안랩 “에이전틱 AI로 해커 속도 잡겠다”
“공격자가 최종 목표를 달성하는 데까지는 약 1시간 정도면 충분합니다. 반면 보안팀이 이를 탐지하고 조치하는 데는 약 11일이 걸립니다.”
<바이라인네트워크>가 지난 18일 서울 송파구 잠실 롯데호텔 3층 크리스탈볼룸에서 개최한 ‘사이버보안 기술 전략 컨퍼런스’에서 이건용 안랩 팀장은 이같이 밝혔다.
이 팀장은 사이버 공격자는 분·시간 단위로 움직이는 반면 방어자는 탐지와 대응에 수일이 걸리는 불리한 속도 격차가 현재 보안 환경의 현실이라고 꼬집었다. 그는 “처음에 정찰과 무기화 그 다음에 전달까지 하는 데 약 21분 정도가 소요된다”며 “그 단계를 지나서 악성코드를 설치하고 확산하는 데까지 약 48분, 그리고 공격자가 최종 목표를 달성하는 데까지는 약 1시간 정도면 충분하다”고 설명했다.
이 팀장은 대응 속도 격차가 벌어지는 주요 원인으로 인공지능(AI)을 꼽으며 공격 방식의 변화를 주목했다. 그는 “AI는 우리에게 생산성을 가져다 주지만 반대로 공격자들에게는 머신 스케일(Machine Scale)의 무기를 제공하게 된다”고 설명했다.
머신 스케일은 기계 수준의 압도적인 속도와 규모로 이뤄지는 공격 방식을 말한다. 실제로 불법 다크 AI(Dark AI)를 이용하면 코딩 경험이 없어도 프롬프트만으로 공격 코드를 무한정 생성할 수 있어 해킹 진입 장벽이 크게 낮아졌다.
안랩 측은 다가오는 머신 스케일의 공격을 방어할 차세대 핵심 무기로 에이전틱 AI(Agentic AI)를 제시했다.
에이전틱 AI의 개념에 대해 이 팀장은 “스스로 학습도 하고 판단도 하며 계획을 세우고 그 계획에 따라서 절차도 수행하며 필요에 따라서는 대응까지도 할 수 있는 자율적인 에이전트”라고 설명했다. 이는 묻는 말에 텍스트나 이미지로 답변만 제공하는 기존 생성형 AI(Generative AI)에서 한발 더 나아가 능동적으로 판단하고 조치하는 기술이다.
그는 “위협이 발생했을 때 에이전틱 AI가 스스로 이것들을 분해하고 우선순위를 매겨 위험도가 높은 것들은 자동으로 분석한다”며 “스스로 어떤 정보들을 더 찾아 더 조사를 하고 필요하면 사용자에게 경고를 주며 조치까지도 할 수 있다”고 강조했다.
안랩은 방어 속도를 끌어올리기 위해 자사 플랫폼 전반에 에이전틱 AI 기술을 총 3단계로 나누어 적용한다. 첫 번째는 보안 담당자를 돕는 AI 어시스티드 보안 운영(Assisted SOC) 단계다. 이 팀장은 “다양한 로그를 가지고 위협을 분석하고 우선순위화해 관리자에게 가이드해주는 AI 인사이트 기능은 다음 달 출시될 예정”이라고 말했다.
두 번째는 시스템 스스로 판단하고 조치하는 AI 네이티브 보안 운영(Native SOC) 단계다. 이 팀장은 “탐지부터 대응까지 전 과정을 정말 자동화할 수 있는 네이티브 보안 운영 영역은 올해 말 적용될 것”이라고 밝혔다.
마지막 3단계는 사전에 위협을 예측하고 방어하는 체계다. 이 팀장은 “내년에는 레드티밍(Red Teaming)과 블루티밍(Blue Teaming) 측면까지 고려해 사전 예측 및 방어 체계를 진행하고 있다”고 설명했다.
이 팀장은 AI 기반의 자동화된 보안 운영이 다가올 머신 스케일 공격에 대응하기 위한 필수 요소라고 거듭 강조했다. 그는 “머신 스케일 공격자들이 빠르게 공격을 하고 있기 때문에 이를 대응하는 데 굉장히 필수적인 내용”이라며 “데이터 외부 반출 우려가 없는 자체 AI 모델을 기반으로 확장형 탐지·대응(XDR)과 엔드포인트 탐지·대응(EDR)을 시작으로 전 제품에 단계적으로 적용해 나갈 것”이라고 말했다.
글. 바이라인네트워크
<김원민 기자>wmkim627@byline.network
