Cloud CISO Perspectives: 사이버 보안과 AI, 데이터에서 발견하는 새로운 가능성

* 해당 블로그의 원문은 2025년 5월 1일 Google Cloud 블로그(영문)에 게재되었습니다.

2025년 4월 두 번째 Cloud CISO Perspectives에 오신 것을 환영합니다. 이번 호에서는 Google 위협 인텔리전스(Google Threat Intelligence) 부사장(VP)인 산드라 조이스(Sandra Joyce)가 그녀의 RSA 컨퍼런스 기조연설 내용을 바탕으로, 공격과 방어 모두에서 AI의 실제 적용 사례에 대해 이야기합니다.

모든 Cloud CISO Perspectives와 마찬가지로, 이번 뉴스레터의 내용은 Google Cloud 블로그에도 게시됩니다. 웹사이트에서 이 글을 읽고 계시면서 이메일 버전을 받아보기를 원하시면, 여기에서 구독하실 수 있습니다.

AI와 사이버 보안에 대한 데이터 기반 통찰력

산드라 조이스(Sandra Joyce), Google 위협 인텔리전스 부사장

저희는 지난 몇 년간 사이버 보안 분야에서 AI가 지닌 굉장한 잠재력에 대해 이야기해 왔습니다. 미래에 대해 매우 기대해야 하는 것도 당연하지만, AI가 이미 우리 업계에 영향을 미치고 있는 현재 상황을 살펴볼 필요도 있습니다. 이제는 결과로 보여줄 때입니다.

오늘날 현실 세계에 미치는 영향

AI 노력에 실제로 집중해야 할 부분을 이해하기 위해 과장된 정보들을 걸러내려면 더 나은 데이터가 필요합니다. 특히 다음 두 가지 영역에 대한 데이터가 중요합니다: 위협 환경에서의 AI, 그리고 방어를 위한 AI입니다.

AI와 관련된 잠재적인 적대적 사용 사례가 너무나 많기 때문에, 가장 두드러지는 AI 기반 공격 경로의 우선순위를 정하여 이들이 제기하는 위험을 제대로 관리해야 합니다.

동시에 CISO들은 방어를 위해 AI가 성과를 내주기를 필요로 합니다. AI의 진정한 가치 제안은 무엇일까요? 향후 6개월에서 12개월 동안 AI가 어떻게 의미 있게 비용을 절감하고 보안 성과를 개선하는 데 도움을 줄 수 있을까요?

오늘, 저는 추측을 배제하고 현재 실질적인 영향을 미치고 있는 것으로 보이는 AI의 실제 적용 사례에 우선순위를 두는 데 도움이 될 수 있는 데이터 기반 분석을 공유하고자 합니다.

공격자들은 AI를 어떻게 사용하고 있는가

Google과 사용자들에 대한 위협에 대응하는 저희 업무의 일환으로, Google 위협 인텔리전스 그룹(Google Threat Intelligence Group, GTIG) 분석가들은 알려진 위협 행위자들을 추적하며, 이들 위협 행위자들이 현재 생성형 AI, 특히 Gemini를 어떻게 사용하려고 시도하는지 조사합니다. 저희는 20개국 이상에서 저희의 공개 Gemini AI 서비스에 접근한 지능형 지속 위협(APT) 그룹들을 확인했습니다.

위협 행위자들은 잠재적 인프라 및 무료 호스팅 제공업체 조사, 대상 조직에 대한 정찰 수행, 취약점 연구, 페이로드 개발, 악성 스크립팅 및 탐지 회피 기술 지원 요청 등 공격 수명 주기의 여러 단계를 지원하기 위해 Gemini를 사용해 왔습니다.

중요한 점은, 이것이 근본적으로 새로운 AI 기반 공격이 아니라 기존 공격 단계의 효율성이 높아진 것이라는 점입니다. 저희는 위협 행위자들이 AI를 실험하고 생산성 향상을 발견했지만, 아직 새로운 기능을 개발하지는 않은 것을 관찰했습니다.

