Connect with us

인터뷰

Mark Nicholson, Deloitte의 미국 사이버 현대화 리더 – 인터뷰 시리즈: 다시 만나는 대화

mm
Published
Updated

Mark Nicholson은 Deloitte의 미국 사이버 현대화 리더이자, 사이버 보안, 인공 지능 및 기업 리스크의 교차점에서 20년 이상의 경험을 가진 Deloitte의 Principal입니다. 그는 Deloitte의 사이버 실무에 대한 Cyber AI 이니셔티브와 상업 전략을 이끌며, 대규모 조직이 보안 프레임워크를 현대화하고 진화하는 리스크 환경에 사이버 투자를 맞추도록 지원합니다. Deloitte에 합류하기 전, 그는 위협 인텔리전스 및 악성 이벤트 모니터링에 중점을 둔 정보 보안 컨설팅 회사인 Vigilant, Inc.를 공동 창립하고 COO로 근무했습니다. 여러 기술 기업에서의 영업 및 비즈니스 개발 역할을 맡았던 그의 초기 경력은 사이버 보안의 기술적 및 상업적 측면 모두에 대한 탄탄한 기반을 제공했습니다.

Deloitte는 세계 최대의 전문 서비스 회사 중 하나로, 거의 모든 산업의 조직에 감사, 컨설팅, 세무 및 자문 서비스를 제공합니다. 해당사의 사이버 보안 실무는 기업이 점점 더 복잡해지는 위협 환경을 헤쳐나가도록 돕는 동시에 인공 지능과 같은 기술을 통해 디지털 전환을 가능하게 하는 데 중점을 둡니다. 이 회사는 사이버 전략, 복원력, 리스크 관리 및 기업 보안에 걸친 서비스를 제공하여 사이버 보안을 보호 기능이자 혁신과 성장의 전략적 촉진제로 자리매김하고 있습니다.

이는 2025년에 게시된 이전 인터뷰에 이어지는 내용입니다.

귀하는 현대적 위협 모니터링의 초기 시절부터 사이버 보안에 참여해 왔으며, Vigilant를 공동 창립하고 초기 보안 정보 및 이벤트 관리(SIEM)와 위협 인텔리전스 역량을 시장에 출시하는 데 기여했습니다. 초기 모니터링 시스템에서 오늘날의 AI 기반 사이버 방어 플랫폼으로의 진화가 조직의 위협 탐지 및 대응 방식을 어떻게 변화시켰습니까?

우리가 처음 SIEM 초기에 모니터링 플랫폼을 구축하기 시작했을 때, 핵심 과제는 데이터를 한곳에 모아서 의미를 이해하는 것이었습니다. 아침마다 분석가들이 방화벽 로그를 인쇄하여 수동으로 검토하며 이상 징후를 찾으려 했던 때가 기억납니다. SIEM이 성숙해졌을 때조차도 규모 문제가 있었습니다. 인간의 속도는 탐지된 방대한 수의 이벤트를 따라갈 수 없었습니다. 자동화를 사용했음에도 불구하고, 사이버 방어자들은 여전히 데이터 상관관계 및 분석 문제에 직면했으며, 종종 모니터링 실패에 대응하여 새로운 규칙을 작성하는 데 힘써야 했습니다.

한 가지 희망은 AI가 근본적으로 그 역학을 바꿀 것이라는 점입니다. 레벨 1 보안 운영을 자동화하기 위한 에이전트 기능을 배치하는 것을 넘어, AI는 모니터링 알고리즘의 동적 머신 튜닝을 활용하여 탐지 및 대응을 “사후 처리”에서 “실시간 처리”에 훨씬 더 가깝게 이동시키는 데 도움이 될 것을 약속합니다. 어떤 경우에는 사이버 조직이 AI가 수정 조치를 시작하도록 하는 데도 익숙해질 것입니다.

그러나 어려운 부분은 사라지지 않고 이동합니다. 시스템이 더 자율적이고 복잡해질수록 신뢰와 관찰 가능성은 전장이 됩니다: 시스템이 무엇을 하고 있는지, 왜 그렇게 하는지, 그리고 조작되지 않았는지 어떻게 알 수 있는지? AI의 기회는 엄청나지만, 환경이 머신 스피드로 작동할 때는 위험도도 높아집니다.

