. 코텍스 SOAR는 이를 이용해 SOC에 친숙한 방식으로 통찰력 있는 위협 정보를 제공한다.

코텍스 SOAR에 적용된 챗GPT 플레이북은 분석을 포함한 위협 세부정보, 공격의 영향도, 그리고 조치·권장 사항을 포함하도록 구성된다. 챗GPT 플레이북은 로그 등에서 세부 정보를 얻고 SIEM에서 아티팩트를 추출하는 지표 추출과 유닛42 등 위협 인텔리전스 피드를 사용하여 추출된 지표를 강화하는 두가지 개별 단계로 수행된다. 자동화 사용 사례에 맞게 필요에 따라 플레이북 작업을 수정할 수 있다.

장성민 팔로알토 코리아 상무는 “챗GPT는 인간보다 빠른 속도로 응답할 수 있어 즉각적인 위협 대응을 가능하게 한다. 공격을 신속하게 인지하고 대응을 자동화해 조직의 보안 솔루션이 유기적으로 대응할 수 있도록 오케스트레이션을 수행하는 SOAR에 적용했을 때 높은 효과를 볼 수 있을 것”이라고 밝혔다.

한편 팔로알토 네트웍스는 AI/ML을 적용한 SOC 플랫폼 ‘코어텍스 XSIAM’을 제안해 SOC 혁신을 완성할 수 있도록 지원한다. 아이덴티티 위협 탐지와 대응(ITDR) 기능이 결합된 코어텍스 XSIAM은 몇 초 안에 ID 기반 공격을 탐지할 수 있다. 이외에도 SOAR, TIM, 공격 표면 관리(ASM) 다양한 보안 도구를 단일 AI 기반 SOC 플랫폼에 통합시켜 사이버 위협의 효과적인 선제방어를 지원한다.

초급자에게도 쉬운 보안운영 지원

트렌드마이크로의 경우 XDR 플랫폼에 ‘컴패니언’을 탑재하고 SOC 효율성 제고를 돕고 있다. 컴패니언은 보안 운영을 강화하고 생산성과 효율성을 높이며 분석가의 숙련도에 따라 적절한 지원으로 위협 탐지, 대응 및 사이버 위험 관리를 가속화할 수 있다.

컴패니언은 XDR 텔레메트리 정보를 일반언어로 검색해 보안에 익숙하지 않은 사용자들도 쉽게 원하는 데이터를 조회할 수 있게 한다. 플랫폼 내에서 이벤트 경보와 공격자 스크립트, 명령어에 대한 설명을 제공하며, 탐지된 위협 대응 권장사항도 안내한다.

컴패니언 기능은 숙련된 분석가가 복잡한 시나리오를 신속하게 파악해 보다 정확한 정보에 기반한 의사 결정을 내릴 수 있도록 지원하며, 신규 분석가도 빠르게 보안 작업에 기여할 수 있도록 돕는다. 이를 통해 팀 내 기술 격차를 해소해 효율적으로 SOC를 운영할 수 있도록 한다.

한편 컴패니언이 탑재된 XDR ‘비전 원’은 엔드포인트, 서버, 클라우드, 네트워크, 이메일, OT 계층에 대한 통합 탐지와 자동화 대응, 공격표면 리스크 관리(ASRM), 제로 트러스트 보안 액세스(ZTSA)를 통합한 플랫폼으로, 탐지된 모든 위협에 대한 연계분석이 가능해 보안 효율성을 크게 높인다.

더 쉬운 TI 서비스 활용 가능

위협 인텔리전스(TI)를 사용하는 환경에서도 보안비서가 유용하게 사용될 수 있다. 레코디드퓨처의 ‘AI 인사이트’는 인텔리전스 원천데이터를 GPT 기술로 요약 제공해 발견된 인시던트가 어떤 공격과 연관되어있는지, 공격목표와 대응방안을 쉽게 설명해준다. AI 인사이트는 레코디드퓨처가 제공하는 인텔리전스 소스 중에서 검증된 데이터를 기반으로 GPT 기술을 사용해 AI 편향성이나 데이터 유출 등의 우려를 제거할 수 있다.

윤광택 레코디드퓨처 상무는 “경쟁사의 유사한 서비스는 이벤트를 그대로 보여주는 기능만을 해 보안 분석가가 다시 들여다봐야 한다는 한계가 있다. 레코디드퓨처의 AI 인사이트는 초급 보안 담당자도 쉽게 이해할 수 있도록 상세히 설명한다. 또 정확한 데이터를 정제해 보여주기 때문에 보안 분석가가 불필요한 설명을 읽는데 시간을 낭비하지 않도록 한다”고 말했다.

한편 레코디드퓨처는 TI 서비스에도 AI를 적용해 방대한 위협 이벤트에서 인텔리전스를 찾아낸다. 전 세계에서 수집한 위협 정보, 다크웹 포럼에서 오고가는 정보, 트위터와 같은 SNS 상에서 공유되는 대화내용 등을 모두 수집해, 그 중 의미있는 데이터를 정제하고 분석하는데 AI를 사용한다.

방화벽으로 챗GPT 통제

체크포인트도 TI 서비스 ‘쓰렛 클라우드’에 AI/ML을 적용해 신규 위협 탐지와 대응에 도움을 주고 있다. 쓰렛 클라우드에서 수집한 정보는 체크포인트 보안 솔루션에 실시간 배포해 새로 발견된 위협으로부터 침입을 예방한다.