현재 많은 담론이 지나치게 경고에만 치우치는 경향이 있습니다. 저희 분석에 따르면 AI는 일반적인 작업에 유용한 도구이지만, 적들이 이러한 모델을 사용하여 근본적으로 새로운 공격 경로를 개발하고 있다는 징후는 아직 발견되지 않았습니다.

공격자들은 많은 우리가 AI를 사용하는 방식과 마찬가지로 Gemini를 사용하고 있습니다. 즉, 아이디어를 구상하고 작업을 개선하는 데 도움이 되는 생산성 도구로 활용하는 것입니다. AI를 사용하여 완전히 새로운 공격 방법을 발명하는 대신, 그들은 전통적인 전술을 강화하고 있습니다. 저희는 고유한 AI 기반 공격이나 프롬프트 공격은 관찰하지 못했습니다.

좋은 소식은 Gemini의 안전 조치가 계속해서 적대적인 운영 능력을 제한하고 있다는 것입니다. Gemini는 콘텐츠 생성, 요약, 간단한 코딩과 같은 일반적이고 중립적인 작업에는 도움을 제공했지만, 더 정교하거나 명백히 악의적인 요청에는 안전 응답을 생성했습니다. 저희는 심지어 위협 행위자들이 Gmail과 같은 Google 제품을 악용하고, 데이터를 훔치며, 계정 인증을 우회하는 기술을 연구하기 위해 Gemini를 사용하려다 실패한 시도도 관찰했습니다.

방어자들은 AI를 어떻게 사용하고 있는가

다행스럽게도, 공격자들이 생산성 향상을 위해 사용하는 바로 그 AI 역량들이 방어 담당자들의 손에 들어가 적극적으로 활용될 때, 이는 전혀 다른 영향을 미칠 수 있습니다. 즉, 해당 역량들은 방어 담당자들을 훨씬 더 강력한 회복력을 갖추도록 만들 힘이 있기 때문입니다. 저희는 CISO들이 AI의 잠재력을 활용하기 위해 지금 당장 집중해야 할 사용 사례들을 추천합니다.

증가하는 사이버 위협의 양은 방어 담당자들의 업무량을 늘렸고, 개선된 자동화와 혁신적인 접근 방식에 대한 필요성을 야기했습니다. AI는 효율성 증대를 가능하게 하여 악성코드 분석, 취약점 연구 및 분석가 워크플로우를 지원하고 있습니다.

모든 악성코드 분석 도구의 진정한 시험대는 기존 방법으로는 탐지되지 않는 전례 없는 기술을 식별하는 능력에 있습니다. Gemini는 코드가 어떻게 작동하는지 깊이 이해하여 이전에 본 적 없는 위협까지도 포함한 새로운 위협을 발견할 수 있으며, 이러한 종류의 고급 분석을 더욱 광범위하게 활용할 수 있도록 지원합니다.

