똑똑한 보안팀은 이렇게 쓴다…실무에서 검증된 AI 활용법 5가지
임원을 대상으로 하는 보안 팟캐스트에서부터 AI 기반 위협 헌팅까지, 보안 운영을 지원하고 위험 관리 전략을 강화하기 위해 AI를 활용하는 방법은 다양하다.
보안 책임자는 기업이 안전하게 AI를 도입할 수 있도록 가이드하는 동시에, 보안 운영을 개선할 방법을 모색해야 하는 이중 과제에 직면해 있다. 상황은 빠르게 전개되고 있지만, 사이버보안팀은 여전히 신중하다. ISC2의 AI 도입 설문조사에 따르면, 이미 30%는 운영에 AI 툴을 통합했고, 43%는 검토와 테스트 단계에 머물러 있다.
그렇다면 현재 보안팀은 어떤 방식으로 AI를 받아들이고 실험하고 있을까? 여러 보안 책임자를 만나 AI를 일상 업무에 통합한 경험을 들어봤다. MCP 서버를 활용한 맞춤형 AI 앱 활용 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)은 앤트로픽이 도입한 오픈소스 표준으로, LLM 같은 AI 시스템을 데이터 소스와 연결하기 위해 만들어졌다. 베드록 데이터(Bedrock Data)의 CSO 조지 거초는 MCP를 직접 실험하며 보안 운영을 개선할 수 있는 가능성을 확인했다. 거초는 “앤트로픽 클로드를 MCP와 함께 활용한다. 데스크톱 앱이 네이티브 MCP 지원을 내장하고 있어 내부 툴과 데이터 소스를 손쉽게 연결할 수 있다. MCP는 AI와 보안 툴 사이에서 데이터 접근을 표준화하는 구조화된 인터페이스를 제공해 기존의 불안정한 통합 문제를 줄이고, 보안팀이 자동화를 신뢰할 수 있는 기반을 마련해 준다”라고 설명했다. 거초는 MCP 서버와 여러 도구를 개발했다. 여기에는 데이터를 맥락적으로 이해하고 민감한 상호작용을 실시간으로 기록하는 맞춤형 AI 기반 DLP 시스템도 포함된다. 거초는 “이 프로토콜을 실제 비즈니스 과제 해결에 적용한다. 예를 들어 민감 데이터 자동 분류, 정책 집행 간소화, 안전한 에이전틱 AI 워크플로우의 기반 마련 등이 대표적이다”라고 말했다. 이런 시도는 실제 운영 환경에서 진행되는 실험이다. 거초는 “MCP는 자산의 민감도나 규제 영향 같은 맥락 정보를 보안 워크플로우에 직접 제공해 보안팀이 어떤 문제를 우선 처리해야 할지 정하고 위험을 고려한 결정을 내리는 데 도움을 준다. 이를 통해 팀이 신뢰·접근·실시간 의사결정을 바라보는 방식이 달라지고 있다. MCP는 자연어 기반 조사도 가능하게 한다. AI 에이전트가 실시간으로 구조화된 데이터를 불러와 복잡한 질문에 답할 수 있게 해준다”라고 덧붙였다. 한편, 아게로(Agero)의 CISO/CIO 밥 설리번의 엔지니어링팀은 위협 모델링 도구로 활용하기 위해 구글 제미니(Gemini)로 맞춤형 에이전트인 젬(Gem)을 구축하는 실험을 진행하고 있으며, 유의미한 성과를 얻었다고 밝혔다. 젬을 활용하면 새로 도입할 기술, 함께 배치할 보안 툴, 그리고 관련 요소를 자동으로 도출할 수 있다고 설명했다. 설리번은 “예를 들어 ‘컨택센터에 AWS 커넥트(AWS Connect)를 도입하고, 아이덴티티 서비스로는 옥타(Okta)를 쓰고, 여기에 다른 보안 툴을 추가한다’라고 입력하면, 스트라이크(STRIKE) 위협 모델이 95% 완성된 상태로 나온다. 이 작업을 엔지니어링 및 아키텍처팀이 직접 했다면 약 12시간은 걸렸을 것”이라고 말했다. 젬은 최소 75% 이상의 작업을 줄였으며, 설리번의 팀은 효과를 검증하기 위한 다른 실험도 찾고 있다. 설리번은 “에이전틱 AI를 강력히 통제된 샌드박스 환경에 넣고, 시스템을 재구성하며 보안 취약점을 자동으로 수정하도록 학습시키는 방법을 고민하고 있다”라고 설명했다. 