새로운 데이터 소스의 급증과 데이터 활용 방식의 변화로 인해 사이버보안은 점점 더 복잡해지고 있다.

그러나 인공지능(AI)은 대규모 맥락을 종합적으로 고려함으로써 보다 지능적인 보안 전략을 제공할 수 있다.

기업들이 방대한 양의 데이터를 처리하고 있다는 사실은 이제 새로운 이야기가 아니다.

하지만 데이터 소스의 수와 이에 따른 공격 표면은 계속 증가하고 있다. 에이전틱 AI(agentic AI)와 자율형 봇, 산업용 사물인터넷(IIoT), 생성형 AI 및 대규모 언어 모델(LLM)의 확산은 위협 행위자들이 시스템에 침투할 수 있는 기회를 더욱 늘리고 있으며, 동시에 기업들이 모니터링해야 하는 네트워크 아키텍처도 한층 복잡하게 만들고 있다.

위협 행위자들이 AI를 활용해 사이버 공격을 수행할 수 있는 것처럼, 기업들 역시 동일한 기술을 활용해 보안 체계를 강화할 수 있다.

실제로 사이버보안 분야는 AI의 잠재력을 대규모로 활용하면서 빠르게 진화하고 있다.

이번 기고에서는 AI를 활용해 사이버보안을 강화할 수 있는 5가지 전략을 소개한다.

주요 내용은 다음과 같다.
o 분산 환경 전반에 걸친 보안 전략 실행
o 정적 시그니처 기반 보안의 한계 극복
o 상황(Context)에 기반한 게이트키핑(gatekeeping) 자동화
o 노출 및 취약점 관리의 우선순위 평가 및 최적화
o 위협 행위자의 심리와 행동 패턴 분석

■ 분산 환경 전반에 걸친 보안 전략 실행

사이버보안은 온프레미스 환경과 클라우드 환경 모두에서 데이터가 어떻게, 그리고 어디로 이동하는지를 고려해야 한다.

또한 이러한 데이터는 저장 상태와 전송 중 여부와 관계없이 모두 보호되어야 한다.

모든 접근 요청을 검증하는 제로 트러스트 프레임워크는 이러한 보안 요구를 충족하는 데 도움이 된다.

여기에 역할 기반 접근 제어(RBAC)를 적용하면 민감한 데이터에 대한 지능적이고 세분화된 접근 관리가 가능해진다.

AI는 이러한 보안 전략을 대규모 환경에서 효과적으로 수행할 수 있다.

특히 산업용 사물인터넷(IIoT) 환경에서는 기존의 악성코드 감염 방식 대신 비인가 명령 실행과 같은 형태로 공격이 이뤄질 수 있는데, AI는 이러한 새로운 위협에도 효과적으로 대응할 수 있다.

AI는 오늘날처럼 고도로 분산된 데이터 환경에서 사이버보안을 실행하는 데 중요한 역할을 수행한다.

텔레메트리, 네트워크 트래픽, 장비 상태 등 다양한 데이터를 분석하는 과정에서 AI는 ‘정상적인 상태’가 무엇인지를 학습하고, 그 기준에서 벗어나는 이상 징후를 적절한 맥락 안에서 탐지할 수 있다.

예를 들어, AI 에이전트는 특정 공격 표면을 보호하도록 학습될 수 있으며, 기업 고유의 워크플로우에 특화된 위협을 탐지할 수 있도록 독자적인 머신러닝(ML) 모델을 훈련시킬 수도 있다.

또한 AI 기반 방어 체계의 일환으로 침해가 발생한 환경을 격리하거나 네트워크 접근을 제한하는 등의 초기 대응 조치를 자동화함으로써 사이버 침해로 인한 피해를 최소화할 수 있다.

■ 정적 시그니처 기반 보안의 한계 극복

오랫동안 검증된 사이버보안 전략 가운데 하나는 과거의 위협 행위자 정보를 데이터베이스화하고, IP 주소와 같은 기존 ‘시그니처’를 기준으로 새로운 공격을 비교·탐지하는 방식이다.

이러한 시그니처 기반 탐지는 보안 체계의 중요한 요소 중 하나가 될 수 있지만, 그것만으로 충분하지는 않다.

위협 행위자들은 매우 빠르게 시그니처를 변경할 수 있으며, 기존 방식은 완전히 새로운 출처에서 발생하는 제로데이 공격까지는 효과적으로 대응하지 못한다.

드리프트 인식 AI 모델은 클라우드 오토스케일링과 원격 근무를 포함한 네트워크 환경의 변화를 추적하여, 모니터링이 필요한 잠재적인 새로운 공격 표면에 대한 내부 기록을 지속적으로 업데이트할 수 있다.

