[데이터넷] 보안 분석가가 EDR이 탐지한 악성 IP 어드레스의 근거를 시큐리티 코파일럿에게 물어보면서 이와 관계된 이벤트에 대해서도 물어봤다. 과거 회사에서 발생한 관련 이벤트를 확인하고, 외부 위협 인텔리전스를 참조해 어떤 형태의 공격이며, 무엇을 노리고 있는지 확인했다. 시큐리티 코파일럿은 이 이벤트에 대한 모든 응답 내용을 간단하게 요약하고, 표와 PPT로도 보여줘 한 눈에 알아볼 수 있게 했다.

분석가는 이 내용을 핀보드에 고정시켜 동료들이 참고하게 했다. 유사한 이벤트를 분석중인 동료가 이 내용에 대한 추가 분석을 진행하고, 의견을 덧붙이면서 지속적으로 위협의 실체와 대응 방법을 알아냈다.

이 사례는 SOC에서 시큐리티 코파일럿을 사용한 사례를 설명한 것이다. 오픈AI의 GPT-4를 기반으로 마이크로소프트의 위협 인텔리전스, 업계 전문지식을 결합한 AI 보안비서 시큐리티 코파일럿은 보안 분석가를 도와 현재 진행중인 위협에 빠르고 정확하게 대응할 수 있게 한다. 현재 프라이빗 프리뷰로 제공되고 있으며, 조만간 디펜더 포 엔드포인트(Defender for Endpoint) 고객을 대상으로 얼리 액세스 프로그램(EAP)을 제공할 계획이다. 현재 한국은 EAP 대상이 아니지만, 고객의 수요가 많으면 추가될 수 있다.

신호철 마이크로소프트 보안사업부 팀장은 “프라이빗 프리뷰 기간 동안 ‘3~4시간 소요되는 분석 작업을 10분 이내에 끝낼 수 있었다’는 평가가 가장 많았다. 보안 분석을 위해 여러 콘솔을 확인하고, 쿼리를 만드는 등의 작업 없이, 시큐리티 코파일럿에서 일반 언어를 통해 관련 이벤트를 확인하고 근거까지 확인할 수 있 분석가가 빠르게 판단하고 대응하는데 많은 도움을 준 것이 확인됐다”고 밝혔다.

기계 속도로 분석·방어 할 수 있게 도와

신호철 팀장은 “보안은 시간 싸움이다. 이벤트 분석에 많은 시간을 쓰면, 대응 시점에는 이미 많은 피해가 일어난 후”라며 “최대한 빠르게 위협을 식별하고 조치해야 한다”고 강조했다.

맨디언트 조사에서는 공격이 시작되고 발견되기까지(Dwell Time) 평균 16일 걸리는데, 시스딕 조사에서는 클라우드 침해가 단 5분만에 끝나는 것으로 나타났다. 공격자들은 빠르게 침투해 공격 거점을 만들고 확장하고 있는데, 발생한 이벤트 분석에만 몇 시간이 소요되고, 대응하는데 또 며칠이 지나면 피해는 걷잡을 수 없이 퍼진다.

시큐리티 코파일럿은 분석가가 기계 속도와 규모로 조직을 방어할 수 있도록 도와 드웰타임을 최소화하고, 침해의 내부확산을 막아 침투가 피해로 이어지지 않게 한다. 잘 정의된 자연어 업무처리로 생산성과 협업을 강화할 수 있다. 시간, 장소 제약 없이, 언제든 도움을 받을 수 있는 ‘고수’ 역할을 제공하기 때문에 보안 인력부족과 전문가 부족 문제를 해결해준다. 시큐리티 코파일럿과 ‘함께’ 이벤트를 분석하면서 보안 분석가가 몰랐던 내용을 알게 돼 분석가의 전문성을 올리는 효과도 있다.

생성형 AI의 할루시네이션(Hallucination) 문제는 마이크로소프트 보안 전문성을 통해 해결한다. 시큐리티 코파일럿은 GPT-4 모델을 채택하고 있으며, 위협 인텔리전스, XDR, SIEM/SOAR 등의 정보를 결합하며, 고객사 내부의 인텔리전스와 보안 대응 역량까지 더해 보안 분석의 신뢰를 높인다.

