위협 인텔리전스와 AI를 기반으로 하는 보안 운영(SecOps)의 시대로 안내하는 "Google Security Operations"

* 본 아티클의 원문은 2024년 5월 7일 Google Cloud 블로그(영문)에 게재되었습니다.

생성형 AI 시대가 본격화되면서 보안팀은 이 기술을 활용하는 보안 솔루션을 찾아 나서고 있습니다. 이러한 솔루션은 보안 운영(SecOps)의 생산성을 높이는 동시에 방어자가 새로운 위협을 더 빠르게 발견해 대처할 수 있게 돕습니다.

미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 구글은 보안 포트폴리오에 적용한 생성형 AI 기술로 가능해진 새로운 혁신에 대해 소개하였습니다. 이 혁신에는 구글 위협 인텔리전스와 Google Security Operations의 최신 버전이 포함됩니다. 이번 업데이트를 통해 Google Security Operations는 보안 운영의 복잡성을 줄이고, 조직의 보안 운영 센터(SOC)의 작업 효율을 높이는 도구로 거듭났습니다.

위협 인텔리전스를 실행 가능한 정보로 활용하기

구글 클라우드 넥스트 '24(Google Cloud Next '24)에서 구글은 위협 인텔리전스가 어떻게 더 적은 노력으로 더 많은 위협을 발견하고, 위협 헌팅과 조사 과정을 간소화하는지 소개하였습니다. 관련해 좋은 소식을 하나 더 공유합니다. 구글은 AI가 새로운 위협을 자동으로 탐지하는 기능을 올해 말에 공개할 예정입니다. 올해 말에 Google Security Operations에 적용할 새로운 기능은 조직의 환경에서 악의적인 활동을 식별하고, 분류와 대응 방안을 안내할 것입니다.

IDC의 연구 디렉터인 Michelle Abraham은 "Google Security Operations는 독특한 위협 인텔리전스와 여러 고급 기능을 플랫폼에 통합하여 제공합니다. 이런 접근은 보안팀이 최신 위협을 복잡한 방법을 쓰지 않고 쉽게 파악할 수 있게 돕습니다. 구글은 알려진 위협과 새로운 위협과의 싸움에서 조직을 돕는 파트너가 될 수 있습니다."라고 말합니다.

최신 위협을 식별하는 탐지 기능 활용하기

Google Security Operations는 더 나은 결과를 제공하고, 수작업을 줄이기 위해 탐지 기능을 제공합니다. 구글과 맨디언트 전문가들이 꾸준히 개발하여 업데이트하는 탐지 기능은 고객 환경을 노리는 위협을 찾는 데 큰 도움이 됩니다. 최근 많은 조직이 주목하고 있는 Google Security Operations의 새로운 탐지 기능은 다음과 같습니다.

• 클라우드 탐지: 서버리스 위협, 암호화폐 채굴 등 다양한 위협을 감지할 수 있습니다. 구글 클라우드 및 Security Command Center Enterprise 조사 결과, 비정상 사용자 행위 규칙, 머신 학습을 사용해 생성한 우선순위가 지정된 엔드포인트 경고 목록을 활용합니다. 또한, AWS의 ID, 컴퓨팅, 데이터 서비스, 시크릿 관리 등 기본적인 보안 영역도 커버합니다. 그뿐만 아니라 맨디언트 매니지드 디펜스 팀의 학습을 기반으로 하는 추가 감지 기능도 제공합니다. 이 기능은 Google Security Operations Enterprise 및 Enterprise Plus에서 이용할 수 있습니다.

• 최전선 위협 탐지: 맨디언트 팀이 발견한 새로운 공격 방법으로부터 조직을 보호하는 기능입니다. 특정 국가의 후원을 받는 위협 행위자와 새로 발견된 맬웨어 패밀리의 TTP(전술, 기술, 절차)를 기반으로 위협을 탐지합니다. 이 기능은 Google Security Operations Enterprise Plus에서 사용할 수 있습니다.