머신러닝(ML) 모델은 빠르게 구식이 될 수 있는 정적이고 변하지 않는 시그니처 대신, 행동상의 유사성을 기반으로 이벤트를 그룹화한다.

마찬가지로 중요한 점은 이러한 메커니즘이 수십만 개, 많게는 수백만 개에 이르는 분산 노드에서 발생하는 데이터의 폭증에도 견딜 수 있다는 것이다.

■ 상황에 기반한 게이트키핑 작업 자동화

가장 복잡한 인프라 가운데 일부는 정보기술(IT)과 운영기술(OT)을 통합하고 있기 때문에, AI 모델은 장치들이 어떻게 통신하고 명령에 어떻게 반응하는지를 분석한다.

만약 명령 시퀀스가 기존의 정상적인 패턴에서 벗어날 경우, AI는 해당 활동을 의심스러운 행위로 표시한다.

또한 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 서비스형 소프트웨어(SaaS) 로그로부터 지속적으로 제공되는 위협 업데이트는 전체적인 상황을 파악하는 데 도움을 줄 수 있다.

하지만 모든 경고에 일일이 대응하는 것은 현실적으로 적절하지 않을 수 있으며, 이것이 바로 사이버보안 팀이 위협의 맥락에 대한 정보를 필요로 하는 이유다.

컨텍스트 강화 모델은 이벤트에 대한 이해를 높일 수 있도록 추가적인 관련 정보를 데이터에 결합한다.

이러한 환경에서 AI 모델은 위협에 대해 단순한 2진 방식 대신 확률 기반의 위험 점수를 부여할 수 있다.

또한 사이버보안 전략은 할당된 위험 수준이 시간이 지나면서 증가할 수 있다는 점 역시 고려해야 한다.

■ 노출 및 취약점 관리의 우선순위 평가 및 최적화

기업들은 수십만 건에 이르는 공통 취약점 및 노출(CVE)을 보유하고 있으며, 자산 목록이 지속적으로 변화하는 환경 속에서 진화하는 모든 위협에 대응할 수 있는 역량에는 한계가 있다.

AI 기반 예측 분석은 사이버보안 팀이 어떤 취약점이 실제로 악용될 가능성이 높은지를 파악할 수 있도록 지원한다.

또한 AI는 가장 가능성이 높은 공격 경로와 공격 대상 ID를 식별할 수 있다.

이러한 모든 공격 표면은 서로 연관된 맥락 속에서 종합적으로 고려되어야 한다.

예를 들어, 외부 현장의 고립된 시스템에 존재하는 CVE는, 일상 업무를 위해 상용 브라우저를 사용하는 고권한 사용자 계정보다 전체적인 취약성 수준이 더 낮을 수 있다.

■ 위협 행위자의 심리 이해

사이버보안 팀은 ‘침입자(enemy)’의 심리를 이해하고 영향을 미치는 심리전(psyops) 기법도 활용할 수 있다.

AI는 공격자의 인지적 약점을 이용함으로써 사이버 심리학(cyberpsychology)에 기반한 보안 체계를 강화할 수 있다.

예를 들어, 공격자가 가지고 있는 선천적 편향을 활용해 사이버 방어 시스템의 다음 대응 단계를 유도할 수 있다.

이러한 시스템이 위협 행위자를 영구적으로 차단하지는 못할 수 있지만, 보다 강력한 방어 조치가 작동할 시간을 확보할 만큼 공격을 지연시키거나 방해할 수는 있다.

현재 이러한 고급 기법은 주로 인간 주도의 사이버 공격에 효과적으로 적용되고 있으며, AI 기반 봇 공격에는 제한적으로 활용되고 있다.

그러나 차세대 AI 위협 행위자에 대응하기 위해 이 분야 역시 빠르게 발전하고 있다.

■ 결론

사이버 공격자들이 점점 더 정교한 AI 기반 봇을 활용하고 있는 가운데, AI 자체 역시 대규모 환경과 적절한 맥락에서 사이버보안 방어 체계를 유지·강화할 수 있는 강력한 도구로 자리잡고 있다.

또한 AI는 데이터가 어떻게 이동하고 어디에서 활용되는지를 스스로 적응하며 학습할 수 있기 때문에, 오늘날은 물론 미래의 기업 워크플로우 변화에도 발맞춰 대응할 수 있다는 점에서 더욱 중요하다.

※ 저자 소개
포니마 압뜨(Poornima Apte)는 엔지니어 출신의 전문 작가로, 로보틱스, AI, 사이버보안, 스마트 기술 및 디지털 전환 분야의 B2B 콘텐츠를 전문으로 다루고 있다. 그녀의 X(구 트위터) 계정은 @booksnfreshair이다.