์ฌ์ ๋ฆฌ๋
๊ณต๊ฒฉ์ด ๊ตฌ์ ๋ฐฉ์ด๋ฅผ ์์๊ฐ ๋: ์ ํ๋ก์กํฐ๋ธ AI ๋ณด์์ด ํ์ํ๊ฐ
보안과 관련된 분야에서 일한다면 항상 추격하는 느낌을 받을 수 있다. 새로운 보안 위반이 뉴스에 보도되고, 신종 랜섬웨어가 등장하며, 방어자들이 예상하지 못한 공격이 계속해서 발생한다.同時에 많은 보호는 여전히 구식 인터넷의 아이디어에 의존하고 있으며, 네트워크에는 명확한 경계가 있고 공격자는 더 느리게 이동한다.
이것은 단순한 느낌이 아니다. 최신 IBM Cost of a Data Breach Report에 따르면, 2024년 글로벌 평균 보안 위반 비용은 4,880만 달러로, 전년比 10% 증가했다. 이는 팬데믹 이후 가장 큰 증가율이며, 보안 팀이 도구와 인력을 더 투자하는 동안에도 발생했다.
Verizon Data Breach Investigations Report 2024는 30,000건 이상의 사건과 10,000건 이상의 확인된 보안 위반을 분석했다. 공격자가 도난된 자격증명, 웹 애플리케이션 취약점, 사전 텍스트(pretexting)와 같은 사회적 행동을 사용하는 방법을 강조하며, 조직이 패치가发布된 후 약 55일이 걸려서 중요한 취약점의 절반을 수정한다는 것을 지적했다. 공격자는 이러한 55일 동안 편안하게 이동할 수 있다.
유럽에서는 ENISA Threat Landscape 보고서 2023도 랜섬웨어, 서비스 거부 공격, 공급망 공격, 사회공학 공격의 혼합을 강조한다. 또 다른 ENISA 연구는 공급망 사건에 대해 2021년에 2020년보다 4배 더 많은 공격이 발생했으며, 이 추세는 지속되고 있다고 추정했다.
따라서 그림은 간단하지만 불편하다. 보안 위반은 더 흔해지고, 더 비싸고, 더 복잡해지고 있으며, 도구가 개선되더라도 많은 조직이 여전히 자신을 방어하는 방식에는 구조적인 문제가 있다.
클래식 보안 모델이 왜 뒤처지는가
오랫동안 사이버 방어의 정신적 그림은 간단했다. 내부와 외부가 명확했다. 방화벽과 필터를 사용하여 강력한 周囲를 구축했다. 엔드포인트에 안티바이러스 소프트웨어를 배포하고 알려진 악성 코드를 검색했다. 규칙을 조정하고 경고를 감시하고 명백한 경고가 발생할 때 반응했다.
이 모델에는 현재 세 가지 큰 문제가 있다.
첫째, 周囲이 대부분 사라졌다. 사람들이 모든 장치에서 모든 곳에서 일한다. 데이터는 공용 클라우드 플랫폼과 소프트웨어として의 서비스 도구에 저장된다. 파트너와 공급업체는 직접 내부 시스템에 연결된다. ENISA 공급망 연구 보고서와 같이 침입이 직접적인 중앙 서버 공격이 아닌 신뢰할 수 있는 파트너 또는 소프트웨어 업데이트를 통해 시작되는 경우가 많다.
둘째, 알려진 악성 코드에 대한 초점은巨大한 블라인드 스팟을 남긴다. 현대의 공격자는 사용자 정의 악성 코드와 방어자가 “지상에서 살아남는(living off the land)”이라고 부르는 것을 혼합한다. 내장된 스크립팅 도구, 원격 관리 에이전트, 일상적인 관리 동작에 의존한다. 각 단계는 별도로 볼 때 무해할 수 있다. 단순한 악성 코드 기반 접근 방식은 더 큰 패턴을 볼 수 없으며, 공격자가 각 캠페인에서 작은 세부 사항을 변경할 때 특히 그렇다.
셋째, 인간은 과부하된다. Verizon 보고서는 취약점 악용이 네트워크에 침입하는 주요 방법임을 보여주며, 많은 조직이 패치를 빠르게 적용하는 데 어려움을 겪고 있다고 한다. IBM의 연구에 따르면, 긴 탐지 및 포함 시간은 보안 위반 비용이 계속 증가하는 주요 이유이다. 분석가는 경고, 로그, 수동 트라이어지의 산 아래에 앉아 있으며, 공격자는 가능한 모든 것을 자동화한다.
따라서 공격자는 더 빠르고 더 자동화되어 있으며, 방어자는 여전히 수동 조사와 구식 패턴에 크게 의존한다. 이 간격으로 인해 인공지능이 등장한다.
