Cloud CISO Perspectives: 사이버 보안의 패러다임 전환을 보여주는 3가지 AI 활용 사례
Phil Venables
VP, TI Security & CISO, Google Cloud
Hear monthly from our Cloud CISO in your inbox
Get the latest on security from Cloud CISO Phil Venables.
Subscribe* 본 아티클의 원문은 2024년 6월 19일 Google Cloud 블로그(영문)에 게재되었습니다.
2024년 6월 클라우드 CISO 관점(Cloud CISO Perspectives) 뉴스레터의 주요 내용을 정리해 보았습니다.
"이번 뉴스레터에서는 사이버 보안 분야에서 주목받는 세 가지 AI 활용 사례를 살펴보겠습니다. 이전과 마찬가지로 이번 뉴스레터 내용 역시 구글 클라우드 블로그에 같은 내용이 게시됩니다. 뉴스레터를 구독하면 정기 발송되는 클라우드 CISO 관점 이메일을 편히 받아볼 수 있습니다."
--Phil Venables, VP, TI Security & CISO, Google Cloud
세 가지 유망 AI 활용 사례
작성자: Phil Venables, VP, TI Security & CISO, Google Cloud
많은 이들이 AI가 사이버 보안 분야에 큰 변화를 불어오고, 장기적으로 볼 때 공격자를 방어하는 보안 전문가들에게 큰 혜택을 줄 것이라 믿어왔습니다. 구글 클라우드 그렇게 생각합니다. AI는 보안 전문가들이 지금까지 힘들게 해왔던 작업을 자동화하여 각종 위협에 더 빠르게 대응할 수 있도록 도울 수 있다고 봅니다.
물론 아직 이상적인 수준의 자동화 목표에 도달하려면 갈 길이 멉니다. 그렇다고 아직 AI가 유용하지 않다는 것은 아닙니다. 지금 당장 적용해도 보안 운영팀이 도움을 받을 수 있는 활용 사례들이 있습니다. 예를 들어 악성 소프트웨어(Malware) 분석, 위협 인텔리전스 검색 및 요약, 그리고 패치를 준비해 배포하는 과정을 간소화하는 사례는 당장 적용해 효과를 볼 수 있는 활용 사례입니다.
AI를 활용한 악성 코드 분석
악성 소프트웨어는 오랜 수단 중 하나이지만 오늘날까지 주요 위협 중 하나로 꼽힙니다. 정확히 말하자면 공격자들은 놀라운 속도로 악성 소프트웨어 변종을 만들어 탐지와 대응을 더욱 어렵게 하고 있습니다. 실제로 변종의 수가 늘면서 악성 소프트웨어 분석가의 업무량이 늘고 있습니다. 이런 부담을 줄이는 데 있어 자동화는 큰 도움이 됩니다.
최근 구글 클라우드는 Gemini 1.5 Pro의 악성 소프트웨어 분석 능력을 평가했습니다. 분석할 코드를 업로드한 다음 파일의 악성 여부를 판단해 달라고 요청했습니다. 그리고 활동 목록과 침해 지표도 생성해 달라고 요청했습니다.
우리는 Gemini 1.5 Pro에 알려진 여러 악성 소프트웨어 파일을 살펴보고, 디컴파일 및 디스어셈블된 코드를 분석해 달라고 요청하는 테스트를 하였습니다. 매번 놀라울 정도로 정확했고, 사람이 읽을 수 있는 언어로 요약한 보고서를 생성했습니다.
Gemini 1.5 Pro는 100만 토큰이라는 방대한 컨텍스트 윈도우 덕분에 기존 모델과 비교할 수 없는 성능을 보입니다. 코드를 작은 부분으로 나누어 여러 번 분석할 필요 없이 전체 코드를 한 번에 분석할 수 있는 속도와 정확도가 높습니다.
