보안 운영에 에이전트 AI 시대의 서막

* 해당 블로그의 원문은 2025년 4월 29일 Google Cloud 블로그(영문)에 게재되었습니다. 

끊임없이 쏟아지는 경고와 반복적인 업무를 처리해야 하는 일상의 고된 작업은 보안팀에게 큰 부담을 주고 있습니다. 방어 담당자들은 진화하는 위협을 따라잡기 위해 애쓰는 경우가 너무 많지만, 급속한 AI 발전 속도는 이러한 상황이 지속될 필요가 없음을 의미합니다.

RSA 컨퍼런스에서 저희는 M-Trends 2025를 소개하고 방어 담당자들을 어떻게 지원하고 있는지 논의하는 한편, AI 에이전트가 보안 운영에 어떻게 도움을 줄 수 있는지에 대한 저희의 비전을 자세히 설명했습니다.

에이전트 AI(Agentic AI)는 지능형 에이전트가 인간 분석가와 함께 일하면서 보안팀에 근본적이고 지각 변동과 같은 변화를 약속합니다. 이들은 일상적인 작업을 자율적으로 처리하고, 인간의 의사 결정을 강화하며, 워크플로우를 자동화하고, 가장 중요한 것, 즉 인간의 전문 지식을 진정으로 필요로 하는 복잡한 조사 및 전략적 과제에 집중할 수 있도록 지원합니다.

에이전트 AI의 미래

지원형 AI(Assistive AI)가 주로 인간 분석가의 행동을 돕는 반면, 에이전트 AI는 한 걸음 더 나아가 목표 달성을 위해 독립적으로 작업을 식별하고, 추론하며, 동적으로 실행할 수 있습니다. 이 모든 과정에서 인간 분석가는 계속 상황을 파악하고 통제할 수 있습니다.

보안을 위한 이러한 에이전트 미래에 대한 저희의 비전은 현재 고객들이 Gemini 보안 운영(Gemini in Security Operations)을 통해 경험하고 있는 실질적인 이점을 기반으로 합니다.

Apex Fintech Solutions의 수석 정보 보안 이사인 헥터 페냐(Hector Peña)는 "더 이상 분석가들이 30분에서 1시간씩 걸리는 정규 표현식을 작성할 필요가 없습니다. Gemini는 단 몇 초 만에 이를 해낼 수 있습니다."라고 말했습니다.

저희는 에이전트 AI가 보안 운영을 혁신할 것이라고 믿습니다. 여러 연결된 사용 사례 기반 에이전트로 구동되는 에이전트 보안 운영 센터(SOC)는 방어 담당자를 대신하여 반자율적 및 자율적 보안 운영 워크플로우를 실행할 수 있습니다.

에이전트 SOC

저희는 Gemini 보안(Gemini in Security)을 통해 에이전트 SOC를 위한 도구를 빠르게 구축하고 있습니다. 이달 초 Google Cloud Next에서 저희는 두 가지 새로운 Gemini 보안 에이전트를 소개했습니다.

Google 보안 운영(Google Security Operations)에서 경고 분류 에이전트는 사용자를 대신하여 동적 조사를 수행합니다. 2025년 2분기에 일부 선정된 고객을 대상으로 프리뷰(미리보기)로 선보일 예정인 이 에이전트는 각 경고의 맥락을 분석하고, 관련 정보를 수집하며, 경고에 대한 최종 판단을 내립니다.

또한, 이 에이전트의 증거, 추론 및 의사 결정 과정에 대한 완전히 투명한 감사 로그도 제공합니다. 항상 작동하는 이 조사 에이전트는 매일 수백 개의 경고를 분류하고 조사해야 하는 1차 및 2차 분석가들의 수동 작업량을 대폭 줄여줄 것입니다.

