위협 탐지와 대응 작업을 돕는 보안 엔지니어의 영원한 동반자 ‘Duet AI’
‘사이버 보안’은 아무리 강조해도 지나치지 않지만 아직도 많은 조직이 보안 투자 확대를 주저하고 있습니다.
보안 이슈가 발생하기 전에는 심각성을 체감할 수 없는 것이 보안 사고이기 때문에, 기업에서는 최신 솔루션 도입부터 전문 인력 보강 등 투자를 주저하고 있는데요.
이런 상황에서 보안 엔지니어의 업무를 도울 수 있는 구글 클라우드의 생성형 AI 기반 서비스가 등장했습니다.
📌엄청난 양의 데이터 속에서 보내는 일상
보안 엔지니어에게 위협 탐지 대응 활동은 처음부터 끝까지 엄청난 양의 데이터를 마주하는 일입니다. SIEM, SOAR 등 다양한 보안 솔루션은 매일 같이 대량의 데이터를 쏟아 냅니다. 보안 엔지니어를 경보(Alert) 홍수 속에서 조직에 실제 위험을 가져올 수 있는 위협을 식별해야 합니다.
예를 하나 들어 보겠습니다. 보안 엔지니어의 눈에 우선순위 높은 분석 대상 경보가 눈에 들어왔다고 가정하겠습니다. 보안 엔지니어는 업무 절차에 따라 위협 인텔리전스를 참조해 잠재적인 위협 행위자의 실체를 파악하려고 합니다. 위협 인텔리전스에서 북한의 유명한 공격 그룹으로 알려진 APT43을 검색해 보니 엄청난 양의 정보가 결과로 제시됩니다. 방대한 양의 정보를 하나하나 다 읽을 시간이 부족할 때 Duet AI를 활용한다면 핵심 내용만 추려 확인할 수 있습니다.
위의 화면은 구글 클라우드에 합류한 맨디언트의 위협 인텔리전스 어드밴티지 서비스 콘솔입니다. 앞서 예로 든 바와 같이 보안 엔지니어가 APT43을 검색하면 결과와 함께 화면 오른 쪽에 Duet AI의 요약 결과를 확인할 수 있습니다. 이 내용만 봐도 APT43이 어떤 전략, 전술, 절차(TTP)를 거쳐 공격을 수행하는 지 특성을 파악할 수 있습니다.
보안 엔지니어는 다음 작업으로 실제 침해 시도가 있었는지 확인합니다. 이 작업은 의심스러운 위협 행위자의 특성을 파악하는 것보다 더 많은 시간과 노력이 듭니다. 이 역시 Duet AI의 도움이 큰 역할을 합니다. 보안 엔지니어는 구글 Chronicle 보안 운영 플랫폼에서 UDM 이벤트를 확인합니다. 확인하고자 하는 이벤트가 있다면 다음과 같이 자연어로 입력해 찾으면 됩니다.
자연어 검색만으로 실제 조직의 인프라를 대상으로 침해를 시도하는 것 같은 이벤트를 추려 볼 수 있습니다.
Deut AI는 주요 이벤트를 참조해 보안 엔지니어에게 후속 작업에 대한 조언도 제공합니다. 보통 보안 엔지니어들의 업무 과정은 실제 위협을 식별하고 우선순위를 정해 대응하는 일련의 과정은 의사결정의 연속입니다. 이런 이유로 팀 단위의 프로젝트에서 경험이 많은 시니어 엔지니어에게 과도하게 의존하게 되는 경향이 있는데요. Deut AI는 경험이 많지 않은 주니어 엔지니어도 빠르고 정확하게 의사결정을 할 수 있도록 돕습니다. 이는 팀 측면에서 보면 팀의 역량이 상향 평준화됨을 의미합니다.
Deut AI의 조언에 따라 추가 조사를 하기로 결정한 보안 엔지니어는 구글 클라우드의 Security Command Center에서 YARA 탐지 룰을 실행해 본격적인 대응에 나섭니다.
이상으로 보안 운영에 있어 Deut AI가 보안 엔지니어의 하루 일상을 어떻게 바꿀 수 있는 지 알아보았습니다. 더 자세한 내용이 궁금하시면 메가존소프트로 문의 바랍니다. 👉 메가존소프트 문의 바로가기