• 새로운 퍼징 하네스를 만들기 위해 대규모 언어 모델(LLM)을 사용한 저희의 현재 결과는 실제 가능성을 보여주고 있습니다. 저희는 OSS-Fuzz의 272개 C 및 C++ 프로젝트에서 최대 7,000%의 커버리지 증가를 달성했습니다
• Google Project Zero와 Google DeepMind는 Big Sleep이라는 프로젝트에서 협력했으며, 이 프로젝트는 이미 LLM을 사용하여 첫 번째 실제 환경의 취약점을 발견했습니다.
• Google에서는 보안 및 개인 정보 보호 인시던트 워크플로우의 속도를 높이기 위해 LLM을 사용하고 있습니다. Gemini는 인시던트 요약을 51% 더 빠르게 작성하도록 도와주며, 동시에 인간 검토자의 블라인드 평가에서 품질도 측정 가능하게 향상시킵니다.
• 저희는 또한 자체 분석가 워크플로우의 단순 반복 작업을 줄이기 위해 AI를 사용하고 있습니다. GTIG는 조사에서 수집된 수천 개의 이벤트 로그를 검토하고 몇 분 만에 이를 간결한 개요로 요약하여 인텔리전스팀 전체가 쉽게 이해할 수 있도록 하는 내부 AI 도구를 사용합니다. 이 과정은 이전에는 수 시간이 걸리는 작업이었습니다.
• 또 다른 내부 AI 도구는 고객이 직면한 핵티비스트 위협에 대한 중요한 정보를 제공하고 단순 반복 작업을 줄이는 데 도움을 주는데, 이는 AI 없이는 불가능했을 방식입니다. 저희 분석가들은 핵티비스트 그룹의 주요 소셜 채널(예: 텔레그램)을 AI 도구에 온보딩하고, 해당 채널에서 충분한 데이터를 수집하면 TTP, 선호하는 대상, 자신들이 수행했다고 주장하는 공격 등을 포함하여 그룹의 행동에 대한 포괄적인 보고서를 생성합니다. 그런 다음 해당 보고서는 GTIG 분석가에 의해 검토, 검증 및 편집됩니다.
• 오늘 저희가 다룬 내용은 AI가 현재 사이버 보안 환경을 어떻게 적극적으로 형성하고 있는지에 대한 극히 일부에 불과합니다. 만약 RSA 컨퍼런스 현장에서 이 글을 읽고 계신다면, Google Cloud Security Hub를 방문하셔서 저희 전문가들과 통합된 에이전트 AI(agentic AI)를 통해 이미 얻고 있는 실질적인 가치와 Google을 보안팀의 일원으로 만들어 함께 혜택을 누릴 수 있는 방법에 대해 이야기 나눠보시기 바랍니다.

여기에서 모든 RSA 컨퍼런스 발표 내용을 확인하실 수 있으며, 물론 언제든지 저희 CISO Insights Hub를 방문해 주십시오.

Google Cloud의 보안 관련 최신 소식

다음은 요청하신 RSAC 2025 관련 소식들의 한국어 번역입니다.

• 통찰에서 행동으로: M-Trends, 에이전트 AI, 그리고 RSAC 2025에서의 Google 방어 역량 강화 방안 최신 M-Trends 보고서부터 Google 통합 보안(Google Unified Security), 제품 포트폴리오, AI 역량에 대한 업데이트까지, RSAC에서 Google이 선보이는 새로운 소식들을 소개합니다C. Read more.
• RSAC 2025: 보안 운영에서의 에이전트 AI 시대 개막 에이전트 AI는 지능형 에이전트가 인간 분석가와 협력하여 보안팀에 근본적인 지각 변동을 가져올 것을 약속합니다. 에이전트가 활약할 미래에 대한 Google의 비전을 확인하세요. Read more.
• MCP를 활용한 AI 기반 보안 개방형 생태계 구축 Google Security Operations, Google Threat Intelligence, Security Command Center를 위한 오픈소스 모델 컨텍스트 프로토콜(MCP) 서버를 통해 여러분의 보안 도구에 AI를 적용해 보세요. 보안 도구를 LLM(대규모 언어 모델)에 연결하는 방법을 안내합니다. Read more.
• AI를 당신의 보안 조수처럼 활용하는 3가지 새로운 방법 생성형 AI는 이미 명확하고 강력한 보안 성과를 보여주고 있습니다. 기업이 지금 바로 도입할 수 있는 3가지 주요 활용 사례를 소개합니다. Read more.
• '사이버 현명한 이사회(Cyber Savvy Boardroom)' 팟캐스트를 시작합니다 Google이 새롭게 선보이는 월간 팟캐스트에서는 통찰력, 전문성, 리더십으로 인정받는 보안 및 비즈니스 리더들이 CISO 사무실 전문가들과 함께 가장 중요한 현안에 대해 논의합니다. Read more.
• RSA 2025 Google Cloud Security 완벽 가이드 전문가와의 네트워킹부터 혁신적인 클라우드 기술 시연 참관까지, RSA 컨퍼런스에서는 Google Cloud Security를 놓치지 마세요. Read more.