Google 위협 인텔리전스(Google Threat Intelligence)에서 악성코드 분석 에이전트는 리버스 엔지니어링 작업을 수행하여 파일의 악성 여부를 판단합니다. 2025년 2분기에 일부 선정된 고객을 대상으로 프리뷰(미리보기)로 선보일 예정인 이 에이전트는 코드 난독화 해제를 위한 스크립트 생성 및 실행 기능을 포함하여 잠재적으로 악성일 수 있는 코드를 분석합니다. 에이전트는 작업 내용을 요약하고 최종 판단 결과를 제공할 것입니다.

이러한 투자를 바탕으로 구축되는 에이전트 기반 SOC(보안 운영 센터)는 인간 분석가와 협력하여 효율성을 기하급수적으로 향상시키는 연결된 다중 에이전트 시스템입니다. 이 지능형 에이전트들은 보안 및 위협 관리를 근본적으로 변화시키도록 설계되었으며, 분석가와 함께 일반적인 작업과 워크플로우를 자동화하고, 의사 결정을 개선하며, 궁극적으로 복잡한 위협에 더 집중할 수 있도록 지원합니다.

이러한 비전이 실제로 어떻게 적용되는지 설명하기 위해, 에이전트와의 협업이 일상적인 보안 작업을 어떻게 변화시킬 수 있는지 보여주는 다음 예시들을 살펴보겠습니다. Google Cloud는 많은 중요한 SOC(보안 운영 센터) 기능이 자동화되고 통합 관리될 수 있다고 믿습니다.

• 데이터 관리: 데이터 품질을 보장하고 데이터 파이프라인을 최적화합니다.

• 경고 분류: 경고의 우선순위를 지정하고 필요한 경우 상위 단계로 전달합니다. 

• 조사: 증거를 수집하고 경고에 대한 최종 판단을 제공하며, 각 분석 단계를 문서화하고 대응 메커니즘을 결정합니다. 

• 대응: 엔드포인트 격리와 같은 수백 가지 통합 기능을 사용하여 문제를 해결합니다.

• 위협 연구: 위협 헌트 에이전트와 같은 다른 에이전트에게 인텔리전스를 분석하고 배포하여 부서 간 정보 단절을 해소합니다. 

• 위협 헌팅: Google 위협 인텔리전스(Google Threat Intelligence)의 데이터를 활용하여 환경 내 알려지지 않은 위협을 선제적으로 탐색합니다. 

• 악성코드 분석: 잠재적으로 악의적인 속성이 있는지 파일을 대규모로 분석합니다.

• 노출 관리: 내부 및 외부 소스를 선제적으로 모니터링하여 사용자 정보 유출, 초기 접근 브로커 및 악용된 취약점을 탐지합니다.

• 탐지 엔지니어링: 위협 프로필을 지속적으로 분석하고 탐지 규칙을 생성, 테스트 및 미세 조정할 수 있습니다.

Google의 강점이 에이전트 AI에 기여하는 방식

실제 보안 애플리케이션을 위한 신뢰할 수 있고 영향력 있는 에이전트를 개발하려면 세 가지 핵심 요소가 필요하며, Google은 이 모든 분야에서 뛰어난 역량을 갖추고 있습니다.

1. 저희는 방대한 보안 데이터와 전문 지식을 활용하여 에이전트를 위한 기본 원칙을 제공합니다.

2. 저희는 최첨단 AI 연구를 통합하고, 성숙한 에이전트 개발 도구 및 프레임워크를 사용하여 재사용 가능하고 확장 가능한 에이전트 기반 시스템 아키텍처 생성을 지원합니다.

3. 확장성이 뛰어나고 안전한 인프라부터 최첨단 모델에 이르기까지 전체 AI 기술 스택을 자체적으로 보유하고 있어 에이전트 AI 개발을 위한 강력한 기반을 제공합니다.

이러한 이점을 통해 저희는 보안 에이전트를 위한 명확한 프레임워크를 구축하여 AI가 인간 수준의 계획 및 추론 능력을 모방하도록 지원하며, 이는 범용 대규모 언어 모델(LLM)에 비해 보안 작업에서 우수한 성능을 이끌어냅니다.

