진화하는 공격이 낡은 방어를 앞지를 때: 적극적 AI 보안이 필요한 이유

현재 보안 업무를 맡고 계신다면, 항상 뒤처지는 느낌을 받고 있을 것입니다. 뉴스에는 새로운 데이터 유출 사고가, 신종 랜섬웨어 소식이, 그리고 방어자들이 예상하지 못한 또 다른 교묘한 공격 기법이 끊이지 않습니다. 동시에, 많은 보호 장치는 네트워크에 명확한 경계가 있고 공격자들의 움직임이 더 느렸던 과거 인터넷 시대의 개념에 여전히 의존하고 있습니다.

통계는 이것이 단순한 느낌이 아님을 보여줍니다. 최신 IBM Cost of a Data Breach Report에 따르면, 2024년 전 세계 평균 데이터 유출 비용은 488만 달러로, 전년도 445만 달러에서 증가했습니다. 이 10% 상승폭은 팬데믹 기간 이후 가장 큰 급등이며, 보안팀이 도구와 인력에 더 많은 투자를 하고 있음에도 불구하고 발생한 수치입니다.

2024년 Verizon Data Breach Investigations Report는 3만 건 이상의 사고와 1만 건 이상의 확인된 유출 사례를 분석합니다. 이 보고서는 공격자들이 어떻게 탈취된 자격 증명, 웹 애플리케이션 취약점 악용, 그리고 프리텍스팅과 같은 사회 공학적 행동에 의존하는지 강조하며, 조직들이 패치가 출시된 후 주요 취약점의 절반을 수정하는 데 평균 약 55일이 걸린다고 지적합니다. 지속적으로 스캔을 수행하는 공격자에게 이 55일은 매우 넉넉한 시간입니다.

유럽에서는 2023년 ENISA Threat Landscape 보고서도 랜섬웨어, 서비스 거부 공격, 공급망 공격, 사회 공학의 혼합이 두드러진다고 지적합니다. 공급망 사고에 초점을 맞춘 또 다른 ENISA 연구는 2021년에 그러한 공격이 2020년보다 약 4배 더 많았을 것이며, 이 추세가 계속 상승하고 있다고 추정했습니다. 

따라서 그림은 단순하지만 불편합니다. 도구가 개선되고 있음에도 불구하고, 데이터 유출은 더 흔해지고, 더 비싸지며, 더 복잡해지고 있습니다. 많은 조직들이 여전히 자신을 방어하는 방식에 구조적인 문제가 있습니다.

고전적 보안 모델이 뒤처지는 이유

오랫동안 사이버 방어의 심리적 그림은 단순했습니다. 명확한 내부와 외부가 있었습니다. 방화벽과 필터로 강력한 경계를 구축했습니다. 엔드포인트에 안티바이러스를 배포하고 알려진 악성 시그니처를 찾았습니다. 규칙을 조정하고, 경고를 감시하며, 명백한 이상 징후가 발생하면 대응했습니다.

그 모델은 현재 세계에서 세 가지 큰 문제를 안고 있습니다.

첫째, 경계는 대부분 사라졌습니다. 사람들은 관리되는 장치와 관리되지 않는 장치가 혼합된 환경에서 어디서나 일합니다. 데이터는 퍼블릭 클라우드 플랫폼과 SaaS 도구에 상주합니다. 파트너와 공급업체는 내부 시스템에 직접 연결됩니다. ENISA의 공급망 연구와 같은 보고서는 침입이 이제 중앙 서버에 대한 직접적인 정면 공격보다는 신뢰할 수 있는 파트너나 소프트웨어 업데이트를 통해 시작되는 경우가 얼마나 많은지 보여줍니다.

둘째, 알려진 시그니처에 대한 집중은 거대한 사각지대를 남깁니다. 현대 공격자들은 맞춤형 멀웨어와 방어자들이 ‘Living off the Land’라고 부르는 기법을 혼합합니다. 그들은 내장된 스크립팅 도구, 원격 관리 에이전트, 일상적인 관리 작업에 의존합니다. 각 단계를 따로 보면 무해해 보일 수 있습니다. 단순한 시그니처 기반 접근 방식은 더 큰 패턴을 보지 못합니다. 특히 공격자들이 각 캠페인에서 세부 사항을 조금씩 변경할 때는 더욱 그렇습니다.

셋째, 인간은 과부하 상태입니다. Verizon 보고서는 취약점 악용이 이제 네트워크 침입의 주요 경로가 되었으며 많은 조직이 패치를 충분히 빠르게 적용하는 데 어려움을 겪고 있음을 보여줍니다. IBM의 연구는 탐지 및 차단 시간이 길어지는 것이 유출 비용이 계속 상승하는 주요 이유 중 하나라고 덧붙입니다. 분석가들은 경고, 로그, 수동 분류 작업의 산 아래에 앉아 있는 반면, 공격자들은 가능한 많은 부분을 자동화합니다.

따라서 더 빠르고 더 자동화된 공격자와, 여전히 수동 조사와 오래된 패턴에 크게 의존하는 방어자가 존재합니다. 그 간극에 인공지능이 들어옵니다.

공격자들은 이미 AI를 팀원으로 대하고 있다

사람들이 보안에서 AI에 대해 이야기할 때, 그들은 종종 악의적인 행위자를 잡는 데 도움이 되는 방어 도구를 상상합니다. 현실은 공격자들도 자신의 작업을 쉽게 만들기 위해 AI를 사용하려는 열망이 그만큼 크다는 것입니다.