시큐리티 코파일럿은 고객의 정보를 학습하지 않아 정보 유출 위험도 없다. 고객의 모든 정보는 고객의 애저 구독 내에 암호화 저장된다. 고객 데이터는 고객이 관리하는 키로 암호화하며, SOC2, ISO, HIPPA, CSA STAR 컴플라이언스를 준수하는 애저 클라우드로 보호된다.

세밀한 권한관리로 내부 노출 막아야

시큐리티 코파일럿은 고객이 사용하는 여러 보안 솔루션에서 발생하는 이벤트를 참조해 분석한다. 그 중에서도 가장 많은 이벤트가 수집되는 EDR과 연계가 중요하다. 그래서 시큐리티 코파일럿의 EAP는 디펜더 포 엔드포인트 고객을 대상으로 한다. SIEM/SOAR 솔루션 '센티넬', UEM 솔루션 '인튠'과 연계할 수 있으며, 스플렁크, 서비스나우 등의 서드파티 커넥터를 제공한다. 연계 대상 솔루션은 지속적으로 확장되며, AWS 등 타사 퍼블릭 클라우드 연계도 추진한다.

마이크로소프트는 시큐리티 코파일럿을 활용한 보안 개선 사례도 적극 알려 고객의 보안 운영 효율성을 돕는다. 프라이빗 프리뷰 고객 사례 몇 가지를 소개하면, 보안 이벤트 분석에 대한 보고서 생성, 정확한 쿼리문 작성, 코드 분석, 티켓 분석 등의 활용 모델이 있다.

신호철 팀장은 “생성형AI를 잘 사용하려면 질문을 잘 해야 한다. 시큐리티 코파일럿도 어떻게 질문하느냐에 따라 분석 효율성이 달라지기 때문에 질문하는 법에 대한 연구가 이뤄지고 있다. 더 만은 고객 경험이 쌓이면 모범 질문 가이드 등이 공유될 것으로 기대된다”고 말했다.

시큐리티 코파일럿을 비롯한 AI 비서 사용 시 적절한 질문으로 필요한 결과를 이끌어내는 것 뿐만 아니라, 세밀한 권한관리로 중요정보 노출을 통제해야 할 필요도 있다. 기업 내에서만 사용하는 코파일럿이라 해도, 업무 특성에 따라 접근할 수 있는 데이터가 다르기 때문에 코파일럿으로 인해 권한 없는 내부자에게 기밀이 노출되도록 해서는 안된다.

신호철 팀장은 “코파일럿은 말 그대로 ‘부 조종사’이기 때문에 코파일럿의 분석결과는 의사결정에 참고할 수 있는 데이터로만 사용해야 한다. 코파일럿이 사람의 실수를 줄이고, 업무를 효율화 할 수 있지만, 결정권은 권한을 가진 사람에게 있고, 책임도 권한 사용자에게 있다”며 “코파일럿을 이용할 때 반드시 권한관리로 데이터의 오남용이나 보안 정책을 위반한 노출이 일어나지 않도록 하고, 여러 데이터와 사용사례를 검토해야 한다”고 밝혔다.

국내서도 성장률 높이는 마이크로소프트 보안 사업

신호철 팀장은 마이크로소프트 보안사업이 국내에서도 높은 성장률을 이어가고 있다고 강조했다. 팬데믹을 겪으면서 국내에서 클라우드 도입이 늘어났고, 마이크로소프트 보안 솔루션에 대한 인지도도 높아졌다. 여러 시장조사기관의 조사에서 마이크로소프트 보안 솔루션이 경쟁력 있는 위치에 올랐으며, ‘혁신적인 기술’이라는 호평을 받고 있어 국내에서도 많은 기업들이 주목하고 있다.

클라우드 전환에 적극적인 이커머스, 게임사, 제조사 등에서 마이크로소프트 보안 솔루션을 도입하고 있으며, MDR·관제 서비스 기업들도 애저를 기반으로 한 보안 서비스 제공에 적극 나서고 있다.

신 팀장은 “마이크로소프트는 쉽고 간편하게, 그리고 정확하게 위협을 탐지하고 대응해, 고객이 보안보다 핵심 경쟁력에 더 집중할 수 있게 돕는다”며 “국내 고객들도 마이크로소프트의 보안 역량을 이해하고 있어 보안 매출이 크게 늘고 있다. 시큐리티 코파일럿을 포함한 다양한 보안 솔루션을 국내 고객에게 알리면서 고객의 혁신 성장을 돕겠다”고 말했다.

김선애 기자 다른기사 보기