실제 테스트에서도 Gemini 1.5 Pro는 실력을 발휘하였습니다. 전체 악성 소프트웨어 코드를 업로드하자 30~40초 만에 정확하게 분석하였습니다. 반면에 다른 모델들은 전체 코드 분석에 실패하거나 정확하지 않은 결과를 제시하였습니다. 테스트에 사용한 샘플 중 하나는 악명 높은 WannaCry 악성 소프트웨어의 전체 디컴파일된 코드였습니다. Gemini 1.5 Pro 모델은 전체 코드를 한 번에 분석해 34초 만에 분석 결과를 제시하고, 킬스위치를 식별했습니다.
"Gemini 1.5 Pro는 테스트 당시 VirusTotal에서 탐지되지 않은 코드도 정확하게 식별했습니다"라고 구글과 맨디언트 전문가들이 평가 보고서에서 밝혔습니다. 최근 구글 클라우드는 Gemini 1.5 Pro가 200만 토큰 컨텍스트 윈도우를 지원할 것이라고 발표했습니다. 이번 발표는 앞으로 대규모 악성 소프트웨어 분석 방식이 크게 달라질 것임을 예고합니다.
보안 운영(SecOps)을 지원하는 AI
보안 운영팀은 방대한 양의 업무를 일일이 수작업으로 해야 하는 어려움에 직면해 있습니다. 위협 정보 분석, 사건 조사, 시스템 관리 등 다양한 업무가 끊임없이 이어지다 보니 팀원들의 업무 부담이 나날이 커지고 있습니다. 다행히 이제 AI를 활용하면 작업 효율을 높여 팀의 업무 부담을 줄일 수 있습니다. 또한, AI는 신입 팀원 교육에도 유용합니다. 이처럼 AI가 보안 운영 현장에서 변화를 일으키려면 보안 실무를 잘 이해하는 모델이 필요합니다. 이런 요구에 부응하기 위해 구글 클라우드는 보안 특화 API인 SecLM을 제공합니다. SecLM은 구글 DeepMind의 최신 기술과 구글이 자랑하는 업계 최고 수준의 위협 정보와 보안 데이터를 기반으로 한 보안 특화 AI API입니다. SecLM은 다양한 기능을 제공해 보안 운영팀의 업무를 지원합니다.
Pfizer와 Fiserv 같은 고객들은 보안 운영에 Gemini in Security Operations를 사용해 신입 팀원들이 더 빠르게 적응할 수 있도록 돕는 한편 분석가들이 더 빠르게 답을 찾을 수 있도록 하여 전체 보안 운영의 효율성을 높이고 있습니다.
앞서 언급한 바와 같이 AI는 신입 팀원 교육에 크게 기여합니다. 신입 팀원은 팀에서 사용하는 보안 운영 플랫폼이 사용하는 쿼리 언어를 잘 몰라도 작업에 참여할 수 있습니다. 자연어로 질문을 하여 쿼리를 생성할 수 있어 팀에서 사용하는 플랫폼에 빠르게 적응할 수 있습니다. 예를 들어 Pfizer와 Fiserv 같은 고객들은 보안 운영에 Gemini in Security Operations를 사용해 신입 팀원들이 더 빠르게 적응할 수 있도록 돕는 한편 분석가들이 더 빠르게 답을 찾을 수 있도록 하여 전체 보안 운영의 효율성을 높이고 있습니다.
한편, AI가 생성한 요약은 방대한 양의 정보를 빠르고 정확하게 이해하는 데 큰 도움을 줍니다. 실제로 한 다국적 전문 서비스 조직의 정보 보안 이사는 구글 클라우드의 Gemini in Threat Intelligence가 제공하는 요약 정보가 위협 행위자의 개요를 작성하는 데 큰 도움을 줄 수 있다고 말했습니다.
"정보가 정말 원활하게 흐르며, 필요한 정보를 짧은 시간 안에 수집할 수 있게 도와줍니다."라고 고객은 말했습니다.
또한, AI는 조사 내용 요약에도 도움을 줍니다. 보안 운영팀은 급증하는 데이터를 다루어야 합니다. 따라서 이벤트를 더 빨리 감지해 검증하고 대응하는 것이 중요합니다. AI 도움을 받아 자연어로 검색하고 조사 내용을 요약할 수 있게 되면 팀은 경보(Alert) 홍수 속에서도 효율적으로 위험 요소를 찾아 신속히 조처할 수 있습니다.
