팔로알토네트웍스가 사이버보안에 AI를 활용하는 방법

샤일레시 라오 글로벌 GTM 총괄 사장 “AI 위협 심각, 기업들 현 보안태세 점검해 개선해야”

“인공지능(AI)은 쉽게 말해 기계(머신)가 자동으로 생성하는 알고리즘이다. AI 기술이 평범한 사람들은 물론 해커의 손에도 들어가 이전보다 훨씬 빠르고 위험한 대규모 공격을 가할 수 있게 됐다. 한 번에 수만개의 공격을 동시에 전개할 수 있게 됐다. 최근 몇 달 동안 AI가 생성한 공격으로 인해 피싱 공격이 10배 증가한 것은 단 하나의 작은 사례일 뿐이다.”

샤일레시 라오(Shailesh Rao) 팔로알토네트웍스 글로벌 GTM(GoToMarket) 총괄 사장은 19일 방한해 기자와 만나 AI로 인해 더욱 심각해지고 있는 사이버위협 현황에 대해 이같이 말하고 “(AI를 활용한 공격) 문제를 기업들이 심각하게 받아들이지 않고 개선하지 않는다면 많은 어려움에 직면할 것이다. 매우 진지하게 보안 태세를 점검해봐야 한다”라고 경고했다.

라오 총괄 사장은 AI로 인한 사이버공격 위험이 증가하고 있지만 현재의 보안운영 상황에서는 효과적으로 대응하기 어렵다고 진단했다. ‘사일로(Silo)’화된 보안 시스템 구축, 운영 방식 때문이다. 기업들은 다양한 보안위협에 대응하기 위해 수십 가지 이상 많은 보안 솔루션을 도입해 사용하고 있지만, 개별적이고 독립적으로 구축돼 각 시스템에서 생성하는 모든 데이터를 한꺼번에 취합해 분석하지 못하고 있다는 것이다. 그는 “해커들은 시스템 사이에 갭(Gap)이 존재하고 있다는 것을 알고 있다. 데이터가 개별적으로 처리되고 있어 한 시스템에 침입하면 다른 시스템에서는 알 수 없다는 것을 계속 악용한다. 위협 행위자들이 침해(exploiting)할 수 있는 취약점”이라고 말했다 .

팔로알토네트웍스는 이같은 문제를 해결하기 위해 AI와 머신러닝(ML) 기법으로 다양한 소스에서 나오는 모든 대규모 데이터를 빠르고 정확하게 분석할 수 있는 방법을 제공하고 있다는 게 그의 설명이다. 팔로알토네트웍스가 제공하는 모든 보안 솔루션들을 통합해 단일 플랫폼을 구축하고, 모든 데이터를 고도의 AI, ML 기술을 활용해 한 곳에서 분석함으로써 현재 매일 150만건의 새로운 공격을 탐지하고 있다.

라오 총괄 사장은 “어떠한 네트워크에서도 다른 기업이 제공할 수 없는 많은 양의 데이터를 빠르게 분석하고 있다. 이를 가능하게 하기 위해 높은 성능과 확장 가능한 클라우드 환경에서 2000개에 달하는 최적화된 맞춤형 ML 모델을 활용하고 있다. 또한 우리의 엔지니어링팀은 지난 15년간 사이버보안 분야에 AI와 ML을 적용해오고 있는 전문가들이다. 이같은 전문성을 갖추고 있어 앞으로의 공격 환경에서도 기업을 가장 잘 보호할 수 있다”고 강조했다.

네트워크 보안, 클라우드 보안, 보안운영 전반에 AI ML 기술 제공

팔로알토네트웍스는 더욱 거세지는 AI 위협에 대응할 수 있도록 자사의 보안 솔루션 전반에서 AI 기술을 적극 활용하고 있다. AI 관련 주요 제품군으로는 네트워크 보안 분야 차세대방화벽(NGFW)용 ‘AI옵스(AIOps)’, 클라우드 보안 분야인 프리즈마 시큐어액세스서비스엣지(SASE) 플랫폼에서 제공하는 ‘ADEM(Autonomous Digital Experience Management)’, 보안운영(SecOps) 플랫폼인 ‘코어텍스(Cortex) XSIAM(Extended Security Intelligence and Automation Management)’ 등이 있다.

AI옵스는 네트워크 보안 운영팀에 ML 기반 이상 탐지와 실행 가능한 인사이트를 제공해 구축된 네트워크 전체의 상태와 성능을 파악할 수 있게 해줘 비즈니스에 영향을 미치기 전에 선제적으로 다양한 위협과 문제 상황에 대응할 수 있게 해준다.

ADEM은 엔드포인트 디바이스, 실제 사용자 트래픽을 통해 수집한 인텔리전스와 전체 서비스 제공 경로상의 세그먼트별 인사이트를 바탕으로 사용자들의 디지털 환경에 대한 가시성을 제공한다. IT팀이 모든 애플리케이션과 엔드포인트 성능을 모니터링해 사용자들의 업무 환경을 최적으로 유지할 수 있도록 지원할 수 있다.

XSIAM은 보안운영센터(SOC)를 위한 AI 기반 단일 보안운영 플랫폼으로, AI와 자동화 기술로 사일로화된 솔루션과 데이터를 통합해 운영 복잡성을 간소화하고 보안 성과를 높일 수 있다. 더욱이 보안운영팀이 수작업으로 방대한 데이터를 분석하고 수많은 경보와 이벤트를 처리하며 발생하는 업무 부담과 소요 시간을 획기적으로 줄여줘 더욱 빠르게 위협을 탐지하고 복구할 수 있도록 돕는다.

