Cloud CISO Perspectives: 정부가 AI를 활용해 위협 탐지 역량을 강화하고 비용을 절감하는 방법

* 해당 블로그의 원문은 2025년 5월 31일 Google Cloud 블로그(영문)에 게재되었습니다.

2025년 5월 두 번째 Cloud CISO Perspectives에 오신 것을 환영합니다. 오늘 CISO 사무실의 공공 부문 자문인 Enrique Alvarez가 정부 기관이 AI를 활용하여 위협 탐지 역량을 강화하고 동시에 비용을 절감할 수 있는 방법을 소개합니다.

모든 Cloud CISO Perspectives와 마찬가지로, 이 뉴스레터의 내용은 Google Cloud 블로그에도 게시됩니다. 웹사이트에서 이 글을 읽고 계시며 이메일 버전 구독을 원하시면 여기에서 신청하실 수 있습니다.

최적의 효율성으로 위협에 대응: AI로 보안 강화와 비용 절감을 동시에

Enrique Alvarez, public sector advisor, Office of the CISO

AI의 정의와 기능에 대한 논의는 종종 과장될 때가 많습니다. 하지만 정부 기관의 경우, 다양한 AI 유형을 명확하게 이해하는 것이 매우 중요합니다. AI는 본질적으로 기계가 학습, 문제 해결, 의사 결정과 같은 인간의 인지 기능을 시뮬레이션하는 능력을 의미합니다. 이 광범위한 정의는 규칙 기반 시스템부터 복잡한 신경망에 이르기까지 모든 것을 포괄합니다.

위협의 범위: 정부 기관의 고유한 위험 프로파일

수십 년간 임시방편으로 마련된 방어 조치들로 인해 사이버 보안 위협은 정부 기관에 매우 심각한 과제를 안겨주고 있습니다.

기관 전반에 걸쳐 명확한 전략과 표준화가 부족하여 파편화된 보안 태세와 제한적인 공동 운영 상황 인지로 이어졌습니다. 이는 효과적인 위협 탐지 및 공동 대응을 방해합니다. 이러한 분산된 접근 방식은 취약점을 만들고, 시의적절하고 실행 가능한 위협 인텔리전스를 공유하는 것을 어렵게 만듭니다.

많은 공공 부문 조직은 소규모 팀으로 구성된 보안 관제 센터(SOC)를 운영하고 있습니다. 이러한 자원 제약은 복잡한 네트워크를 효과적으로 모니터링하고, 끊임없이 증가하는 경보를 분석하며, 위협을 사전에 탐색하는 데 어려움을 만듭니다. 경보 과부하alert fatigue와 번아웃은 이러한 환경에서 심각한 문제입니다.

공급업체 종속성으로 인한 위험 증가

또 다른 중요한 요인은 많은 정부 기관이 사실상 특정 공급업체 종속성을 가진환경에서 운영되고 있다는 점입니다. 운영 체제, 업무용 소프트웨어, 그리고 핵심 업무에 단일 공급업체에 크게 의존하는 것은 위험을 크게 증가시킵니다.

이러한 도구들은 직원들에게 익숙하지만, 그 보편성 때문에 피싱 캠페인이나 취약점 공격의 매력적인 통로가 되기도 합니다. 미국 국토안보부의 사이버 안전 검토 위원회(Cyber Safety Review Board)는 이러한 위험을 강조하며 디지털 신원 보호를 위한 권장 사항을 제공했습니다. 기관들은 이러한 환경을 안전하게 보호하고, 장기적으로 유연성을 제한하고 비용을 증가시킬 수 있는 공급업체 종속성과 관련된 위험을 완화하는 데 경계해야 합니다.

The prevalence of legacy on-premises databases and increasingly complex multicloud infrastructure adds another layer of difficulty. Securing outdated systems alongside diverse cloud environments requires specialized skills and tools, further straining resources and potentially introducing vulnerabilities.

이와 더불어, 기존의 온프레미스(on-premises) 데이터베이스와 점점 복잡해지는 멀티클라우드(multicloud) 인프라의 확산은 또 다른 어려움을 더하고 있습니다. 다양한 클라우드 환경과 함께 노후된 시스템을 보호하려면 특별한 기술과 도구가 필요해 자원에 더 큰 부담을 주고 잠재적인 취약점을 초래할 수 있습니다.

