Google Security Operations, 떠오르는 위협에 대한 전문 센터 'Emerging Threats Center' 출범

해당 블로그의 원문은 2025년 11월 13일 Google Cloud 블로그(영문)에 게재되었습니다. 

주요 취약점이 헤드라인을 장식하면, CISO들은 자신의 조직이 영향을 받았는지, 그리고 대비가 되어 있는지 신속하게 파악하고 싶어 합니다. 하지만 정확한 답을 얻는 과정은 종종 많은 시간과 인력이 소요되는 프로세스로, 며칠 또는 몇 주가 걸릴 수 있습니다. 이는 알려지지 않은 위협에 노출되는 위험한 공백기를 남기게 됩니다.

이러한 격차를 해소하기 위해, 오늘 저희는 Google Security Operations의 Emerging Threats Center를 소개합니다. 오늘부터 Google Security Operations 라이선스 고객이 사용할 수 있는 이 새로운 기능은 탐지 엔지니어링을 확장하는 핵심적이고 실질적인 문제를 해결하고, 팀이 위협 인텔리전스를 운영에 적용하는 방식을 혁신하는 데 도움을 줄 수 있습니다.

Gemini 기반으로 구동되는 저희의 탐지 엔지니어링 에이전트는 Google 위협 인텔리전스가 탐지한 새로운 위협 캠페인에 대응하며, Mandiant, VirusTotal 및 Google 전반의 최전선 인사이트를 포함합니다. 이는 대표적인 이벤트를 생성하고, 탐지 범위를 평가하며, 탐지 공백을 메웁니다.

새로운 위협 센터는 여러분이 중대한 위협 캠페인의 영향을 받았는지 이해하는 데 도움을 주며, 앞으로도 안전하게 보호받을 수 있도록 탐지 커버리지를 제공합니다.

새로운 위협에 대한 캠페인 기반 우선순위 지정

새로운 위협으로부터 보호하는 과정은 오랫동안 수동적이고 사후 대응적인 순환 작업이었습니다. 이는 위협 분석가들이 보고서를 샅샅이 검토하여 새로운 캠페인 활동을 식별하고, 이를 탐지 엔지니어를 위한 침해 지표(IoC)로 변환하는 것으로 시작됩니다. 그다음, 엔지니어링 팀은 수동으로 새로운 탐지 규칙을 작성, 테스트 및 배포합니다.

너무나 자주, 저희는 고객과 보안 운영팀으로부터 이처럼 노동 집약적인 프로세스가 조직을 힘겹게 만든다는 이야기를 듣습니다. Google Cloud를 대신하여 Forrester Consulting이 수행한 의뢰 연구인 올해의 위협 인텔리전스 벤치마크에 따르면, IT 및 사이버 보안 리더의 59%가 '위협 인텔리전스 데이터에서 명확한 조치를 도출하기 어렵다'고 응답했습니다.

새로운 위협 센터는 방대한 양의 위협 인텔리전스 데이터를 면밀히 검토하여, 조직에 가장 관련성 높은 위협 캠페인을 보안팀이 발견하고 이에 대한 선제적 조치를 취할 수 있도록 돕습니다.

분석가들은 이제 기존의 알림 대기열에서 시작하는 대신, 자신들의 특정 환경에 가장 큰 위험을 초래하는 위협을 단일 뷰에서 확인할 수 있습니다. 이 뷰에는 이벤트 데이터 및 탐지 규칙 내 IoC의 존재 여부에 대한 세부 정보가 포함됩니다.

예를 들어, 새로운 제로데이 취약점이 나타났을 때, 분석가들은 더 이상 블로그 게시물과 알림 대기열을 수동으로 교차 확인할 필요가 없습니다. 캠페인 정보, 자신의 환경에 맞게 이미 컨텍스트화된 IoC, 그리고 적용해야 할 특정 탐지 규칙을 즉시 확인할 수 있습니다. 이러한 전체적인 접근 방식은 중대한 침해가 발생하기 전에 가장 시간에 민감한 위협을 선제적으로 추적하는 데 도움을 줍니다.

이 모든 것을 가능하게 하는 것은 Google Security Operations의 Gemini이며, 이는 우리가 탐지 규칙을 설계하는 방식을 혁신합니다. 최전선의 위협 인텔리전스를 지속적으로 수집하여, 새로운 위협에 대해 기존의 탐지 체계를 자동으로 테스트할 수 있습니다. 탐지 공백이 발견되면, Gemini는 분석가가 승인할 수 있도록 완전히 검증된 새로운 탐지 규칙을 생성합니다. 이 체계적이고 자동화된 워크플로우는 여러분이 최신 위협으로부터 안전하게 보호받을 수 있도록 보장합니다.

노출 수준 파악 및 방어 태세 상세화

저희의 캠페인 기반 접근 방식은 중대한 위협 이벤트 발생 시 보안팀이 직면하는 가장 중요한 두 가지 질문에 대한 명확한 답변을 제공할 수 있습니다: 우리는 얼마나 영향을 받았는가? 그리고 우리는 얼마나 잘 준비되어 있는가?

우리는 얼마나 영향을 받았는가?