거초와 설리번은 통제된 환경에서 AI 도구를 시험하고 신중하게 실험하고 있다. 설리번은 젬 위협 모델링 도구가 강력한 가드레일을 필요로 한다고 인정하면서도 결과에는 만족감을 드러내며 “AI가 해결책을 제시하고, 우리가 이를 기반으로 운영 환경의 수많은 취약점을 자동화할 수 있다면 어떨까? 우리는 보안을 더 나은 방향으로 개선할 엄청난 기회를 보고 있다”라고 언급했다. 보안 지표를 비즈니스 언어로 번역 CISO는 이제 조직에서 ‘보안을 이야기하는 스토리텔러’ 역할을 맡게 됐다. 하지만 이 역할은 결코 쉽지 않다. 이에 따라 일부 CISO는 AI를 활용해 기술적 세부 사항을 비즈니스 지향적인 내러티브로 바꾸고 있다. 이 과정에서는 다양한 데이터 소스, 위험 트렌드, 통제 공백, 위협 모델링 같은 요소를 활용한다. AI 도구는 CEO, CFO, 이사회 같은 주요 이해관계자를 대상으로 하는 메시지와 보고서를 상황에 맞게 조율하는 데 도움을 준다. 예산 확보 필요성이나 새로운 기술적 이니셔티브의 가치처럼 재무·비즈니스 중심 청중이 중요하게 여기는 정보를 강조하도록 맞춤화하는 것이다. 또 다른 사례로는 보안관제센터(SOC)의 기술적 분석 결과를 임원용 요약 보고서로 변환하거나, 회의 전체 녹음을 다시 듣지 않고도 핵심 논의 사항만 간추려 제공하는 경우가 있다. 헤드스페이스(Headspace)의 CISO 자미카 아론은 조직에서 보안 스토리텔링을 강화하기 위해 AI 도구를 활용한다. 경험에 따르면 보안의 성과와 예산은 위험 감소보다 오히려 ‘사건이 발생하지 않은 상태’로 평가되는 경우가 많다. 아론은 “보안 책임자는 스토리텔링에 능숙해져야 한다. AI에 기대를 거는 대표적인 이유가 다른 사람이 기술을 이해하고 공감하는 방식으로 보안을 설명할 수 있도록 돕기 때문이다. 그렇게 해야 필요한 자원을 확보할 수 있다”라고 설명했다. 아론은 노트북LM(NotebookLM)을 활용해 분기별 리뷰을 작성한다. 노트북LM은 각 부서에서 들어오는 데이터 피드와 관련 뉴스 및 기타 정보를 통합해 팟캐스트 형식의 보고서로 변환해준다. 아론은 “100장의 슬라이드가 6분짜리 스토리텔링으로 바뀐다”라고 말했다. 보고서가 사내에 공유되자 반응은 긍정적이었다. 아론은 임직원이 취약점 관리 같은 개념이나 보안이 왜 다른 부서와 협업해야 하는지 등을 쉽게 이해할 수 있었며 “AI는 보안팀의 기술적 작업을 비즈니스 니즈와 연결하고, 구성원 각자가 그것이 자신과 어떻게 연관되는지 이해하도록 돕는다”라고 부연했다. 스탠다드차타드(Standard Chartered)에서 글로벌 사이버보안 운영을 총괄하는 라비 스톡하머는 AI를 방어 수단이 아니라 전략적 도구로 보고 있다. 스톡하머는 위협 및 이상 탐지, 오탐 감소, 경보 품질 개선 등이 AI가 실제 적용되고 있는 영역이라고 말했다. 스톡하머는 아론과 마찬가지로 AI가 “임원부터 현장까지 연결되는 위협 인텔리전스”에 가치가 있다고 말했다. 사이버보안 관련 뉴스나 미디어 신호를 검증된 실행 가능한 인텔리전스로 전환해 실시간 의사결정을 지원하는 데 활용할 수 있다는 의미다. 스톡하머는 “경영진은 새로운 취약점, 경쟁사에서 발생한 침해 사고, 새로운 공격 기법 같은 뉴스에 늘 노출되고, 이것이 비즈니스에 영향을 미칠지 궁금해한다. 스탠다드차타드는 이런 외부 신호를 수집해 내부 위협 환경과 텔레메트리 데이터와 자동으로 교차 검증하는 역량을 구축했다. 그 결과 명확한 위험 평가가 제공되고, 필요할 경우 대응 조치까지 권고한다. 즉 전략적 인식에서 전술적 실행까지 연결되는 선순환이 완성된다”라고 덧붙였다.
