쿼드마이너 “AI 보안, 상태 정보 아닌 맥락 데이터로 승부해야”
“AI 좋습니다. AI 좋은데, AI 얘기 나오면 바로 뒤따라오는 얘기가 뭐죠? 데이터입니다. 그런데 상태 정보만 가지고 보안관제센터(SOC)를 자율화시켜서 사람이 해야하는 또다른 작업을 만들 것이냐, 맥락 데이터를 가지고 AI 시스템이 직접 판단하게 만들 것이냐, 이걸 생각해야 합니다.”
18일 바이라인네트워크가 서울 잠실 롯데호텔에서 개최한 <사이버보안 기술전략 컨퍼런스 2026>에서 김용호 쿼드마이너 CTO가 발표를 마무리하며 던진 말이다. 이날 발표 전체를 압축한 한 문장이다. 그동안 보안 솔루션이 모아온 데이터는 “뭔가 일어난 것 같다”는 걸 알려주는 수준이었다. 하지만 이제 AI 시대에는 사람 없이도 스스로 판단할 수 있을 만큼 구체적인 데이터가 필요하다는 것이 김 CTO의 주장이다. 쿼드마이너는 이걸 ‘맥락 데이터’라고 부른다.
김 CTO는 이날 자사 NDR(네트워크 탐지·대응) 솔루션 ‘네트워크 블랙박스’를 한 단계 끌어올리는 v5.0 로드맵을 공개했다. 핵심은 네트워크를 오가는 데이터를 그냥 들여다보는 데서 그치지 않고, AI가 직접 위협을 판단하고 대응할 수 있는 수준까지 데이터를 정교하게 가공하겠다는 것이다. 네트워크 블랙박스는 네트워크의 모든 패킷을 빠짐없이 저장·분석하는 솔루션이다.
김 CTO에 따르면 현재 정보보안 세계에는 두 가지 이슈가 있다. 하나는 리빙 오프 더 랜드(LoL) 공격이다. 해커가 굳이 새로운 해킹 도구를 쓰지 않고, 회사 직원들이 평소에 쓰는 VPN, 원격 접속 프로그램, 윈도우의 파워셸 같은 정상적인 도구를 그대로 가져다 쓴다는 것이다. 정상 업무처럼 보이니 기존 보안 솔루션이 잡아내기 어렵다. 게다가 공격이 끝나면 로그와 기록까지 지워버린다.
또 하나는 이른바 미토스 쇼크다. 앤트로픽의 AI 모델 미토스가 오픈BSD라는 운영체제에 27년간 숨어 있던 버그를 찾아내고, 취약점을 발견한 지 단 10시간 만에 공격까지 끝내는 사례가 나왔다는 것이다. 김 CTO는 공격자가 침투를 준비하고 실제 공격에 나서기까지 걸리는 시간이 2018년에는 2.3년이었는데 지금은 10시간으로 줄었다고 설명했다. 김 CTO는 “기계의 공격 속도를 사람의 속도로는 막을 수 없다”고 단언했다. 사람이 경보를 보고, 조사하고, 판단하는 기존 방식 자체가 보안에 방해가 된다는 것이다.
이 때문에 보안업계에서는 AI가 보안 운영을 대신하는 방향으로 가고 있다. 김 CTO는 이걸 세 단계로 나눠 설명했다. 사람이 질문하면 AI가 답을 도와주는 ▲AI SOC, 여러 AI 에이전트가 협력해서 조사와 대응을 알아서 처리하는 ▲에이전틱 SOC, 그리고 사람 개입 없이 탐지부터 대응까지 전부 AI가 처리하는 ▲오토노머스 SOC다.
문제는 이 모든 단계가 결국 사람이 모아온 로그에 기대고 있다는 점이다. 김 CTO는 “지금 AI 탐지 시스템은 하루에 경보를 2만 건 넘게 쏟아낸다”고 말했다. 이 경보들은 추정일뿐이라, 결국 사람이 다시 들여다보고 진짜 위협인지 판단해야 한다. 그러다 보니 분석가는 지치고, 대응은 늦어지고, 사람마다 판단이 달라 일관성도 떨어진다.