공격자가 이미 인공지능을 동료로 여기는 이유
인공지능과 보안에 대해 이야기할 때,人们은 종종 방어 도구를 생각한다. 이러한 도구는 악의적인 행위를 잡는 데 도움이 된다. 하지만 현실은 공격자가 자신의 일을 더 쉽게 만들기 위해 인공지능을 사용하는 것과 같다.
Microsoft Digital Defense Report 2025는 국가 지원 그룹이 인공지능을 사용하여 합성 미디어를 생성하고, 침입 캠페인의 일부를 자동화하고, 영향 작용을 확대하는 방법을 설명한다. 별도의 Associated Press 요약에 따르면 Microsoft의 위협 인텔리전스 보고서에 따르면, 2024년 중반부터 2025년 중반까지 인공지능으로 생성된 가짜 콘텐츠와 관련된 사건은 200건 이상으로, 전년比 2배 이상 증가했으며, 2023년에는 약 10배 증가했다.
실제로는 원어민이 쓴 것처럼 읽히는 피싱 메시지이다. 그것은 어떤 언어라도 가능하다. 그것은 심지어 깊은 가짜 오디오와 비디오로 공격자가 선임 리더 또는 신뢰할 수 있는 파트너를 가장할 수 있다. 그것은 인공지능 시스템이巨大한 양의 도난당한 데이터를 정렬하여 환경, 직원, 제3자의 가장 중요한 세부 사항을 찾는 것과 같다.
최근 Financial Times 기사는 사이버 공격에서 에이전트 인공지능에 대해 설명한다. 여기에는 거의 자율적인 정찰 작전이 포함되며, 인공지능 코딩 에이전트가 재구성에서 데이터 유출까지 대부분의 단계를 수행했다. 그 경우에 대해 어떻게 생각하든, 방향은 명확하다. 공격자는 인공지능이 지루한 작업을 처리하도록 기대한다.
공격자가 인공지능을 사용하여 더 빠르고, 더 잘 섞여서, 더 많은 표적을 공격한다면, 방어자는 전통적인 周囲 도구와 수동 경고 트라이어지에만 의존할 수 없다. 인공지능을 방어에 도입하거나 간격이 계속 커진다.
반응형 방어에서 프로액티브 보안 사고로
첫 번째 실제 전환은 기술적인 것이 아니다; 그것은 정신적인 것이다.
반응형 태도는 명확한 문제의 징조를 기다린 다음 반응하는 아이디어를 기반으로 한다. 새로운 바이너리가 감지된다. 경고가 발생한다. 계정이 명백한 위협을 나타낸다. 팀이 뛰어들어 조사하고, 정리하고, 아마도 규칙을 업데이트하여 동일한 패턴이 다시 작동하지 않도록 한다.
느리고 드문 공격의 세계에서는 이것이 괜찮을 수 있다. 하지만 지속적인 탐지, 빠른 악용, 인공지능 지원 캠페인이 있는 세계에서는 너무 늦다. 단순한 규칙이 트리거될 때까지 공격자는 이미 네트워크를 탐색하고, 중요한 데이터에 접근하고, 대기 경로를 준비했다.
프로액티브 태도는 다른 곳에서 시작한다. 그것은 항상 적대적인 트래픽에 의해 접촉되고 있다고 가정한다. 일부 제어가 실패할 수 있다고 가정한다. 그것은 비정상적인 행동을 얼마나 빠르게 감지하고, 그것을 포함하는지, 그리고 그것에서 얼마나 일관되게 배우는지에 대해 관심이 있다. 이러한 프레임에서 핵심 질문은 매우 실제적이다.
-
핵심 시스템, 身分, 데이터 저장소에 대한 지속적인 가시성을 가지고 있는가?
-
정상적인 행동에서 작은 편차를注意할 수 있는가, 알려진 악성 코드만이 아니라?
-
그 통찰력을 빠르고 반복 가능한 행동과 연결할 수 있는가, 팀을 태우지 않고?
인공지능은 자체적으로 해결책은 아니지만, 현대적인 환경이 요구하는 규모에서 이러한 질문에 답하는 강력한 방법이다.
인공지능 기반 사이버 보안 태도의 모습
인공지능은 위협에 대한 단순한 예/아니요 보기를 더 풍부한 행동 기반 그림으로 이동하도록 도와준다. 탐지 측면에서 모델은 身分 활동, 엔드포인트 텔레메트리, 네트워크 흐름을 감시하고 환경에 대한 정상적인 모습을 학습할 수 있다. 알려진 악성 파일을 차단하는 것만이 아니라, 계정이 비정상적인 위치에서 비정상적인 시간에 로그인하고, 이전에 접근하지 않은 시스템으로 피벗하고,大量의 데이터를 이동하기 시작할 때 플래그를 올릴 수 있다. 각 이벤트는 쉽게 무시할 수 있다. 결합된 패턴은 흥미롭다.