이 게시글이 문제가 될 시, 삭제하겠습니다
보안 책임자는 기업이 안전하게 AI를 도입할 수 있도록 가이드하는 동시에, 보안 운영을 개선할 방법을 모색해야 하는 이중 과제에 직면해 있다. 상황은 빠르게 전개되고 있지만, 사이버보안팀은 여전히 신중하다. ISC2의 AI 도입 설문조사에 따르면, 이미 30%는 운영에 AI 툴을 통합했고, 43%는 검토와 테스트 단계에 머물러 있다.
그렇다면 현재 보안팀은 어떤 방식으로 AI를 받아들이고 실험하고 있을까? 여러 보안 책임자를 만나 AI를 일상 업무에 통합한 경험을 들어봤다. MCP 서버를 활용한 맞춤형 AI 앱 활용 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)은 앤트로픽이 도입한 오픈소스 표준으로, LLM 같은 AI 시스템을 데이터 소스와 연결하기 위해 만들어졌다. 베드록 데이터(Bedrock Data)의 CSO 조지 거초는 MCP를 직접 실험하며 보안 운영을 개선할 수 있는 가능성을 확인했다. 거초는 “앤트로픽 클로드를 MCP와 함께 활용한다. 데스크톱 앱이 네이티브 MCP 지원을 내장하고 있어 내부 툴과 데이터 소스를 손쉽게 연결할 수 있다. MCP는 AI와 보안 툴 사이에서 데이터 접근을 표준화하는 구조화된 인터페이스를 제공해 기존의 불안정한 통합 문제를 줄이고, 보안팀이 자동화를 신뢰할 수 있는 기반을 마련해 준다”라고 설명했다. 거초는 MCP 서버와 여러 도구를 개발했다. 여기에는 데이터를 맥락적으로 이해하고 민감한 상호작용을 실시간으로 기록하는 맞춤형 AI 기반 DLP 시스템도 포함된다. 거초는 “이 프로토콜을 실제 비즈니스 과제 해결에 적용한다. 예를 들어 민감 데이터 자동 분류, 정책 집행 간소화, 안전한 에이전틱 AI 워크플로우의 기반 마련 등이 대표적이다”라고 말했다. 이런 시도는 실제 운영 환경에서 진행되는 실험이다. 거초는 “MCP는 자산의 민감도나 규제 영향 같은 맥락 정보를 보안 워크플로우에 직접 제공해 보안팀이 어떤 문제를 우선 처리해야 할지 정하고 위험을 고려한 결정을 내리는 데 도움을 준다. 이를 통해 팀이 신뢰·접근·실시간 의사결정을 바라보는 방식이 달라지고 있다. MCP는 자연어 기반 조사도 가능하게 한다. AI 에이전트가 실시간으로 구조화된 데이터를 불러와 복잡한 질문에 답할 수 있게 해준다”라고 덧붙였다. 한편, 아게로(Agero)의 CISO/CIO 밥 설리번의 엔지니어링팀은 위협 모델링 도구로 활용하기 위해 구글 제미니(Gemini)로 맞춤형 에이전트인 젬(Gem)을 구축하는 실험을 진행하고 있으며, 유의미한 성과를 얻었다고 밝혔다. 젬을 활용하면 새로 도입할 기술, 함께 배치할 보안 툴, 그리고 관련 요소를 자동으로 도출할 수 있다고 설명했다. 설리번은 “예를 들어 ‘컨택센터에 AWS 커넥트(AWS Connect)를 도입하고, 아이덴티티 서비스로는 옥타(Okta)를 쓰고, 여기에 다른 보안 툴을 추가한다’라고 입력하면, 스트라이크(STRIKE) 위협 모델이 95% 완성된 상태로 나온다. 이 작업을 엔지니어링 및 아키텍처팀이 직접 했다면 약 12시간은 걸렸을 것”이라고 말했다. 젬은 최소 75% 이상의 작업을 줄였으며, 설리번의 팀은 효과를 검증하기 위한 다른 실험도 찾고 있다. 설리번은 “에이전틱 AI를 강력히 통제된 샌드박스 환경에 넣고, 시스템을 재구성하며 보안 취약점을 자동으로 수정하도록 학습시키는 방법을 고민하고 있다”라고 설명했다. 거초와 설리번은 통제된 환경에서 AI 도구를 시험하고 신중하게 실험하고 있다. 설리번은 젬 위협 모델링 도구가 강력한 가드레일을 필요로 한다고 인정하면서도 결과에는 만족감을 드러내며 “AI가 해결책을 제시하고, 우리가 이를 기반으로 운영 환경의 수많은 취약점을 자동화할 수 있다면 어떨까? 