라오 총괄 사장은 “팔로알토네트웍스는 데이터를 이해하고 분석해 악성 여부를 판별하고 탐지하는데 AI를 활용하고 있을 뿐만 아니라 자동으로 문제를 해결, 복구하는 데에도 활용하고 있다”면서 “가장 최신 제품들인 XSIAM, 확장형 위협 탐지 대응 제품 XDR, 보안 오케스트레이션과 자동화를 담당하는 XSOAR, 공격표면을 관리하는 XPANSE에 모두 AI와 ML 역량을 녹여냈다. 평균복구시간(MTTR)과 평균탐지시간(MTTD)을 줄여 보안운영 담당자들이 더욱 효율적으로 생산성 있게 일할 수 있도록 지원한다”고 설명했다.

“보안인력 부족하지 않다, 다만 기술을 활용하지 못할 뿐” AI 효과↑

그는 “아주 오랜기간 동안 사이버보안 인력은 턱없이 부족하다고 말해왔다. 우리는 그렇게 생각하지 않는다”라면서 “사람들이 수작업으로 일할 때 인력이 부족하다는 이야기가 나오는 것이다. 이는 기술을 규모있게 활용하지 못했기 때문이다. XSIAM에서 AI와 ML을 적용해 이같은 문제를 해결할 수 있게 됐다. 이제는 더 이상 사람의 손으로 분류작업을 해 병목현상을 만들어내는 것이 아니라 사람이 전문가가 돼 기계가 더 빨리 돌아갈 수 있도록 트레이닝하는 역할로 바뀌게 된다”고 덧붙였다.

이어 “매일 10억건의 이벤트를 분석하던 기업이 XSIAM을 도입한 후 360억건의 이벤트를 매일 분석하게 된 사례가 있다”라며 “똑같은 수의 인력으로 더 많은 양의 데이터를 분석할 수 있게 돼 MTTD는 하루에서 10초로 단축하게 됐다. 인력이 부족한 게 아니라 사람이 잘하지 못하는 일을 사람이 하도록 해왔기 때문이다. 가장 중요한 것은 사람이 가장 잘할 수 있는 일에 투입해야 한다는 것”이라고 지적했다.

라오 총괄 사장은 “AI와 ML은 다양하게 활용할 수 있다. 개발 과정에서 악성 코드나 취약한 코드가 작성되는 것을 미연에 방지해 수정할 수 있고, 사용자 이상 행위를 분석해 내부 보안위협을 미리 차단하거나 잘못된 IT 보안 구성(Configuration)을 미리 찾아내는 데 쓰일 수도 있다”라면서 “AI는 날카로운 날을 갖게 해준다. 그 날카로운 날로 칼을 만들어 채소를 썰 수 있고, 도끼를 만들어 나무를 벨 수도 있으며, 가위로 종이 자르는 데 사용할 수 있다. 그만큼 유즈케이스가 다양하다. 문제는 이 날카로운 날을 해커도 가지고 있다는 것”이라고 재차 경고했다.

사이버보안 생성AI 적용은 아직, ‘프리시전 AI’ 활용…“먼저 보다는 제대로”

팔로알토네트웍스는 적극적으로 AI, ML 기술을 사용하고 있지만 아직까지 제공하는 제품군에 생성형 AI 기술을 적용하지 않고 있다. 이와 관련한 질문에 라오 총괄은 “생성형 AI는 회사를 더 효율적으로 운영하고 성과를 내기 위한 영업, 마케팅, 커뮤니케이션, 고객 지원 분야에 널리 활용하고 있다. 다만 팔로알토네트웍스 제품군을 더 나은 제품으로 만드는 데는 사용하고 있지 않다. 우리는 사이버보안 분야에 프리시전(Precision) AI를 적용한다”고 밝혔다.

그는 “생성형 AI는 실수할 수 있다. 이를 고쳐 써도 괜찮은 분야가 있다. 사이버보안 분야에서는 실수가 용납되지 않는다. 만일 할루시네이션(환각) 문제 생긴다면 네트워크가 다운되는 등 큰 문제를 초래할 수 있다. 그로 인해 발생하는 비용 후과가 크다. 이로 인해 우리는 제품에 프리시전 AI를 사용하고 있다. AI가 인기를 얻으면서 많은 기업들이 보안 코파일럿 관련 이야기를 많이 하고 있고, 우리도 관련 작업을 진행하고 있지만, 서둘러 진행하고자 하는 접근법은 취하고 있지 않다. 좀 더 가치 있는 솔루션을 제공하기 위해 시간을 두고 심사숙고하며 진행하고 있다. 먼저 하는 것보단 제대로 하는 것이 중요하다”는 입장을 나타냈다.

라오 총괄 사장은 “우리는 해커보다 앞서나가기 위해 매일 혁신하며 노력하고 있다. 매우 어려운 사이버보안 문제들까지 해결하기 위해서 가시성, 분석, 자동화, 통합 이 네 가지에 초점을 맞추고 있다. 이 모든 것을 다 하기 위해서는 매우 큰 노력과 전문성, 투자가 필요하다”라며, 이것이 바로 팔로알토네트웍스의 강점이자 차별점이라고 부각했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network