예를 들어 지난해 발견된 ‘아베마리아(Ave Maria)’는 이탈리아 고객에게 발견된 직후 쓰렛클라우드 AI 엔진에 의해 2초 내에 악성파일로 분석 완료, 전 세계 고객에게 배포돼 3시간 이내에 체크포인트 장비에서 멀웨어를 선제 차단할 수 있었다. 이러한 AI·딥러닝 기술을 통해 체크포인트는 기존 시그니처 기반 기술 대비 5배 더 많은 공격을 차단하고, 40% 더 낮은 미탐지율을 제공한다.

또 체크포인트는 통합보안운영관리 서비스 ‘인피니티’에 AI를 적용해 SOC 운영 프로세스를 개선한다. 인피니티는 네트워크, 엔드포인트, 클라우드에서 수집되는 많은 이벤트 정보를 AI를 활용해 상관관계 분석을 수행하고 위협에 대한 시각화와 위협 헌팅 정보 등을 제공한다.

이동하 체크포인트코리아 지사장은 “체크포인트는 선제적인 예방과 SOC 효율성 개선에 AI 사용 효과를 보고 있다. 체크포인트는 엔드포인트, 네트워크, 클라우드 환경 전반에서 위협을 수집하고 그 어느 경쟁사보다 신속하고 정확하게 분석, 대응할 수 있게 한다”고 소개했다.

한편 체크포인트는 챗GPT를 통한 내부정보 유출을 방화벽에서 차단하는 방법을 안내하고 있다. 방화벽의 애플리케이션 컨트롤 기능과 콘텐츠 인식 기능을 통해 미리 등록한 키워드에 매칭되거나 파이썬, 자바, SQL 쿼리 등 특정 개발언어 포맷을 인식하고 컨트롤 할 수 있게 한다.

침해사고 대응에 AI 활용 효과 있어

AI 보안비서 활용을 기대하는 분야 중 모의해킹, 취약점 탐지도 있다. SK쉴더스의 화이트해커그룹 EQST가 보안 영역에서의 실제 활용 방안을 테스트한 결과, 모의해킹 시나리오 활용도가 60%로 가장 높았다. 공격 단계별 명령과 스크립트 작성, 모의해킹 네트워크 구조 다이어그램 생성 등에서 AI가 탁월한 효과를 보이는 것으로 나타났다.

이호석 EQST랩 담당은 “생성형 AI 모델이 발전함에 따라 정확도와 활용도가 높아질 것으로 보이지만 보안 영역에서 활용하기엔 초·중급 수준”이라며 “생성형 AI가 도출해 낸 결과에 의존하기 보다는 보조 도구로 적절히 활용해야 할 것”이라고 밝혔다.

침해대응 사고 조사 영역도 보안비서의 활약이 기대되는 분야다. 맨디언트가 모회사인 구글의 바드(Bard)를 침해사고 조사에 활용한 예시를 자세히 설명했다.

북한 기반 공격그룹 UNC4469가 공격에 사용한 수천개의 스마트 컨트랙트를 분석한 사례를 살펴보면, 스마트 컨트랙트가 사용한 프로그래밍 언어 솔리디티(Solidity)에 익숙하지 않은 분석가도 바드에 디컴파일된 코드에서 어떤 행위가 일어나는지 물어보면서 UNC4469RK가 자금을 훔친 과정을 조사했다.

여러 SIEM을 통합해 데이터 레이크를 구축하는 사업에서 공격자가 내부 네트워크 애플리케이션에 침입한 것을 발견해 대응한 사례도 있다. 이 고객은 여러 SIEM에 담긴 중요 애플리케이션 관련 로그를 보유하고 있었다. 맨디언트 컨설턴트는 모든 데이터 소스에서 실행할 수 있는 기본 쿼리 세트를 만들고 바드를 활용해 다양한 SIEM 언어 기본 쿼리 집합을 생성, 하나의 쿼리 템플릿을 이용해 데이터 소스를 분석하고 침해 원인을 찾아냈다.

맨디언트는 이 사례를 소개한 블로그에서 “맨디언트는 보안 컨설턴트와 분석가들이 AI 기술을 활용해 위협을 더 빠르게 식별하고, 분석 과정의 수고스러움을 덜어 내고, 전문가들의 전문성을 더 높여 고객에게 더 나은 서비스를 제공하기 위해 노력하고 있다. 맨디언트는 고객 데이터를 바드에 입력하지 않으며, AI가 도출한 답변은 전문가의 검토를 거친 후 의사결정을 한다. 이를 통해 민감한 데이터가 AI 학습에 사용되지 않도록 하고, 생성형AI의 환각현상 등 부작용을 막는다”고 설명했다.

AI 보안 비서 성숙도 빠르게 높아져

모든 솔루션이 그렇지만, AI 보안비서 역시 완벽한 것은 아니다. AI가 가진 편향성이나 잘못된 설계로 인해 잘못된 판단을 할 수 있으므로 과도하게 의지해서는 안된다.

이호석 SK쉴더스 EQST 랩 담당은 “실제 AI를 테스트 한 결과, 챗GPT가 초급 보안관제 요원 정도의 실력을 갖춘 것으로 평가된다. 또 AI와 관련된 많은 문제가 아직 해결되지 않았으므로, AI 보안비서의 응답을 절대 신뢰하는 것은 바람직하지 않다. 보안비서는 보조도구로 사용하는 것이 가장 효과적”이라며 “그러나 AI 기술이 빠르게 발전하고 있는 만큼, 보안비서의 성숙도도 급격히 높아질 것이라고 본다”고 말했다.