김 CTO는 이 문제의 근본 원인을 데이터의 질로 짚었다. 그는 “지금 수집하는 로그는 ‘어떤 일이 있긴 했다’는 사실만 알려주는 상태 정보일 뿐, 그게 정확히 무슨 일이었는지는 말해주지 않는다”고 말했다. 이런 데이터로는 AI가 “이건 진짜 위협이다”라고 확신을 갖고 판단할 수 없다는 것이다.
그래서 그가 제시한 게 ‘맥락 데이터’다. 예를 들어 A 컴퓨터와 B 서버 사이에 데이터가 오갔다는 사실은 상태 데이터다. 이것만으로 정보유출 여부를 추정할 수 없다. 그런데 A는 인사팀 직원 컴퓨터고 B는 인사 서버가 아니라 일반 영업 서버인데, 그 직원이 퇴근하고 나서 접속해 큰 용량의 데이터가 전송됐다는 맥락 데이터까지 알면, 내부정보유출이 일어나고 있음을 추정할 수 있다.
김 CTO는 자사 네트워크 블랙박스의 기능을 비유로 설명했다. 기존 보안 솔루션의 수준은 ‘출입문 앞에 수상한 사람이 있는 것 같으니 확인해보라’는 정도라는 것이다. 누군가 있다는 건 알지만 그게 누군지, 뭘 하려는 건지는 모른다. 반면 네트워크 블랙박스는 “도둑이 문을 따려고 시도하고 있으니 경찰을 보내 잡아라”라는 수준으로 알려준다고 그는 설명했다. 누가, 언제, 무엇을, 어떻게 했는지를 구체적으로 알기 때문에 바로 행동에 나설 수 있다는 것이다.
김 CTO에 따르면, 이게 가능한 이유는 네트워크 블랙박스가 패킷을 빠짐없이 저장하고 복원하는 데서 끝나는 게 아니라, 그렇게 확보한 증거를 가지고 탐지부터 분석, 차단까지 사람 손을 거치지 않고 자동으로 이어붙이기 때문이다. 김 CTO는 이런 자동화 워크플로우 덕분에 조사와 대응에 걸리는 시간이 기존에는 며칠씩 걸렸던 게 몇 분으로 줄고, 사람이 직접 손대야 하는 작업도 80% 줄어든다고 밝혔다.
그에 따르면, 쿼드마이너는 여기서 한 단계 더 나아가려 한다. 첫 번째는 이메일이나 게시판 글 같은 콘텐츠를 AI로 분석해서, 내부 직원이 평소와 다르게 행동하는 걸 잡아내는 기술이다. 사내에서 작성되는 정상적인 업무 메일과 정보 유출 시도가 섞인 메일을 AI에게 학습시켜서, 둘을 구분하고 왜 의심스러운지 이유까지 설명해주는 방식이다.
두 번째는 여러 개의 AI 에이전트가 협력해서 조사를 자동으로 끝내는 기술이다. 사람이 “이 사건 좀 봐줘”라고 요청하면, AI 에이전트들이 차례로 이메일을 찾아보고, 위험도를 매기고, 관련 파일을 분석하고, 증거를 정리하는 식으로 단계를 밟아간다. 김 CTO는 “예전에는 AI가 위험하다는 신호만 주고 나머지는 사람이 다 해야 했는데, 이제는 사건 전체를 하나의 이야기로 정리해주고 바로 대응할 수 있는 증거까지 챙겨준다”고 말했다.
김 CTO는 “단순히 무엇이 있다는 것을 넘어서, 그게 무슨 의미인지까지 이해하는 게 맥락이고, 그 맥락 데이터가 있어야 AI 시대의 자율 보안 운영이 완성된다”고 강조했다.
이를 위해 가장 필요한 것은 AI에게 더 좋은 도구를 쥐여주는 것이 아니라 AI가 판단할 수 있는 좋은 데이터를 갖추는 게 먼저라는 것이라고 그는 방점을 찍었다.
글. 바이라인네트워크
<심재석 기자>shimsky@byline.network