이러한 다면적인 과제를 해결하려면 표준화, 강력한 보안 관행, 리소스 최적화에 초점을 맞춘 전략적이고 체계적인 노력이 필요합니다.

AI가 돕는 방법: 위협 탐지의 미래를 자동화하다

AI 기반 위협 탐지 모델은 더욱 탄력적인 사이버 보안 태세를 구축할 수 있는 유망한 길을 제시합니다. AI의 고급 기능을 실시간 사이버 보안 인텔리전스 및 도구와 결합하면 핵심 사이버 보안 워크플로우를 크게 간소화할 수 있습니다.

이전에는 근본 원인 분석, 위협 분석, 취약점 영향과 같은 워크플로우에 많은 인력 투자가 필요했습니다. 하지만 우리가 보았듯이, AI 기반 자동화는 위협 환경의 진정한 범위를 파악하기 위한 확장에 중요한 도움을 주며, 완료 시간을 단축할 수 있습니다. Google Cloud에서는 이미 보안 분야에서 AI의 이점을 확인하고 있으며, 다음 세 가지 사례가 이를 증명합니다.

하지만 정부 기관이 최적의 효과를 얻으려면 맞춤형 접근 방식이 필요합니다.

공공 부문 네트워크는 민간 기업과 다른 고유한 구성, 레거시 시스템, 보안 중심 워크플로우를 가지고 있습니다. 기관별 로그, 네트워크 트래픽 패턴, 과거 사고 데이터와 같은 데이터를 수집함으로써, AI 모델은 기준 행동을 학습하고, 편차를 더 정확하게 식별하며, 오탐을 줄이고, 공공 부문 네트워크에 특화된 위협 탐지율을 향상시킬 수 있습니다.

에이전트형 AI(agentic AI) 기반 위협 탐지에 내재된 자동화를 추가하면 더 나은 보안과 지속 가능한 운영이 가능해집니다. 보안 경보에 대한 초기 분류 및 분석을 자동화함으로써 정부 기관은 더욱 효율적으로 대응하고, 리소스 할당을 예측하며, 더 정확한 사이버 보안 예산을 수립할 수 있습니다. 이러한 자동화는 일상적인 작업에 대한 지속적인 수동 개입 필요성을 줄여 예측 가능한 운영 비용을 확보하고 사이버 보안 팀의 효율성을 높일 수 있습니다.

궁극적으로 위협 탐지 자동화는 보안 관제 센터(SOC) 직원의 역량을 극대화하고 반복적인 작업을 줄여 팀이 가장 중요한 경보에 집중할 수 있도록 합니다. 초기 경보 분석 및 기본적인 위협 상관관계 분석과 같은 반복적인 작업을 에이전트형 AI에 맡기면, 전문 분석가는 더 복잡한 조사, 선제적인 위협 탐색, 전략적 보안 계획에 집중할 수 있습니다. 이러한 변화는 직무 만족도를 향상시킬 뿐만 아니라 SOC의 전반적인 효과와 효율성을 높일 수 있습니다.

Google Cloud의 CISO 사무실은 AI를 도입함으로써 전체 예산이 줄어들더라도 위협 탐지를 개선할 수 있다고 확신합니다. 때로는 '더 적은 자원으로 더 많은 일'을 해낼 수 있습니다.

AI를 안전하고 확실하게 구현하는 방법에 대해 더 자세히 알아보려면 피해야 할 일반적인 생성형 AI 실수에 대한 저희의 연구 자료를 확인해 보세요.

Google Cloud Security 최신 소식

이번 달 저희 보안팀의 최신 업데이트, 제품, 서비스 및 리소스는 다음과 같습니다.