노출 측면에서 인공지능 지원 도구는 실제 공격 표면을 매핑할 수 있다. 공용 클라우드 계정, 인터넷에 노출된 서비스, 내부 네트워크를 스캔하여 잊혀진 테스트 시스템, 잘못 구성된 저장소, 노출된 관리 패널을 찾을 수 있다. 이러한 발견을 실제적인 위험 이야기로 그룹화할 수 있다. 이는 조직 내부에서 그림자 인공지능이 증가하는 추세, 즉 팀이 중앙 관리 없이 자신의 모델과 도구를 스핀업하는 경우, IBM이最近의 Cost of a Data Breach 연구에서 지적한 심각한 위험 영역에서 특히 중요하다.
반응 측면에서 인공지능은 더 빠르고 일관되게 행동하는 데 도움이 될 수 있다. 일부 보안 운영 센터는 이미 인공지능 지원 시스템을 사용하여 실시간으로 포함 단계를 추천하고, 긴 조사 타임라인을 인간 분석가에게 요약한다. 미국 사이버 보안 및 인프라 보안 기관(CISA)은 인공지능 자원에서 이러한 사용 사례를 여러 개 설명하며, 인공지능이 비연방 시스템에서 비정상적인 네트워크 활동을 감지하고大量의 위협 데이터를 분석하는 데 어떻게 도움이 될 수 있는지 보여준다.
이것은 인간의 판단이 필요하지 않다는 것을 의미하지 않는다. 대신 인공지능은 강화된다. 지속적인 감시, 패턴 감지, 초기 트라이어지의 일부를 인수하여 인간 방어자가 더 깊은 조사와 어려운 설계 질문에 더 많은 시간을 할애할 수 있다.
이 방향으로 이동하기 시작하는 방법
보안을 담당한다면, 모든 것이 크고 추상적으로 들릴 수 있다. 좋은 소식은 반응형에서 프로액티브로의 전환은 일반적으로 큰 변화를 아니라 몇 가지 근본적인 단계에서 시작된다는 것이다.
첫 번째 단계는 데이터 스트림을 정리하는 것이다. 인공지능은 볼 수 있는 신호만큼 유용하다. 身分 제공자, 엔드포인트 도구, 네트워크 제어, 클라우드 플랫폼이 모두 로그를 별개의 실로 보낸다면, 모든 모델에는 블라인드 스팟이 있을 것이며, 공격자는 숨을 곳을 찾을 것이다. 가장 중요한 텔레메트리에 대한 중앙적인 관점을 투자하는 것은 글로벌한 인공지능 지원을 가능하게 하는 기반이다.
두 번째 단계는 모든 곳에 인공지능을 뿌리기보다는 특정 사용 사례를 선택하는 것이다. 많은 팀은 사용자 계정의 행동 분석, 클라우드 환경의 이상 탐지, 더智能한 이메일 및 피싱 탐지와 같은 것에서 시작한다. 목표는 이미 위험이 있는 영역을 선택하는 것이며,大量의 데이터 세트에 대한 패턴 인식이 명백하게 도움이 될 수 있다.
세 번째 단계는 모든 새로운 인공지능 지원 도구에 명시적인 가드레일을 짝지어하는 것이다. 이것에는 모델이 스스로 무엇을 할 수 있는지, 무엇이 항상 인간의 개입을 필요로 하는지, 시스템이 시간이 지남에 따라 정직하고 유용한지 측정하는 방법이 포함된다. 여기서 NIST 인공지능 프레임워크와 CISA와 같은 기관의 지침에서 생각을 할 수 있다. 이것은 모든 것을 스스로 재창조할 필요가 없다.
프로액티브 AI 보안을 기다릴 수 없는 이유
サイバー 공격은 드문 비상사태보다 지속적인 배경 조건으로 변하고 있으며, 공격자는 인공지능이 자신의 많은 작업을 처리하도록 기대한다. 비용은 증가하고, 진입점은 증가하며, 공격자側의 도구는 매년 더智能해지고 있다. 반응형 모델은 큰 경고를 기다렸다가 서두르며, 이것은 그 세계에 적합하지 않다.
프로액티브 인공지능 기반 태도는 화려한 트렌드를 추구하는 것보다, 데이터를 정리하고, 행동 기반의 통찰력을 추가하며, 새로운 인공지능 시스템에 명확한 가드레일을 두어 방어자를 놀라게 하지 않도록 하는 것과 같은 조용하고 글래머러스하지 않은 작업을 수행하는 것이다. 공격자와 방어자 사이의 간격은 실제이지만, 고정된 것은 아니다. 보안 스택에서 인공지능을 사용하는 방법에 대한 현재의 선택은 다음 몇 년 동안 어느 쪽이 더 빠르게 이동하는지 결정할 것이다.