AI 기반 보안 운영으로 보안팀의 생산성 향상

보안 운영에 Gemini를 통합하면 보안팀의 역량을 높일 수 있습니다. Gemini는 보안 분석가가 검색을 위한 쿼리를 작성하고 실행하고 필요에 맞게 수정하는 과정과 시간을 대폭 줄입니다. 보안팀은 Gemini의 도움으로 추가적인 맥락을 검색하고, 위협 행위자들의 캠페인과 전술을 더 깊이 이해하고, 대응 절차에 바로 들어가고, 다음 단계에 대한 지침을 받을 수 있습니다. 이 모든 작업은 자연어로 이루어집니다. 구글은 최근 보안 운영 지원 관련 두 가지 새로운 Gemini의 기능을 소개하였습니다.

Investigation Assistant

최근 GA로 Investigation Assistant가 공개되었습니다. 이 기능을 활용하면 보안 전문가는 이벤트를 요약하고, 위협을 추적하고, 룰을 만들어 조치를 취하는 과정에서 Gemini의 도움을 받을 수 있습니다. 이를 통해 더 빠르고 정확하게 위협에 대응할 수 있습니다.

Playbook Assistant

이 기능은 현재 프리뷰로 공개되었습니다. Playbook Assistant 기능을 이용하면 보안팀은 플레이북을 손쉽게 만들 수 있습니다. 전문적인 지식이 없어도, 많은 시간을 들이지 않아도 이제 플레이북을 생성할 수 있습니다.

자동 파싱으로 수작업 줄이기  

보안 운영에서 데이터를 시스템에 입력하고 파이프라인을 유지하는 작업은 꼭 필요합니다. 문제는 이 작업에 많은 시간이 들어간다는 것입니다. 로그 소스가 바뀌거나 새로운 필드를 추출할 때마다 보안 엔지니어와 아키텍트는 새로운 파싱 로직을 작성하고 이전 버전과 호환성을 유지하기 위해 많은 시간을 투자합니다.

구글은 이런 수고를 덜어주기 위해 Google Security Operations에 새로운 기능을 추가합니다. 이 기능을 활용하면 보안팀은 로그 파일을 자동으로 파싱하여 모든 키-값 쌍을 추출하고, 이를 검색, 규칙 설정, 분석에 활용할 수 있습니다. 현재 프리뷰로 공개된 구글이 제공하는 자동 파싱 기능을 활용하면 파서 유지 관리 부담을 줄이고, 사용자 정의 파서 작성에 드는 시간을 크게 줄일 수 있습니다. 현재 JSON 기반 로그를 지원하며, 향후 다른 로그 형식도 지원할 예정입니다. 자동 파싱 기능은 보안팀이 필요한 데이터와 맥락을 갖추어 더 신속하고 효과적인 조사와 탐지를 가능하게 합니다.

보안 수준을 한 단계 끌어올리기

Google Security Operations는 맨디언트 매니지드 디펜스 및 맨디언트 헌트와 협력하여 조직의 위험을 줄이는 데 도움을 줍니다. 맨디언트의 경험 많은 방어 전문가, 위협 분석가, 위협 헌팅 전문가 조직이 Google Security Operations의 AI 기능과 함께 신속하게 위협을 모니터링하고 탐지, 분류, 조사, 대응을 지원합니다.

특별한 요구 사항을 가진 공공 부문 고객은 Google SecOps CyberShield를 활용하면 됩니다. 이 서비스는 전 세계 정부 기관이 강화된 사이버 위협 대응 능력을 구축할 수 있도록 돕습니다. Google Security Operations과 Google Cloud Security 포트폴리오에 대해 알고 싶다면 RSA 행사장의 구글 부스(N5644)를 방문해 주세요. 크롬 엔터프라이즈 생태계를 비롯해 다양한 정보를 얻을 수 있습니다. 또한, 구글이 진행하는 기조연설, 세션 발표, 네트워킹 모임에도 참여해 보세요.

RSA 행사에 참석하지 않는다면 5월 22일 수요일 오전 11시(PDT)에 열리는 웨비나를 통해 이번 포스팅에 소개한 내용과 관련된 상세 정보를 확인할 수 있습니다.