• 보안 운영 현대화를 위한 10가지 실행 가능한 교훈: Google Cloud의 CISO 사무실이 제조업 부문에서 배운 보안 운영 현대화 방법을 공유합니다. Read more.
• 양자 인수분해 비용 추적: 현재 암호화 알고리즘을 해독할 수 있는 미래 양자 컴퓨터의 규모와 성능을 어떻게 특징짓는지에 대한 최신 연구를 업데이트했습니다. Read more.
• 기밀 컴퓨팅이 신뢰할 수 있는 AI의 기반을 마련하는 방법: 기밀 컴퓨팅은 조직이 클라우드에서 가장 민감한 데이터를 안전하게 처리하는 방식을 재정의했습니다. 어떤 새로운 점이 있는지 알아보세요. Read more.

이번 달에 발행된 더 많은 보안 관련 소식은 Google Cloud 블로그에서 확인하실 수 있습니다.

위협 인텔리전스 소식

• 사이버 범죄자들이 가짜 AI 테마 웹사이트를 무기화하는 방법: Mandiant Threat Defense는 작년 11월부터 가짜 AI 동영상 생성 웹사이트를 이용해 악성코드를 유포하는 UNC6032 캠페인을 조사해왔습니다. 저희가 확인한 내용은 다음과 같습니다. Read more.
• 캘린더를 C&C(Command-and-Control) 서버로 악용: Google Threat Intelligence Group(GTIG)은 Google Calendar를 명령 및 제어(Command-and-Control)에 이용하는 악성코드를 발견했습니다. 이 악성코드는 공격받은 정부 웹사이트에 호스팅되어 다른 정부 웹사이트를 공격하는 데 사용되었습니다. 이 활동은 APT41의 소행으로 분석됩니다. Read more.
• 최전선에서 얻은 사이버 범죄 강화 지침: 현재 미국 유통 부문이 랜섬웨어 공격의 표적이 되고 있으며, GTIG는 이를 Scattered Spider라고도 알려진 UNC3944와 연관된 것으로 보고 있습니다. UNC3944는 사회 공학적 기법을 끈질기게 사용하고 피해자에게 대담하게 소통하는 것을 특징으로 하는 금전적 동기의 위협 행위자입니다. 이들의 위협 활동에 대응하기 위한 최신 선제적 강화 권장 사항을 소개합니다. Read more.

이번 달에 발행된 더 많은 위협 인텔리전스 관련 소식은 Google Cloud 블로그에서 확인하실 수 있습니다.

최신 팟캐스트

• Betting on the future of security operations with AI-native MDR AI 기반 MDR(Managed Detection and Response)은 어떤 점을 잘하고 있으며, 어떤 점이 부족할까요? 기존의 보안 운영 방식과 비교했을 때 어떤 차이가 있을까요? Tenex.AI의 Eric Foster와 Venkata Koppaka가 진행자 Anton Chuvakin, Tim Peacock와 함께 MDR의 미래에 대해 열띤 토론을 나눕니다. Listen here.
• AI supply chain security: Old lessons, new poisons, and agentic dreams AI 공급망은 다른 소프트웨어 공급망과 어떻게 다를까요? 에이전트형 AI(agentic AI)가 스스로를 보호할 수 있을까요? Google Cloud 보안 설계자 Christine Sizemore가 Anton, Tim과 함께 공급망의 연결고리에 대해 설명합니다. Listen here.
• What we learned at RSAC 2025 Anton과 Tim이 올해 참가했던 RSA Conference 경험에 대해 이야기합니다. 복잡한 오늘날의 정보 보안 환경에서 컨퍼런스 현장은 어떤 모습이었을까요? Listen here.
• How boards can address AI risk 전략적 자문가이자 투자자인 Christian Karam이 CISO 사무실의 Alicja Cade, David Homovich와 함께 이사회가 AI 관련 위험을 해결하는 데 있어 어떤 중요한 역할을 할 수 있는지에 대해 대화를 나눕니다. Listen here.
• Defender’s Advantage: Confronting a North Korean IT worker incident Mandiant 컨설팅의 J.P. Glab이 진행자 Luke McNamara와 함께 북한 IT 인력의 활동과 Mandiant의 대응 방안에 대해 이야기합니다. Listen here.

Cloud CISO Perspectives 게시물을 한 달에 두 번 이메일로 받아보려면 뉴스레터를 신청하세요. 몇 주 후에 더 많은 Google Cloud의 보안 관련 소식으로 돌아오겠습니다.