Microsoft Digital Defense Report 2025는 국가 지원 그룹들이 어떻게 AI를 사용하여 합성 미디어를 생성하고, 침입 캠페인의 일부를 자동화하며, 영향력 작전의 규모를 확장하는지 설명합니다. 별도의 Associated Press summary of Microsoft threat intelligence에 따르면, 2024년 중반부터 2025년 중반까지 AI 생성 가짜 콘텐츠와 관련된 사건은 200건 이상으로 증가했으며, 이는 전년도의 두 배 이상이고 2023년에 비해 약 10배에 달하는 수치입니다.

실제로, 이것은 원어민이 쓴 것처럼 읽히는 피싱 메시지로, 원하는 어떤 언어로든 나타납니다. 공격자가 고위 경영진이나 신뢰할 수 있는 파트너인 척하는 데 도움이 되는 딥페이크 오디오와 비디오처럼 보입니다. AI 시스템이 엄청난 양의 도난당한 데이터를 분류하여 당신의 환경, 직원, 제3자에 대한 가장 가치 있는 세부 정보를 찾는 것처럼 보입니다.

최근 Financial Times piece on agentic AI in cyberattacks는 심지어 AI 코딩 에이전트가 제한된 인간의 입력으로 정찰부터 데이터 유출까지 대부분의 단계를 처리하는 대부분 자율적인 간첩 작전을 설명합니다. 그 특정 사례에 대해 어떻게 느끼든, 진행 방향은 분명합니다. 공격자들은 AI가 작업의 지루한 부분을 처리하도록 하는 데 매우 만족합니다.

공격자들이 더 빠르게 움직이고, 더 잘 융화하며, 더 많은 표적을 공격하기 위해 AI를 사용한다면, 방어자들은 전통적인 경계 도구와 수동 경고 분류만으로는 충분하다고 기대할 수 없습니다. 당신도 방어에 유사한 지능을 도입하거나, 아니면 간극이 계속 벌어질 것입니다.

반응적 방어에서 적극적 보안 사고로

첫 번째 진정한 변화는 기술적이지 않습니다. 그것은 정신적입니다.

반응적 자세는 명확한 문제 징후를 기다린 후 대응할 수 있다는 생각에 기반을 둡니다. 새로운 악성 파일이 탐지됩니다. 트래픽이 알려진 패턴과 일치하여 경고가 발생합니다. 계정이 명백한 침해 징후를 보입니다. 팀이 뛰어들어 조사하고, 정리하고, 아마도 정확히 그 패턴이 다시 작동하지 않도록 규칙을 업데이트합니다.

공격이 느리고 드문 세계에서는 괜찮을 수 있습니다. 그러나 끊임없는 탐색, 빠르게 움직이는 악용, AI 지원 캠페인이 존재하는 세계에서는 너무 늦습니다. 단순한 규칙이 작동할 때쯤이면, 공격자들은 종종 당신의 네트워크를 탐색하고, 민감한 데이터에 접근하며, 대체 경로를 준비한 상태입니다.

적극적 자세는 다른 출발점에서 시작합니다. 당신이 항상 적대적인 트래픽에 접촉되고 있다고 가정합니다. 일부 통제 장치는 실패할 것이라고 가정합니다. 그것은 당신이 비정상적인 행동을 얼마나 빨리 발견하고, 얼마나 빠르게 차단하며, 얼마나 일관되게 그것으로부터 배우는지에 관심을 가집니다. 그 틀 안에서 핵심 질문은 매우 실용적이 됩니다.

• 당신은 주요 시스템, 신원, 데이터 저장소에 대한 지속적인 가시성을 확보하고 있습니까?

• 알려진 악성 시그니처뿐만 아니라 정상적인 행동에서의 작은 편차를 알아차릴 수 있습니까?

• 그 통찰력을 팀을 지치게 하지 않으면서 빠르고 반복 가능한 행동으로 연결할 수 있습니까?

AI 자체가 해결책은 아니지만, 현대 환경이 요구하는 규모로 그 질문에 답할 수 있는 강력한 방법입니다.

AI 주도 사이버 보안 태세의 모습

AI는 위협에 대한 단순한 예/아니오 시각에서 더 풍부한, 행동 기반 그림으로 이동하도록 도와줍니다. 탐지 측면에서 모델은 신원 활동, 엔드포인트 원격 측정, 네트워크 흐름을 감시하고 당신의 환경에 대해 정상적으로 보이는 것이 무엇인지 학습할 수 있습니다. 알려진 악성 파일만 차단하는 대신, 계정이 특이한 위치에서 특이한 시간에 로그인하고, 이전에 접근한 적 없는 시스템으로 이동한 다음, 대량의 데이터 이동을 시작할 때 경고를 발생시킬 수 있습니다. 모든 단일 이벤트는 간과하기 쉬울 수 있습니다. 결합된 패턴이 흥미로운 것입니다.

노출 측면에서, AI 지원 도구는 당신의 실제 공격 표면을 매핑할 수 있습니다. 그들은 퍼블릭 클라우드 계정, 인터넷에 노출된 서비스, 내부 네트워크를 스캔하여 잊혀진 테스트 시스템, 잘못 구성된 저장소, 노출된 관리자 패널을 찾을 수 있습니다. 그들은 이러한 발견물을 원시 목록 대신 실용적인 위험 시나리오로 그룹화할 수 있습니다. 이는 조직 내부에서 팀들이 중앙 감독 없이 자체 모델과 도구를 가동하는 ‘섀도우 AI’가 성장함에 따라 특히 중요합니다. IBM은 최근 Cost of a Data Breach 작업에서 이 트렌드를 심각한 위험 영역으로 지적했습니다.<a href="https://www.ibm.com/reports/data-breach?utm_source=chatgpt.com" target="_blank" rel="noopener" data-saferedirecturl="https://www.google.com/url?q=https://www.ibm.com/reports/data-breach?utm_source%3Dchatgpt.com&source=g