많은 CISO가 수작업 프로세스를 자동화하고 생산성을 향상하기 위해 생성형 AI를 보안 도구에 빠르게 통합하고 있다. 그러나 한 연구에 따르면, 생성형 AI 도입 급증은 우려를 동반한다. CISO는 생성형 AI를 보안 운영에 통합할 때 이런 신중한 시각을 반드시 고려해야 한다.
생성형 AI를 일찍이 도입한 기업은 이 기술을 사용해 보안 워크플로를 자동화하고 가속화하며 사고 대응 능력을 개선하고 있다. 보안 솔루션 업체 또한 보안 애널리스트의 생산성을 높이고 다양한 실용적 용도를 제공하는 생성형 AI 기반 도구를 점점 더 많이 선보이고 있다.
생성형 AI 도구의 유용성은 침입 탐지, 이상 탐지, 악성코드 식별, 그리고 반사기 시스템 등에서의 확산으로 입증되고 있다고 마인드가드(Mindgard)의 CEO이자 랭커스터 대학교 교수인 피터 게러건이 말했다. 마인드가드는 AI 보안 레드팀 전문 업체다.
게러건은 “AI는 느슨하게 연관된 데이터에서 패턴을 감지하고 요약하는 데 뛰어나며, 반복적이고 힘든 작업을 자동화하는 데 유용하다. AI를 조기 도입한 기업은 로그 관리용 도구를 자체적으로 개발했으며, 현재 대부분의 업체가 이를 지원하기 위해 AI 기능을 점점 더 활용하고 있다”라고 말했다.
보안 도구에서 AI의 존재는 새로운 것이 아니다. 텍스트 분류를 위한 NLP(natural language processing)는 보안 로그 라벨링에 10년 이상 사용되어 왔고, 악성코드 방지 도구에서도 머신러닝이 거의 비슷한 시기에 도입됐다. 하지만 생성형 AI의 등장은 사이버보안 업체와 CISO에게 AI 기반 보안으로 알려진 기술 채택을 가속화하는 데 있어 게임 체인저로 작용하고 있다.
잠재력만큼 큰 위험
리서치 기업 IDC에 따르면, 생성형 AI 기술의 다양한 보안 활용례는 SOC(security operations center)에서의 경고 상관 분석, 탐지 규칙 작성, 보안 규칙 및 정책 업데이트, 규정 준수 작업 등이 대표적이다.
그러나 IDC는 생성형 AI 기반 보안 도구를 도입할 때 여전히 신중한 접근이 필요하다며 “규정 준수, 데이터 노출, 부정확하게 작성된 도메인이나 불완전한 데이터 세트에 기반한 환각(hallucination), 그리고 사람이 자동화된 분석과 상호작용하는 방식에 실질적인 문제가 존재한다”라고 지적했다.
생성형 AI는 완전 자동화된 보안 운영을 실현하는 데 기여할 수 있지만, 잠재적 함정도 무시할 수 없다. IDC는 “일반적으로 보안 자동화가 많을수록 더 나은 결과를 가져올 것이라고 믿지만, 애플리케이션이 중단될 수 있으므로 완전 자동화된 대응에 주의해야 한다”라고 설명했다.
보안 업체 로그포인트(Logpoint) CTO 크리스티안 해브는 생성형 AI의 강점이 보고서 작성 및 사고 보고 속도를 높이는 데 있지만, 경우에 따라 보완 기술이나 인간의 감독이 필요하다고 강조했다. “모든 문제가 언어 기반인 것은 아니다. 때로는 수학적 접근이나 인간의 직관에서 해결책을 찾아야 한다. 위협 우선순위 결정이 그 좋은 예다”라고 말했다.
보안 분야의 주요 생성형 AI 사용례
산업 교육 및 인증 기관인 ISC2가 연례 사이버보안 인력 연구의 일환으로 실시한 설문 조사에 따르면, 생성형 AI는 이미 다양한 사이버보안 업무에 활용되고 있으며, 응답자는 대체로 생성형 AI가 “궁극적으로 노동력을 개선할 것”이라는 데 동의했다.
56%의 응답자가 가장 많이 꼽은 사용례는 운영 업무 보조다. 여기에는 관리 프로세스 자동화, 사례 관리 속도 향상, 자연어를 정책으로 변환하는 작업 등이 포함된다.
또한 사이버보안 전문가는 보고서 작성 및 사고 보고 속도를 높이기 위해 생성형 AI를 활용하고 있으며(49%), 위협 행위자 프로필을 작성 및 구체화한 다음 실제 공격 시나리오를 모의 실험하기 위한 단계를 식별하는 등 위협 인텔리전스를 간소화하기 위해서도 사용하고 있다(47%).
ISC2 설문 조사에 따르면, 이 외에도 생성형 AI는 다음과 같은 SecOps 작업에 활용된다.
- 쿼리를 작성하고 실행하거나 PDF에서 스크립트를 통해 IOC 추출하여 위협 헌팅 가속화(43%)
- 정책 변경이 환경에 미칠 영향을 예측하기 위한 시뮬레이션 개선(41%)
- 특정 데이터 처리로 인해 발생할 수 있는 프라이버시 문제를 식별해 프라이버시 위험 평가 개선(39%)
불충분한 가이드라인과 교육
ISC2 연구에 따르면, 생성형 AI 사용에 대한 주요 우려는 기술 자체보다는 기업 내 도입 및 활용 방식에서 비롯된다. 응답자 54%는 생성형 AI 채택으로 인해 데이터 프라이버시 및 보안 문제를 이미 경험했다고 답했으며, 67%는 생성형 AI가 사이버보안에 중대한 위협이 될 것이라는 데 동의했다.