가장 우선순위는 여러분의 노출 수준을 파악하는 것입니다. 새로운 위협 센터는 다음 두 가지 방식으로 캠페인 인텔리전스를 여러분의 데이터와 상호 연관시켜, 현재 및 과거의 위협을 환경 내에서 찾는 데 도움을 줍니다.

• IoC 일치: 지난 12개월간의 보안 원격 측정 데이터에서 캠페인 관련 IoC를 자동으로 검색하고 우선순위를 지정합니다.

• 탐지 일치: 해당 위협 캠페인에 직접 매핑된 선별된 탐지 규칙에서 일치하는 항목을 즉시 표시합니다.

이 두 가지 일치 항목은 여러분의 조사 워크플로우에 대한 명확한 시작점을 제공합니다.

우리는 얼마나 잘 준비되어 있는가?

새로운 위협 센터는 앞으로 여러분이 안전하게 보호받고 있다는 것을 증명하는 데에도 도움을 줍니다. 이 기능은 다음 두 가지 핵심 사실을 확인하게 함으로써, 여러분의 방어 태세에 대한 즉각적인 확신을 제공할 수 있습니다.

• 해당 캠페인과 관련된 현재 또는 과거의 IoC(침해 지표)나 탐지 이력이 없음.

• 향후 악의적인 활동이 나타날 경우 이를 즉시 차단할 수 있도록, 관련성이 높은 캠페인별 탐지 규칙이 활성화되어 준비된 상태.

내부 작동 원리: 탐지 엔지니어링 엔진

새로운 위협 센터는 Gemini 모델과 AI 에이전트를 활용하여 탐지 엔지니어링 라이프사이클을 획기적으로 단축시키는, 탄력적이고 자동화된 시스템을 기반으로 구축되었습니다.

작동 방식은 다음과 같습니다.

첫째, 인텔리전스를 수집합니다. 이 시스템은 Mandiant의 최전선 사고 대응 경험, Managed Defense 고객, 그리고 Google의 독보적인 글로벌 가시성에서 수집된 Google 위협 인텔리전스 캠페인으로부터 탐지 기회를 자동으로 수집합니다. Gemini는 수천 개의 실제 공격 활동 원본 샘플 이벤트에서 캠페인과 관련된 뚜렷한 탐지 기회들을 추출해냅니다.

다음으로, 가상 이벤트를 생성합니다. 저희는 인텔리전스에 기술된 공격자의 전술, 기술 및 절차(TTP)를 정확하게 모방하는, 익명화된 고품질의 가상 이벤트 데이터를 생성합니다. 자동화된 파이프라인을 사용하여 고품질 가상 로그 이벤트 모음을 생성함으로써, 테스트를 위한 견고한 데이터셋을 제공합니다.

그런 다음, 탐지 범위를 테스트합니다. 이 시스템은 가상 데이터를 사용하여 기존의 탐지 규칙 세트를 테스트하고, 새로운 위협에 대해 얼마나 잘 대비되어 있는지에 대한 신속하고 실증적인 답변을 제공합니다. 이 자동화된 테스트 파이프라인은 탐지 범위에 대한 답변을 신속하게 제공합니다.

그 후, 규칙 생성을 가속화합니다. 탐지 공백이 발견되면, 이 프로세스는 Gemini를 사용하여 새로운 규칙을 자동으로 생성하고 평가합니다. Gemini는 새로운 탐지 규칙의 초안을 작성하고, 그 로직과 예상 성능에 대한 요약을 제공하여, 실제 운영 환경에 적용 가능한 규칙을 만드는 데 걸리는 시간을 며칠에서 몇 시간으로 단축시킵니다.

마지막으로, 사람의 검토를 거칩니다. 새로 생성된 규칙은 'Human-in-the-loop'(사람이 개입하는) 보안 분석가에게 제출되며, 분석가는 배포 전에 새로운 규칙을 심사하고 검증할 수 있습니다. AI는 최선을 다해야 했던 수동 프로세스를 체계적이고 자동화된 워크플로우로 전환하는 데 도움을 주었습니다. 새로운 탐지 규칙을 해당 인텔리전스 캠페인과 직접 연결할 수 있게 함으로써, 여러분이 최신 위협에 대비할 수 있도록 돕습니다.

Fiserv의 사이버 보안 운영 부문 수석 부사장인 론 스몰리(Ron Smalley)는 이렇게 말했습니다. "진정한 전략적 변화는 단일 지표들을 넘어서서 근본적인 공격자의 행동을 체계적으로 탐지하는 것으로 나아가는 것입니다. 그것이 바로 우리가 앞서나가고 계속해서 우위를 점하는 방법입니다. Google의 깊이 있는 인텔리전스 가시성을 기반으로 한, 즉시 사용 가능한 행동 기반 규칙들은 우리가 그 목표에 도달하는 데 도움을 줍니다."

이 모든 것을 가능하게 하는 전체 프레임워크에 대해 더 깊이 알고 싶으시다면, 응용 위협 인텔리전스에 대해 더 읽어보시고 Google Security Talks 기조연설을 시청해 보세요.