이러한 접근 방식은 보안 작업 전반에 걸쳐 고품질의 일관된 결과를 보장하며, 기존 보안 기능의 모듈식 구성을 통해 새로운 에이전트 개발을 용이하게 하여 재사용 가능하고 작업 중심적인 다양한 보안 에이전트 생태계를 구축합니다.

또한, 개발자와 관계없이 에이전트 상호 운용성은 자율성, 생산성을 향상시키고 장기적인 비용을 절감합니다. Google Cloud Next에서 발표된 저희의 개방형 Agent2Agent(A2A) 프로토콜은 보안 애플리케이션 및 플랫폼과의 표준화된 AI 상호 작용을 위한 모델 컨텍스트 프로토콜(MCP)을 보완하여 이를 촉진합니다.

상호 운용성을 더욱 발전시키기 위해, 저희는 Google 통합 보안(Google Unified Security)을 위한 MCP 서버를 오픈소스로 공개하게 된 것을 기쁘게 생각하며, 이를 통해 사용자는 Google Cloud와 생태계 도구를 모두 사용하는 맞춤형 보안 워크플로우를 구축할 수 있습니다. 저희는 개방형 생태계에 전념하고 있으며, 에이전트가 여러 다른 제품 및 공급업체와 동적으로 협력할 수 있는 미래를 구상하고 있습니다.

에머슨(Emerson)의 인에이블먼트 운영 담당 수석 사이버 인텔리전스 분석가인 그랜트 스타이너(Grant Steiner)는 "저희는 Gemini와 MCP를 사용하여 다양한 맞춤형 및 상용 도구와 연결할 즉각적인 기회를 보고 있습니다. 이를 통해 분석가들이 Google Security Operations 플랫폼을 사용할 때 데이터 수집, 데이터 보강 및 커뮤니케이션의 임시 실행을 더 쉽게 수행할 수 있도록 도울 수 있습니다."라고 말했습니다.

AI를 위한 SecOps Labs 소개

AI 기술이 빠르게 발전함에 따라 방어 담당자들을 지원하고 커뮤니티가 직접적인 피드백을 제공할 기회를 마련하기 위해 SecOps Labs를 소개하게 되어 기쁩니다. 이 이니셔티브는 고객에게 Google Security Operations의 최첨단 AI 파일럿 프로그램에 대한 조기 액세스를 제공하며, 직접적인 경험, 귀중한 피드백 및 향후 Google Security Operations 기술에 대한 직접적인 영향을 통해 방어 담당자들과의 협업을 촉진하도록 설계되었습니다.

초기 파일럿 프로그램은 다음과 같은 주요 보안 과제를 해결할 수 있는 AI의 잠재력을 보여줍니다.

• 탐지 엔지니어링: 이 파일럿은 위협 보고서를 자율적으로 탐지 규칙으로 변환하고 그 효과를 테스트하기 위한 합성 데이터를 생성합니다. 

• 대응 플레이북: 이 파일럿은 과거 인시던트 분석을 기반으로 새로운 경고에 대한 자동화 플레이북을 추천하고 생성합니다.

• 데이터 파싱: 이 파일럿은 사용자가 자연어를 사용하여 파서를 업데이트할 수 있도록 하는 것을 시작으로 AI 생성 파서를 향한 첫걸음입니다.

SecOps Labs는 AI 기능을 개선하여 실제 보안 문제를 해결하고 실질적인 가치를 제공하는 동시에 팀이 최신 프로덕션 이전 기능을 실험할 수 있도록 지원하는 협업 공간입니다. 2025년 2분기에 더 많은 소식을 기대해 주시고 Google Cloud Security와 함께 에이전트 기반 보안 운영의 미래를 만들어가는 데 참여해 주십시오.

RSAC

RSA 컨퍼런스에 참석 못 하셨나요? RSA 컨퍼런스를 온디맨드로 시청하시고, Google Cloud Security 커뮤니티에서 Google Cloud Security 전문가 및 동료 전문가들과 교류하여 지식을 공유하고, 리소스에 액세스하며, 지역 이벤트를 발견하고 보안 경험을 향상시키세요.