귀하는 AI가 공격자들에게 정찰 자동화, 익스플로잇 생성 및 공격 주기 가속화를 가능하게 한다고 언급했습니다. 실제로 AI는 취약점 발견과 악용 사이의 시간을 얼마나 압축했습니까?

역사적으로, 취약점 발견과 악용 사이에는 종종 시간적 여유가 있었습니다. 긴박성은 분명 있었지만, 일반적으로 제로 데이 공격을 받지 않는 한, 공격자가 대규모로 익스플로잇을 배포하기 전에 위협을 이해하고 패치를 적용하며 완화할 시간이 있었습니다. AI는 그 여유를 거의 없애버렸습니다.

공격자들은 정찰을 자동화하고, 노출을 지속적으로 스캔하며, AI 기반 도구를 사용하여 익스플로잇 개발 및 표적 지정의 일부를 가속화할 수 있습니다. 많은 경우, 몇 주에 걸쳐 진행되던 것이 이제는 몇 시간으로 압축될 수 있으며, 고도로 자동화된 시나리오에서는 대부분의 보안 프로그램이 처리하도록 구축된 속도보다 더 빠를 수 있습니다.

결론은 간단합니다: 보안 팀은 속도를 따라잡으려면 방어 측에서 자동화와 AI를 강력한 통제와 함께 배치해야 합니다.

보안 팀은 점점 더 “인간이 개입된 루프”에서 “인간이 감독하는 루프” 감독 모델로 이동하고 있습니다. 현대적인 보안 운영 센터(SOC) 내에서 그 전환이 운영적으로 어떻게 보이며, AI가 더 많은 자율적 작업을 수행함에 따라 조직은 분석가 역할을 어떻게 재고해야 합니까?

전통적인 SOC에서는 분석가가 모든 의사 결정 지점의 중심에 있습니다. 경보가 들어오면 분석가가 이를 분류하고 조사하며 어떤 조치를 취해야 할지 결정합니다. 이 접근 방식은 경보 양과 공격 속도가 관리 가능했을 때는 효과적이었습니다. 그러나 오늘날 환경에서는 활동 규모가 너무 커서 인간이 모든 결정에 대한 게이트키퍼 역할을 할 수 없습니다.

인간이 감독하는 루프로의 전환은 AI 시스템이 분석가가 이전에 처리했던 경보 분류, 컨텍스트 수집, 데이터 상관관계 분석 및 특정 수정 조치 실행과 같은 많은 일상적인 작업을 수행할 수 있음을 의미합니다. 인간의 역할은 수동 실행이 아닌 감독 및 검증의 역할이 됩니다.

운영적으로, 이는 분석가의 시간을 “경보 처리”에서 위협 헌팅, 탐지 엔지니어링, 공격자 시뮬레이션 및 방어 아키텍처 개선과 같은 고부가가치 작업으로 전환시킵니다. 인간은 여전히 필수적이지만, 그들의 역할은 보안 데이터의 주요 처리자가 아닌 감독, 판단 및 전략으로 진화합니다.

우리는 “설계 단계부터 안전한 AI”에 대해 많이 듣고 있습니다. 귀하의 관점에서, 왜 그 개념이 모델 안전성을 넘어 신원 시스템, 권한 아키텍처 및 오케스트레이션 계층으로 확장되어야 합니까?

안전한 AI에 대한 많은 논의는 모델 자체, 예를 들어 훈련 데이터 보호, 모델 중독 방지 또는 프롬프트 인젝션 공격 방어 등에 크게 초점을 맞춥니다. 그것들은 실제 문제이지만, 위험의 일부에 불과합니다.

실제로, AI 시스템은 훨씬 더 큰 디지털 생태계의 일부로 운영됩니다. 그들은 데이터에 접근하고, API와 상호 작용하며, 워크플로를 트리거하고, 점점 더 어느 정도의 자율성을 가지고 행동할 수 있는 에이전트를 통해 운영됩니다.

그런 일이 발생하면, 신원과 권한이 제어 평면이 됩니다. AI 에이전트는 사실상 기업 내부의 새로운 디지털 신원입니다.  그러한 신원이 적절하게 관리되지 않으면 상당한 위험을 초래할 수 있습니다.

