센티넬원 “엔드포인트 로그 분석은 AI 몫”

보안 정보·이벤트 관리(SIEM) 패러다임이 로그를 직접 수집하고 분석하던 방식에서 생성형 AI 기반 자율 운영 체계로 진화하고 있다.

박정수 센티넬원 전무는 지난 18일 바이라인네트워크가 주최한 ‘사이버보안 기술 전략 컨퍼런스 2026’에서 “최근 보안 벤더의 핵심 메시지는 오토노머스(자율화)”라며 “분석과 판단을 AI가 해주는 자율 보안관제센터(SOC)로 나아가야 한다”고 말했다. 그는 이날 ‘AI-SIEM 시대의 보안 운영 혁신’을 주제로 발표했다.

박 전무는 먼저 시그니처 기반 백신의 한계를 짚었다. 파일 스캔 방식이므로 윈도우 기본 커맨드를 악용한 공격에 취약하고, 신종 랜섬웨어가 나올 때마다 시그니처를 업데이트해야 해서 그 사이 발생하는 제로데이 공격에 무방비로 노출될 수밖에 없다는 설명이다.

그는 또한 최근 공격자들이 패킷을 조각내서 보내는 ‘패킷 분할 공격(Fragmentation Attack)’을 시도하거나 트래픽 자체를 암호화하기 때문에, 네트워크 단독 탐지로는 전체 공격 프로세스를 분석하는 데 한계가 있다고 지적했다.

센티넬원은 이에 대응해 엔드포인트 내 모든 행위 데이터를 로깅·추적하는 엔드포인트 탐지 및 대응(EDR), 나아가 인프라 전체 로그를 통합 분석·대응하는 확장형 탐지 및 대응(XDR) 플랫폼으로 솔루션을 확대해왔다.

센티넬원의 ‘싱귤래리티(Singularity)’ 플랫폼은 탐지된 행위 로그의 맥락을 보고 비정상적 행위로 판단되면 공격으로 간주해 차단한다. 공격 프로세스를 시각적으로 매핑해주는 ‘스토리라인’ 기능도 제공한다. 박 전무는 “엔드포인트 로그가 완벽히 맵핑된다면 공격이 발생했을 때 100% 분석해낼 수 있다”고 자신했다.

이때 플랫폼에 쌓이는 방대한 로그 분석을 지원하는 것이 센티넬원의 AI 에이전트 ‘퍼플 AI’다. 퍼플 AI는 검색 증강 언어 모델(RALM) 아키텍처를 바탕으로 작동하며, 보안 담당자 대신 서치 쿼리를 짜서 위협을 추적한다. 특정 IP에서 유입된 프로세스 로그를 모두 찾아달라고 자연어로 명령하면 해당 로그를 찾는 전용 검색 쿼리를 작성해 주는 식이다.

퍼플 AI는 모델 컨텍스트 프로토콜(MCP) 서버를 통해 클로드나 제미나이 등 외부 AI 모델과도 연동된다. 외부 AI가 위협 인텔리전스를 학습해 탐지 룰을 생성하면, 내부 데이터에 특화된 퍼플 AI가 이를 한 번 더 검증해 대시보드나 리포트에 반영하는 구조다. 예를 들어 “라자루스 그룹(Lazarus Group)과 연관된 공격 징후를 찾아서 매핑해줘”라고 명령하면, 외부에서 학습한 최신 공격 패턴과 내부 인프라 로그를 대조해 탐지 룰셋과 대시보드를 생성한다.

오탐·정탐도 알아서 가려낸다. 자동 트리아지(우선순위 분류) 기능으로 AI가 로그를 분석해 알림이 테스트 경보인지 실제 공격인지 판별한 뒤 리포트를 생성한다. 관제 인력이 하루 수백개 알림을 일일이 확인할 필요가 없어 대응 시간이 단축된다.

서드파티 확장 대응도 지원한다. 팔로알토·포티넷·옥타 등 180여개 글로벌 보안 솔루션과 API를 연동, 침해 발생 시 별도 데이터 파싱 없이도 해당 솔루션의 동일 시점 로그를 보여준다. 담당자는 다른 콘솔로 이동하지 않고 플랫폼 내에서 사용자 계정을 잠그거나 패스워드 재인증을 강제할 수 있다.

박정수 전무는 “과거에는 SIEM 구축을 위해 로그를 파싱하고 대시보드와 룰셋을 직접 만드느라 많은 시간과 비용을 썼지만 이제는 AI를 통해 이를 자동으로 생성하는 구조”라며 “보안 담당자는 로그 분석에서 벗어나 정책 수립이나 솔루션 도입 등 고유 핵심 업무에 집중해야 한다”고 말했다.

글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network