위협 인텔리전스 소식

• 제로데이 취약점 악용, 점진적 증가세 지속 Google 위협 인텔리전스 그룹(GTIG)이 2024년에 실제 공격에 악용된 제로데이 취약점 75개에 대한 종합적인 개요와 분석을 발표했습니다. 제로데이 취약점 악용은 느리지만 꾸준히 증가하고 있는 한편, 이를 완화하려는 기술 공급업체들의 노력이 성과를 거두기 시작한 것도 확인됩니다. Read more.
• M-Trends 2025: 최전선에서 확보한 데이터, 인사이트 및 권장 사항 올해로 16번째 발간되는 Google 연례 위협 인텔리전스 보고서는 2024년에 진행된 45만 시간 이상의 침해 사고 조사에서 도출된 데이터, 분석 결과 및 주요 시사점을 제공합니다. 현재의 사이버 위협과 공격자 전술에 대한 실질적인 인사이트를 제공하는 올해 보고서는 기업들이 변화하는 위협 환경을 이해하고 실제 데이터를 기반으로 방어 역량을 강화하도록 지원하는 Google의 노력을 이어가고 있습니다. Read more.

최신 팟캐스트

• 여러분의 이사회는 사이버 보안을 얼마나 잘 알고 있나요? (신규 팟캐스트 'Cyber Savvy Boardroom') 저희는 오랫동안 이사회가 기초적이면서도 최첨단인 사이버 보안 과제에 대한 최신 정보를 파악하는 것의 중요성을 강조해 왔습니다. 이것이 바로 저희 CISO 사무실의 데이비드 호모비치(David Homovich), 알리샤 케이드(Alicja Cade), 닉 고드프리(Nick Godfrey)가 진행하는 새로운 월간 팟캐스트, 'Cyber Savvy Boardroom (사이버 지혜를 갖춘 이사회)'을 시작한 이유입니다. 첫 세 편의 에피소드에는 캐런앤 터렐(Karenann Terrell,), 크리스티안 카람(Christian Karam,), 돈 캘러핸(Don Callahan)을 비롯하여 직관, 전문성, 가이던스로 잘 알려진 보안 및 비즈니스 리더들이 출연합니다. Listen here.
• 클라우드 보안 취약점 포상금, 어떻게 운영되고 있을까요? 클라우드 규모의 취약점 대응부터 훌륭한 취약점 보고서의 조건까지, Google Cloud의 마이클 코트(Michael Cote)와 아다르쉬 카루마틸(Aadarsh Karumathil)이 호스트 안톤 추바킨(Anton Chuvakin), 팀 피콕(Tim Peacock)과 함께 끊임없이 진화하는 취약점 보고서 포상금의 세계에 대해 토론합니다. Listen here.
• Defender’s Advantage 팟캐스트: Windows RDP가 악당의 도구로? UNC5837 사례 분석 호스트 루크 맥나마라(Luke McNamara)가 GTIG 선임 보안 연구원 로힛 남비아르(Rohit Nambiar)와 함께 UNC5837의 흥미로운 Windows 원격 데스크톱 프로토콜(RDP) 사용 사례에 대해 논의합니다. Listen here.
• Behind the Binary 팟캐스트: 악성코드와의 전쟁, 커뮤니티의 힘 - abuse.ch 이야기 커뮤니티 주도 위협 인텔리전스의 미래와, 전 세계 사이버 보안 커뮤니티가 위협 행위자에 맞서기 위해 구축하고 운영하는 핵심 비영리 프로젝트인 abuse.ch에 대해 설립자 로만 휘시(Roman Huessy)와 이야기 나눕니다. Listen here.

Cloud CISO Perspectives 소식을 월 2회 이메일로 받아보시려면 뉴스레터를 구독하세요. 몇 주 후 Google Cloud의 새로운 보안 관련 업데이트로 다시 찾아뵙겠습니다.