따라서 설계 단계부터 안전한 AI는 신원 거버넌스, 접근 제어, 오케스트레이션 계층 및 해당 에이전트가 무엇을 하는지 추적하는 모니터링 시스템으로 확장되어야 합니다. 조직은 정의된 권한, 감사 및 감독을 가진 인간 사용자처럼 AI 에이전트를 취급해야 하며, 그렇지 않으면 공격 표면이 빠르게 확장됩니다.

많은 기업들이 인간 속도를 위해 설계된 레거시 보안 워크플로 위에 AI 도구를 계층화하고 있습니다. 사이버 방어에서 AI의 이점을 실제로 활용하기 위해 조직이 필요로 하는 가장 큰 아키텍처적 변화는 무엇입니까?

일반적인 패턴은 인간 주도 운영을 위해 설계된 레거시 프로세스 및 워크플로에 AI를 덧붙이는 것입니다. 특히 컴퓨터 비전이 현실이 된 지금, 이는 나쁜 첫 번째 접근 방식이 아닙니다. 예를 들어, Deloitte는 기존의 특수 목적 소프트웨어 솔루션(단계적으로 폐기하기 어려울 수 있는)을 버리지 않고도 신원 거버넌스 및 관리 프로세스에서 인간을 대체하도록 훈련될 수 있는 에이전트를 만들었습니다. 이는 극적인 비용 절감을 가져올 수 있습니다.

그러나 미래의 이점은 기업들이 종단 간 보안 워크플로를 재고하기 시작할 것이라는 점입니다: 보안 도구가 고품질의 잘 구조화된 원격 측정 데이터에 안정적으로 접근할 수 있도록 데이터 기반을 현대화합니다; 탐지, 대응 및 신원 기능이 연결되지 않은 도구가 아닌 조정된 시스템으로 운영되도록 오케스트레이션을 구축합니다.

신원은 가장 중요한 통제 수단 중 하나로 남아 있습니다. 더 많은 자동화와 AI 에이전트가 도입됨에 따라 비인간 신원의 수가 크게 증가합니다. 그 신원을 효과적으로 관리하는 것은 통제력을 유지하는 데 필수적이 됩니다.

AI 네이티브 보안은 궁극적으로 더 나은 데이터, 더 나은 오케스트레이션 및 인간과 기계 행위자 모두를 고려한 거버넌스의 혼합입니다.

AI 시스템이 더 자율적으로 될수록, 에이전트 오케스트레이션, API 체인 및 자동화된 의사 결정 파이프라인과 같은 영역으로 공격 표면이 확장됩니다. 이러한 신흥 표면 중 가장 걱정되는 것은 무엇입니까?

만약 하나의 영역을 골라 즉각적인 주의가 필요하다면, 그것은 에이전트 기반 시스템 내부의 신원 및 데이터 접근 권한입니다.

조직이 더 많은 에이전트 AI를 도입함에 따라, 그들은 기업 내부에서 운영되는 자율적 행위자의 증가하는 집단을 창출하고 있습니다. 그 에이전트들은 매우 강력한 데이터, API 및 워크플로에 대한 접근 권한을 가질 수 있으며, 이는 권한이 엄격하게 설계, 모니터링 및 감사되지 않는다면 공격자에게 매력적인 경로가 될 수 있습니다. 모든 에이전트를 새로운 직원처럼 취급하는 것이 중요합니다: 이름을 지정하고, 범위를 정하고, 모니터링하며, 필요할 경우 빠르게 연결을 끊을 수 있도록 합니다.

API 체인과 자동화된 의사 결정 파이프라인도 위험을 초래하지만, 신원 거버넌스는 종종 기초적인 통제 수단입니다. 에이전트가 누구인지, 무엇에 접근할 수 있는지, 무엇을 했는지 명확하게 답할 수 없다면, 당신은 그것을 실제로 통제하지 못하는 것입니다.

이사회 관점에서, 임원 및 이사들은 현재 AI 기반 사이버 리스크에 대해 어떻게 생각하고 있으며, 기술적 현실과 이사회 수준의 이해 사이의 가장 큰 격차는 어디에 있다고 보십니까?

이사회는 AI가 엄청난 기회를 가져다주지만 상당한 위험도 가져올 수 있다는 점을 점점 더 인식하고 있습니다. 대부분의 이사들은 AI가 비즈니스 변혁을 형성할 것이라는 점을 이해하며, 거버넌스, 보안 및 복원력에 대한 질문을 하기 시작하고 있습니다.

