진화하는 AI 보안 위협: AI Security Innovation Center가 대응 방안을 제시합니다
- 작성일
진화하는 AI 보안 위협, 한계에 다다른 SOC
AI Security Innovation Center가 최적의 대응 방안을 제시합니다
엔터프라이즈 컴퓨팅 환경이 빠르게 확장하고, 공격 표면이 넓어지며, 위협 행위자들은 AI/ML을 무기화하고 있습니다. 그 결과 보안 조직은 점점 더 정교해지는 공격에 맞서야 하며, 기존 방식의 SOC(보안 운영 센터)는 한계에 도달하고 있습니다. 이러한 현실 속에서 많은 조직이 'SOC 현대화’의 시급함을 절감하고 있죠. 이러한 시장의 요구에 부응하기 위해 ITCEN PNS와 팔로알토 네트웍스가 손잡고 'AI Security Innovation Center’의 문을 열었습니다. 본 리포트에서는 SOC 현대화가 왜 지금 필요한지, 그리고 Innovation Center가 제시하는 구체적 실행 방안을 살펴봅니다.
1. 사후 대응 방식의 한계: 기존 SOC의 도전 과제
우리에게 익숙한 SOC(보안 운영 센터) 환경은 네트워크(NTA), 엔드포인트(EDR), 클라우드(CDR), SIEM(보안 정보 및 이벤트 관리), UEBA(사용자 및 엔터티 행동 분석) 등 수많은 보안 도구로 이루어져 있습니다. 수많은 도구와 이들이 쏟아내는 엄청난 양의 로그 데이터, 그리고 홍수처럼 밀려드는 '경고(Alert)'... 도구는 충분하고 데이터도 많은데, 왜 위협 탐지와 대응은 갈수록 어려워지는 것일까요? 문제의 핵심은 이들 간의 단절과 복잡성에 있습니다.
1) 사일로(Silo)화된 보안 도구
보안 도구가 많을수록 탐지 및 대응 워크플로우가 오히려 복잡해지는 역설이 발생합니다. 네트워크(NTA), 엔드포인트(EDR), 클라우드(CDR) 등 각 시스템에 데이터가 흩어져 있어, 통합된 관점에서 위협 상황을 조망하기 어렵기 때문입니다.
2) 늘어나는 수작업, 함께 증가하는 '경고 피로도'
보안 분석가는 여러 시스템 화면을 오가며 데이터를 수동으로 수집하고, 쉼 없이 울리는 경고 속에서 실제 위협을 식별해야 합니다. 이러한 수작업과 규칙(Rule) 기반 탐지 방식은 '오탐(False Positive: 실제 위반이 없는데 위반으로 잘못 판단)'을 양산하며, 분석가의 '경고 피로도'를 극대화합니다. 이는 전문 인력 충원만으로는 해결할 수 없는 구조적인 문제입니다.
3) AI/ML을 활용하는 공격자
결정적으로, 이제 공격자들이 AI/ML 기술을 적극 활용하기 시작했습니다. 특정 국가를 배후에 둔 공격 그룹이나 사이버 범죄자들은 AI를 이용해 기존 방어 체계를 우회하는 새로운 전술, 절차(TTPs)를 개발하고 있습니다. SOC 현대화를 더 이상 미룰 수 없는 이유입니다.
AI가 공격자가 되면 벌어지는 일: 3가지 위협 사례
AI/ML 기술은 방어자뿐만 아니라 공격자에게도 강력한 무기가 됩니다. AI가 공격의 3요소, 즉 규모(대량의 맞춤형 공격 자동화), 속도(실시간 변동 생성 및 배포), 정교함(방어 시스템 학습 및 우회)를 극적으로 향상시키기 때문입니다. 특히, 특정 국가를 배후에 둔 공격 그룹이나 사이버 범죄자들은 AI를 이용해 기존 방어 체계를 우회하는 새로운 전술, 절차(TTPs)를 다음과 같이 개발하고 있습니다.
2. SOC 현대화의 두 축: ‘데이터 통합 & 지능형 자동화’
ITCEN PNS와 팔로알토 네트웍스가 제시하는 SOC 현대화의 방향은 명확합니다. 여러 시스템에서 수집하는 데이터를 통합하고, AI/ML이 탐지와 대응을 자동화하여, 사후 대응이 아닌 예측 기반의 사전 대응 플랫폼을 구축하는 것입니다.
그림 2. SOC 현대화 방안 (출처: Cortex XSIAM 솔루션 소개서)
양사가 추구하는 차세대 SOC는 Cortex XSIAM에 뿌리를 두고 있습니다. Cortex XSIAM은 기존 도구를 대체하는 솔루션이 아니라, 기능과 데이터 통합, AI 기반 분석, 자동화라는 핵심 원칙을 통해 SOC 운영 방식을 재설계하는 수단입니다.
1. 기능 및 데이터 통합
Cortex XSIAM은 오케스트레이션, 자동화, 엔드포인트 보호, 위협 인텔리전스, 공격 표면 관리, 네트워크 분석 등 SOC 운영에 필요한 요소를 단일 플랫폼으로 통합해 제공합니다. 또한 여러 보안 시스템의 이벤트나 로그 데이터를 단일 데이터 레이크(Data Lake)로 수집하므로, 데이터 수집/분석 파이프라인을 따로 관리할 필요가 없습니다. 덕분에 보안 분석가는 여러 화면을 오갈 필요가 없습니다.
2. AI 기반 분석
Cortex XSIAM은 2,400개 이상의 ML 모델과 1만 개 이상의 탐지 규칙 등을 적용한 AI 엔진을 탑재하고 있습니다. 보안 분석가는 오탐 여부를 판별하는 데 시간을 뺏기지 않고, AI가 분류한 중요 이벤트 분석에만 집중할 수 있습니다. 참고로 Cortex XSIAM은 기본 작업 단위를 '알림(Alert)'이 아닌 '인시던트(Incident, 사건)'로 전환합니다. 단순 알림은 AI 엔진에 맡기고, 보안 분석가는 실제 인시던트 대응에 집중하도록 작업 방식을 바꿉니다.
3. 지능형 자동화
자동화는 크게 두 가지로 나뉩니다.
• 플레이북(Playbook) 기반: 인시던트가 생성되면, 사람의 개입 전 연결된 플레이북이 자동 실행되어 의심되는 엔드포인트를 격리하거나 악성 IP를 차단합니다.
• AI 엔진 학습: 플레이북이 없는 미지의 인시던트는 보안 분석가가 직접 대응합니다. AI 엔진은 이 과정을 학습하며, 이후 유사 상황 재발 시 자동화 권고안을 제시합니다.
3. 불확실성을 '확신'으로 바꾸는 공간, AI Security Innovation Center
SOC 현대화의 필요성에는 공감하지만, 기술적·운영적 불확실성으로 인해 실제 도입을 망설이는 경우가 많으시죠? AI Security Innovation Center는 바로 이 불확실성을 해소하고 성공적인 전략을 수립하도록 돕는 '실증 및 전략 수립의 장'으로서, 일방적인 제품 시연이 아닌 고객의 실제 환경과 고민을 바탕으로 한 양방향 검증을 목표로 합니다.
AI Security Innovation Center
AI 기반 차세대 보안 운영 센터(SOC)의 청사진을 직접 확인하고, 가장 확실한 현대화 방안을 설계해 보세요.