AI로 보안 솔루션 확장
구글의 보안 관련 머신 러닝 팀은 올 1월 연구자와 개발자가 퍼징(fuzzing)이라는 기술을 활용해 소프트웨어 취약점을 자동으로 찾는 오픈 소스 도구인 퍼징 프레임워크를 공개했습니다. 참고로 퍼징은 무작위로 생성된 데이터를 입력으로 소프트웨어를 실행하여 예상치 못한 동작이나 충돌을 유발하는 기술입니다. 구글이 공개한 퍼징 프레임워크는 AI 모델을 활용해 기존 퍼징 도구보다 더 효과적으로 취약점을 발견할 수 있습니다. 프레임워크에 적용한 모델은 프로젝트별 코드를 학습하여 퍼징 범위를 넓히고, 더 많은 입력을 생성할 수 있습니다. 이 도구는 OSS-Fuzz라는 플랫폼에 구현되어 운영되고 있습니다. OSS-Fuzz는 개발자가 올린 프로젝트에 대해 자동으로 퍼저를 실행하고, 발견된 취약점을 개발자에게 비공개로 알려줍니다.
잘 설계된 AI 도구는 작은 개선들이 쌓여 생산성을 비약적으로 높일 수 있는 혜택을 제공해 보안을 혁신할 수 있습니다.
퍼징 프레임워크 개발은 성공적이라 할 수 있습니다. AI가 생성한 확장된 퍼징 범위 덕분에 OSS-Fuzz는 300개 이상의 프로젝트를 커버할 수 있었고, 몇 년 동안 퍼징되었던 두 프로젝트에서 새로운 취약점을 발견하는 등 AI의 파워를 실감할 수 있었습니다. 관련해 구글의 보안 관련 머신 러닝 팀은 "거대 언어 모델(LLM)이 아니었다면 두 취약점은 발견되지 않아 수정되지 않았을 것입니다"라고 밝혔습니다.
또한, 구글의 보안 관련 머신 러닝 팀은 AI를 사용해 취약점을 패치하는 데도 도움을 주었습니다. 이 팀은 소프트웨어 취약점을 분석하기 위해 파운데이션 모델을 사용하는 자동화된 파이프라인을 구축하였습니다. 보안 담당자는 이 파이프라인을 통해 취약점을 패치할 수 있습니다. 과정을 살펴보자면 파운데이션 모델은 취약점을 분석하고 파악합니다. 그리고 분석한 취약점에 대한 패치를 생성합니다. 이후 패치를 테스트해 코드 변경으로 인한 문제가 없는지 확인합니다. 테스트를 통과한 최적의 패치 후보를 선별해 보안 담당자가 검토할 수 있도록 제안합니다. 보안 담당자는 최종 선택한 패치를 적용합니다.
AI를 활용해 취약점을 추적하고 수정하는 작업 방식은 크고 작은 개선들이 쌓이면서 더 발전할 수 있는 잠재력이 있습니다. 잘 설계한 AI 도구는 보안을 혁신하고 생산성을 높일 수 있습니다. 단, 전제 조건이 있습니다. AI 모델이 책임감 있게 개발되어야 합니다. 구글 클라우드는 Secure AI Framework를 적용해 관리하고 있습니다.
이번 뉴스레터에서 소개한 내용에 대한 더 자세한 내용이 궁금하다면 문의를 남겨 주세요. 또는, 6월 26일에 열리는 온라인 행사인 Security Talks의 세션을 참조 바랍니다.