격차가 나타나는 곳은 종종 속도와 복잡성입니다. 많은 이사회 논의는 여전히 전통적인 사이버 프레임워크(이는 여전히 중요합니다)로 기본 설정되지만, AI 기반 위협이 얼마나 빠르게 진화하고 확장할 수 있는지를 항상 반영하지는 않습니다.

또 다른 단절은 “우리의 AI는 안전한가?”라는 질문이 단일 질문처럼 들리지만, 그 답은 데이터 거버넌스, 모델 무결성, 신원 관리 및 여러 시스템에 걸친 오케스트레이션에 걸쳐 존재한다는 점입니다. 격차를 줄이고 있는 이사회들은 그 움직이는 부분들을 가시적이고 테스트 가능하게 만드는 통제 기반 보고를 요구하며, 감독이 기술의 속도를 따라잡을 수 있도록 이사들의 이해도를 높이기 위해 시간을 투자하고 있습니다.

AI는 전장의 양측에서 점점 더 많이 사용되고 있습니다. 우리는 영구적인 AI 대 AI 사이버 보안 군비 경쟁에 진입하고 있으며, 그렇다면 방어자가 가지고 있어 공격자가 재현하기 어려울 수 있는 장점은 무엇입니까?

우리는 분명히 AI가 공격자와 방어자 모두에 의해 사용되고 있는 시대에 있습니다. 공격자들은 이미 정찰 가속화, 취약점 식별 및 공격 수명 주기의 일부 자동화에 AI를 적용하고 있습니다. 그러나 방어자들은 그것들을 사용하기로 선택한다면 여전히 실제적인 장점을 가지고 있습니다.

방어자들은 자신의 환경에 대한 가시성, 내부 원격 측정 데이터에 대한 접근 권한 및 공격자가 탐색해야 하는 계층화된 아키텍처를 구축할 수 있는 능력을 가지고 있습니다. AI는 방어자들이 네트워크, 엔드포인트 및 신원 전반에 걸쳐 방대한 양의 데이터를 분석하는 데 도움을 주어 훨씬 더 일찍 이상 행위를 탐지할 수 있는 잠재력을 제공합니다.

문제는 채택입니다. 만약 방어자들이 수동 워크플로에 머무르는 동안 공격자들이 자동화한다면, 비대칭성은 잔혹해질 것입니다. 군비 경쟁은 현실이며, 승자는 AI를 강력한 거버넌스와 함께 배치하는 쪽이 될 것이지, 파일럿으로만 시험하는 쪽이 되지는 않을 것입니다.

대기업을 자문하는 귀하의 업무에서, 조직들이 사이버 보안 전략에 AI를 통합하려고 할 때 가장 흔히 저지르는 실수는 무엇입니까?

우리가 보는 가장 흔한 실수 중 하나는 AI를 독립적인 도구가 아닌 아키텍처적 전환으로 취급하지 않는 것입니다. 팀들은 영향을 지속시키는 데 필요한 데이터 기반, 거버넌스 모델 또는 운영 프로세스를 업그레이드하지 않고 고립된 실험을 실행하여 결과가 정체기에 빠집니다.

또 다른 실수는 새로운 위험(새로운 신원, 새로운 데이터 흐름 및 공격 표면을 확장하는 자동화된 의사 결정 경로)을 완전히 고려하지 않고 AI 역량을 배포하는 것입니다. 만약 그것들이 적절한 통제 수단 없이 덧붙여진다면, AI는 복원력 대신 취약성을 추가할 수 있습니다.

마지막으로, 많은 조직들이 인력 참여의 중요성을 과소평가합니다. 매일 보안 운영을 실행하는 실무자들은 마찰이 어디에 있는지, 그리고 ‘좋은 상태’가 어떤 것인지

Related Topics:
mm

//www.futurist.ai">퓨처리스트로서, 그는 이러한 혁신이 우리 세계를 어떻게 형성할지 탐구하는 데 전념하고 있습니다. 또한 그는 미래를 재정의하고 전체 산업을 재편하는 첨단 기술에 투자하는 플랫폼인 Securities.io의 창립자이기도 합니다.