이런 우려의 근간은 기업이 생성형 AI 관련 위험을 완화할 수 있는 충분한 교육이나 정책 및 절차를 제공하지 못하고 있다는 인식에서 비롯된다. ISC2는 “응답자 45%가 명확한 생성형 AI 전략의 부재를 도입의 주요 장애물로 꼽았다”라고 밝혔다.
이어 “명확한 전략의 부재는 기업이 생성형 AI의 잠재적 이점을 효과적으로 활용하는 데 어려움을 초래한다. 관련 위험을 완화하기 위해 기업이 명확하고 포괄적인 전략을 수립하는 것이 필수적이다”라고 지적했다.
응답자의 거의 90%가 소속 기업에 생성형 AI 사용 정책이 있다고 답했지만, 65%는 기술의 안전한 사용을 위해 더 많은 규제가 필요하다고 응답했다.
지역별로는 북미에서 AI 관련 교육을 충분히 받았다고 답한 응답자는 31%였지만, 다른 지역에서는 이 비율이 훨씬 높았다. 중동 및 아프리카 73%, 라틴 아메리카 72%, 아시아 태평양과 유럽 각각 59%로 나타났다. 이는 지역별 AI 활용 준비 상태에 차이가 있음을 보여준다.
생성형 AI, 대체재가 아닌 동반자적 역할
SOC는 생성형 AI 기술이 도입되는 주요 무대이지만, SECQAI의 CEO 라훌 티야기는 이를 SOC를 대체할 기술이 아니라 “도구 상자에 추가된 또 하나의 도구”로 간주해야 한다고 말했다.
티야기는 “자동화된 사고 대응에서 발생할 수 있는 오탐의 심각한 영향을 고려할 때 최고의 SOC는 생성형 AI 도구에 전적으로 의존하지 않는다. 생성형 AI는 보고서 작성과 같은 특정 작업에서 효과적인 코파일럿 역할을 하며, 자연어 기반 상호작용을 지원하는 사용자 인터페이스로도 활용될 수 있다”라고 덧붙였다.
위험 관리 및 규정 준수 기업 GRC 인터내셔널 그룹(GRC International Group)의 AI 제품 마케팅 총괄 캠든 울븐은 생성형 AI가 기업의 보안 인식 개선에도 중요한 역할을 할 수 있다고 강조했다.
울븐은 “생성형 AI는 특정 부서나 역할에 맞춘 실감 나는 피싱 시뮬레이션과 훈련 시나리오를 생성할 수 있다. ‘의심스러운 링크를 클릭하지 말라’는 일반적인 교육이 아니라, 마케팅팀이나 재무팀이 실제로 직면하는 위협을 반영한 맞춤형 사례를 제공할 수 있다”라고 설명했다.
사고 대응에서도 생성형 AI의 활용 가능성은 크다. 울븐은 “생성형 AI가 플레이북을 더 효율적으로 실행하도록 돕고 있다. 사고 발생 시 체크리스트를 일일이 검토하는 대신 AI가 특정 경고와 시스템 데이터를 기반으로 다음 단계를 제안할 수 있다”라고 언급했다.
또한 컴플라이언스 매핑과 관련해 울븐은 “GDPR, HIPAA 등 여러 프레임워크를 다룰 때 생성형 AI는 프레임워크 간의 제어 항목을 매핑하고 공백을 찾아낼 수 있다. 수동 매핑보다 시간을 절약할 수 있다”라고 울븐은 덧붙였다.
생성형 AI는 방어 테스트에도 활용되고 있다. 보안팀이 AI를 활용해 공격 시나리오를 생성함으로써 시스템을 스트레스 테스트하는 것이다. 이 접근법이 완벽하지는 않지만 보완적인 도구로 작용해 “인간 레드팀이 놓칠 수 있는 사각지대를 식별하는 데 도움이 된다”라고 울븐은 말했다.
AI 에이전트, 보안 위협 대응의 다음 단계
생성형 AI의 활용례가 빠르게 확장되는 가운데, 일부 전문가는 보안 위협에 대응하기 위한 차세대 기술로 AI 에이전트(AI Agent)에 주목하고 있다. 릴리아퀘스트(ReliaQuest) CTO 조 파트로우는 “AI 에이전트는 생성형 AI의 결과물, 예를 들어 경고 데이터 수집 및 통합을 실시간으로 활용해 자율적으로 위협을 관리하고 완화한다. 속도, 정확성, 효율성은 위협을 더 빠르게 탐지하고 대응하는 데 기여한다”라고 설명했다.
섹옵스(SecOps)팀은 경고 모니터링, 초기 조사, 일상적 작업 수행과 같은 단조로운 활동에 너무 많은 시간을 소비하고 있다. 이런 작업은 AI 기술이 더욱 발전함에 따라 최소화될 수 있다.
파트로우는 “AI 에이전트는 수작업 중심의 시간 소모적인 활동을 대신 처리할 수 있다. 이를 통해 보안 애널리스트의 번아웃을 줄이고, 위협 헌팅과 같은 더 전략적이고 선제적인 활동에 집중할 수 있도록 한다”라고 덧붙였다.
[email protected]