Google Cloud 보안 관련 최신 소식
- 구글 클라우드 Security Talks를 놓치지 마세요: 6월 26일 구글 클라우드와 구글 보안 커뮤니티 전문가들이 한자리에 모여 보안 강화를 위한 통찰과 모범 사례 그리고 실행할 수 있는 전략을 공유합니다. 자세히 보기
- AI가 사이버 보안에서 OODA 루프의 영향을 향상하는 방법: 오랫동안 사용된 OODA 루프는 리더들이 더 나은, 더 빠른 결정을 내리는 데 도움을 줄 수 있습니다. AI로 OODA 루프를 더 효과적으로 만드는 방법을 확인해 보세요. 자세히 보기
- 구글, Forrester Wave의 사이버 보안 사고 대응 서비스 리더로 선정: 구글은 2024년 2분기 포레스터 웨이브 사이버 보안 사고 대응 서비스 보고서에서 리더로 선정되었습니다. 자세히 보기
- PAM(Privileged Access Manager) 활용법: 과도한 권한과 권한 남용의 위험을 완화하기 위해 구글 클라우드가 PAM 기능을 발표하였습니다. 자세히 보기
- Assured Workload를 사용해 FedRAMP High 기준을 충족하는 네트워크 구축하기: FedRAMP High 기준에 맞는 네트워크 아키텍처를 안전하고 배포하고자 하는 조직을 위해 여러 모범 사례를 정리해 보았습니다. 자세히 보기
- 민감한 데이터 보호를 위한 BigQuery 암호화 및 복호화: BigQuery가 암호화, 복호화를 지원하는 네이티브 SQL 기능으로 민감한 데이터를 보호하는 방법을 알아보세요. 자세히 보기
- 유럽 지역 고객을 위한 소버린 클라우드 소식: Google Sovereign Cloud가 유럽 지역의 고객을 위해 현지 주권 파트너, 정부 및 규제 기관과 협력을 강화하고 있습니다. 자세히 보기
위협 인텔리전스 최신 소식
- Snowflake 고객 인스턴스를 대상으로 한 데이터 탈취 및 갈취: 맨디언트는 재정적 동기를 가진 위협 캠페인이 Snowflake 고객 데이터베이스 인스턴스를 대상으로 데이터 절도 및 협박을 시도하고 있는 것을 확인했습니다. 자세히 보기
- 브라질 사용자와 기업을 겨냥한 사이버 위협: 브라질의 경제 및 지정학적 역할이 세계적으로 증가하면서 다양한 동기를 가진 위협 행위자들이 브라질의 디지털 인프라를 악용하려는 기회를 찾아 나서고 있습니다. 자세히 보기
- 2024년 파리 하계 올림픽을 노린 스파이 활동: 맨디언트는 파리 올림픽이 사이버 스파이 활동, 파괴적 및 방해적 작전, 재정적 동기 활동, 핵티비즘, 정보 작전 등 사이버 위협 활동의 높은 위험에 직면해 있다고 확신합니다. 자세히 보기
- 다시 증가세로 접어든 랜섬웨어 활동: 맨디언트는 데이터 유출 사이트에 게시된 게실물 급증과 랜섬웨어 조사 건수 증가에 근거해 2023년 랜섬웨어 활동이 전년 대비 증가하고 있는 것을 관찰하였습니다. 자세히 보기
최신 팟캐스트
- 구글은 자체 클라우드를 어떻게 보호하나?: 구글은 자사의 클라우드를 사용합니다. 구글 클라우드를 이용하는 다른 기업에 비해 구글은 보안 접근 방식은 무엇이 다를까요? 구글에서 퍼블릭 클라우드 사용을 책임지고 있는 수석 소프트웨어 엔지니어인 Seth Vargo가 호스트인 Anton Chuvakin과 Tim Peacock와 함께 관련 이야기를 나눕니다. 팟캐스트 듣기
- 공공 부문에서 Threat Horizons까지 ~ Crystal Lister를 만나다!: 기술 프로그램 관리자인 Crystal Lister가 Anton과 Tim과 함께 공공 부문에서 구글 클라우드 시큐리티가 어떻게 요구를 충족하는지 그리고 Threat Horizon 보고서에 관해 이야기합니다. 팟캐스트 듣기
- Defender's Advantage: 클라우드 침해 대응에서 얻은 교육: 맨디언트 컨설턴트인 Will Silverstone과 Omar ElAhdan이 호스트인 Luke McNamara와 함께 20023년 클라우드 침해 동향 연구 결과에 관해 이야기합니다. 팟캐스트 듣기
이상으로 2024년 6월 클라우드 CISO 관점(Cloud CISO Perspectives) 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 다시 찾아뵙겠습니다.