태니엄 “생성형 AI로 엔드포인트 보안 사전 대응”

By곽중희

실시간 엔드포인트 가시성·LLM 결합, 국내 금융사 사례 공개

사이버 공격의 최전선은 엔드포인트다. 퍼스널컴퓨터(PC)와 서버는 물론 클라우드와 컨테이너까지, 업무에 활용되는 모든 단말이 해커의 초기 침투 지점이자 내부 확산의 거점이 된다. 공격자가 진입해 확산하고 결국 데이터를 탈취하거나 랜섬웨어를 실행하는 마지막 종착지도 엔드포인트다. 이런 이유로 엔드포인트를 어떻게 지켜낼 지가 오늘날 기업 보안 전략의 핵심 과제로 떠오르고 있다.

태니엄(Tanium)은 26일 바이라인네트워크 주최로 열린 ‘2025 금융 테크 컨퍼런스’에서 실시간 엔드포인트 가시성에 생성형 인공지능(AI) 기반의 대규모언어모델(LLM) 기술을 결합해 보안을 한 단계 진화시키는 전략을 제시했다.

김도현 태니엄코리아 이사는 “대부분의 보안 사고는 엔드포인트에서 시작해 엔드포인트에서 끝난다”며 “뒤늦게 대응하는 방식으로는 더 이상 버티기 어렵다. 실시간 가시성과 AI 인사이트를 기반으로 사전 대응 체계를 갖추는 것이 필수”라고 강조했다.

김 이사는 엔드포인트 보안 과제를 컴퓨터 과학의 고전적 분류인 P 문제와 NP 문제에 빗대 설명했다. P 문제는 알고리즘으로 해결 가능한 문제로, 악성코드 해시값 대조나 정책 위반 여부 점검처럼 정형화된 방식으로 탐지할 수 있다. 반대로 NP 문제는 알고리즘만으로는 풀기 어렵다. ▲제로데이 공격 ▲지능형 지속 공격(APT) ▲악성코드 변종 ▲사용자 행위 기반 이상 탐지 등이 대표적이다.

그는 “우리가 뉴스에서 접하는 대부분의 보안 사고는 엔드포인트 영역의 NP 문제에 속한다”며 “이 영역에 접근하기 위해 AI와 머신러닝이 쓰이기 시작했고, 최근에는 LLM이 가장 주목받는 도구로 부상했다”고 설명했다.

머신러닝에서 LLM으로 진화, 금융 보안에 적용

태니엄은 국내 금융사들이 LLM을 도입해 엔드포인트 보안을 강화한 사례를 공개했다. 2021년 한 금융사는 태니엄 플랫폼으로 로그와 파일 데이터를 수집해 머신러닝 모델을 학습시켰지만, 유출 시나리오를 미리 정의하기 어렵고 실제 유출이 수 분 내에 발생해 실시간 대응이 쉽지 않다는 한계가 있었다.

이와 달리 2025년 또 다른 금융사는 접근 방식을 달리했다. 글로벌 보안 보고서와 서비스 로그 같은 비정형 데이터를 LLM으로 요약·추출하고, 이를 태니엄 플랫폼의 실시간 조회 기능과 결합해 수만 대의 PC와 서버, 클라우드 등 엔드포인트에서 곧바로 위협 여부를 점검했다. 덕분에 해외에서 보고된 공격 패턴이 국내 환경에도 존재하는지 빠르게 확인할 수 있었고, 국내 이슈가 터지기 전에도 자체적으로 대응 체계를 가동할 수 있었다.

김 이사는 “머신러닝이든 LLM이든 접근 방식은 다르지만, 핵심은 엔드포인트에서 실시간 데이터를 확보하고 이를 기반으로 이상 징후를 탐지·대응하는 것”이라고 강조했다.

9월 26일 바이라인네트워크 주최로 서울 강남에서 열린 ‘2025 금융 테크 컨퍼런스 : 금융 대전환에 대처하는 테크 전략‘에서 김도현 태니엄 이사가 ‘생성형 AI를 활용한 엔드포인트 보안’을 주제로 발표하고 있다. (사진=바이라인네트워크)

BPF 도어 악성코드 대응, LLM으로 단 몇 분 만에

태니엄은 LLM을 결합해 수천 대 이상의 엔드포인트를 실시간으로 모니터링할 수 있는 점을 차별화 요소로 내세웠다. 지난 4월 발생한 BPF 도어(BPF Door) 악성코드 사태에서 일부 기업은 수만 대 서버를 대상으로 포렌식을 진행하는 데 60일 이상이 걸렸다. 반면 태니엄을 도입한 기업은 동일한 규모의 단말을 단 몇 분에서 한 시간 이내에 전수조사해 이상 여부를 파악할 수 있었다. 해외 전문 매체가 4월 중순부터 악성코드의 커맨드라인, 포트, 해시값 등 구체적인 침해지표(IoC)를 공개했는데, 태니엄은 이 정보를 실시간 검색으로 활용해 대응 속도를 크게 앞당길 수 있었다.

김 이사는 지난 7월 SGI서울보증에서 발생한 랜섬웨어 감염 사태 역시 같은 맥락이라고 설명했다. 당시 공격을 감행한 ‘건라‘ 랜섬웨어 그룹의 활동은 이미 4월 두바이에서 먼저 관측됐고 해외 보고서에도 세부 전술과 변종 정보가 쏟아졌다. 그러나 국내에서는 7월에 들어서야 피해가 드러났다. 김 이사는 “LLM을 통해 해외 보고서를 사전에 요약·분석하고, 태니엄 플랫폼이 이를 근거로 엔드포인트 전역을 실시간 탐색했다면 최소 한두 달 전에는 내부 점검과 대응 조치가 가능했을 것”이라고 강조했다.

AI와 엔드포인트 보안의 결합, 선제적 대응 가능

태니엄은 생성형 AI와 LLM을 결합한 엔드포인트 보안 전략의 효과를 세 가지로 정리했다. 우선 ▲실시간 엔드포인트 가시성을 확보하고 ▲LLM 인사이트를 활용해 현황과 이상 행위를 실시간으로 확인하고 ▲신규 보안 이슈에도 뒤늦은 대응이 아닌 사전 대응이 가능해진다는 것이다.

김 이사는 “AI가 중요한 건 맞지만 데이터를 제공하는 실시간 엔드포인트 가시성이 선행돼야 한다”며 “태니엄은 이 두 가지를 결합해 선제적 엔드포인트 보안 체계를 구현할 수 있다”고 강조했다.

최근 태니엄은 통합 엔드포인트 관리(XEM)를 넘어 자율엔드포인트관리(AEM) 플랫폼으로 확장하며, 마이크로소프트와 서비스나우와의 협력을 강화하고 있다. AEM은 자산 식별과 관리, 규제 준수, 위협 대응, 디지털 직원 경험, 사고 대응, 자동화와 오케스트레이션 기능을 단일 플랫폼에서 제공하며, AI 기반 자동화로 생산성과 보안성을 동시에 높이는 것이 특징이다.

태니엄은 2007년 미국에서 설립된 보안 기업으로, 현재 전 세계 3400만 대 이상의 엔드포인트를 관리하고 있다. 미국 주요 은행 10곳 중 7곳을 비롯해 연방 수사국(FBI), 중앙정보국(CIA), 군 기관 등이 주요 고객사다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.