우리는 보안을 더 나은 방향으로 개선할 엄청난 기회를 보고 있다”라고 언급했다. 보안 지표를 비즈니스 언어로 번역 CISO는 이제 조직에서 ‘보안을 이야기하는 스토리텔러’ 역할을 맡게 됐다. 하지만 이 역할은 결코 쉽지 않다. 이에 따라 일부 CISO는 AI를 활용해 기술적 세부 사항을 비즈니스 지향적인 내러티브로 바꾸고 있다. 이 과정에서는 다양한 데이터 소스, 위험 트렌드, 통제 공백, 위협 모델링 같은 요소를 활용한다. AI 도구는 CEO, CFO, 이사회 같은 주요 이해관계자를 대상으로 하는 메시지와 보고서를 상황에 맞게 조율하는 데 도움을 준다. 예산 확보 필요성이나 새로운 기술적 이니셔티브의 가치처럼 재무·비즈니스 중심 청중이 중요하게 여기는 정보를 강조하도록 맞춤화하는 것이다. 또 다른 사례로는 보안관제센터(SOC)의 기술적 분석 결과를 임원용 요약 보고서로 변환하거나, 회의 전체 녹음을 다시 듣지 않고도 핵심 논의 사항만 간추려 제공하는 경우가 있다. 헤드스페이스(Headspace)의 CISO 자미카 아론은 조직에서 보안 스토리텔링을 강화하기 위해 AI 도구를 활용한다. 경험에 따르면 보안의 성과와 예산은 위험 감소보다 오히려 ‘사건이 발생하지 않은 상태’로 평가되는 경우가 많다. 아론은 “보안 책임자는 스토리텔링에 능숙해져야 한다. AI에 기대를 거는 대표적인 이유가 다른 사람이 기술을 이해하고 공감하는 방식으로 보안을 설명할 수 있도록 돕기 때문이다. 그렇게 해야 필요한 자원을 확보할 수 있다”라고 설명했다. 아론은 노트북LM(NotebookLM)을 활용해 분기별 리뷰을 작성한다. 노트북LM은 각 부서에서 들어오는 데이터 피드와 관련 뉴스 및 기타 정보를 통합해 팟캐스트 형식의 보고서로 변환해준다. 아론은 “100장의 슬라이드가 6분짜리 스토리텔링으로 바뀐다”라고 말했다. 보고서가 사내에 공유되자 반응은 긍정적이었다. 아론은 임직원이 취약점 관리 같은 개념이나 보안이 왜 다른 부서와 협업해야 하는지 등을 쉽게 이해할 수 있었며 “AI는 보안팀의 기술적 작업을 비즈니스 니즈와 연결하고, 구성원 각자가 그것이 자신과 어떻게 연관되는지 이해하도록 돕는다”라고 부연했다. 스탠다드차타드(Standard Chartered)에서 글로벌 사이버보안 운영을 총괄하는 라비 스톡하머는 AI를 방어 수단이 아니라 전략적 도구로 보고 있다. 스톡하머는 위협 및 이상 탐지, 오탐 감소, 경보 품질 개선 등이 AI가 실제 적용되고 있는 영역이라고 말했다. 스톡하머는 아론과 마찬가지로 AI가 “임원부터 현장까지 연결되는 위협 인텔리전스”에 가치가 있다고 말했다. 사이버보안 관련 뉴스나 미디어 신호를 검증된 실행 가능한 인텔리전스로 전환해 실시간 의사결정을 지원하는 데 활용할 수 있다는 의미다. 스톡하머는 “경영진은 새로운 취약점, 경쟁사에서 발생한 침해 사고, 새로운 공격 기법 같은 뉴스에 늘 노출되고, 이것이 비즈니스에 영향을 미칠지 궁금해한다. 스탠다드차타드는 이런 외부 신호를 수집해 내부 위협 환경과 텔레메트리 데이터와 자동으로 교차 검증하는 역량을 구축했다. 그 결과 명확한 위험 평가가 제공되고, 필요할 경우 대응 조치까지 권고한다. 즉 전략적 인식에서 전술적 실행까지 연결되는 선순환이 완성된다”라고 덧붙였다.
이 게시글이 문제가 될 시, 삭제하겠습니다
출처 : https://www.itworld.co.kr/article/4056190/%EB%98%91%EB%98%91%ED%95%9C-%EB%B3%B4%EC%95%88%ED%8C%80%EC%9D%80-%EC%9D%B4%EB%A0%87%EA%B2%8C-%EC%93%B4%EB%8B%A4%EC%8B%A4%EB%AC%B4%EC%97%90%EC%84%9C-%EA%B2%80%EC%A6%9D%EB%90%9C-ai-%ED%99%9C.html
댓글 없음:
참고: 블로그의 회원만 댓글을 작성할 수 있습니다.