03 ​클라우드 보안을 위한 AI 솔루션

​│Senior Program Manager 김영욱

들어가며

2024년 1월 러시아 정부의 지원을 받는 해킹 그룹으로 알려진 미드나잇 블리자드(Midnight Blizzard)가 마이크로소프트에 사이버 공격을 시도하고 일부의 내부 이메일 계정에 접근하여 이메일 내용과 첨부 문서를 탈취했다.¹⁾ 마이크로소프트 보안 팀은 즉시 탐지와 동시에 대응 프로세스를 가동하여 공격 활동을 조사, 차단하여 피해를 최소화하였다. 이 사건은 레거시 시스템과 다단계 인증 미적용 계정의 취약성을 악용한 사례로 정교한 공격에 대비하는 보안 모니터링과 신속한 대응 체계의 중요성을 부각시켰다. 

그림 1 글로벌 사이버 위협 인덱스 맵 (출처: 체크포인트 리서치)

사이버 공격 사례는 매년 증가한다. 글로벌적으로 2024년에는 전년 대비 58% 증가하였고, 이것은 매주 1,673회의 공격 횟수로²⁾ 지속해서 증가하고 있을 뿐만 아니라, 그 전문성 역시 더욱 정교해지고 있다. 디지털 전환으로 클라우드 플랫폼이 기업과 조직 대부분의 기본 업무 환경이 된 상황에서 AI 기술이 클라우드 컴퓨팅 보안의 새로운 돌파구로 평가받고 있다.

현재 많은 산업에 AI가 빠르게 도입되고 있으나 아직 클라우드 보안 환경에 AI를 도입하여 사용하는 기업은 약 50% 정도에 지나지 않는다.³⁾ 더욱 심각한 것은 AI 기술이 도입된 후에 이를 관리하기 위한 정책을 세우는 기업이나 조직은 그 절반에도 못 미친다는 점이다. 이에 이번 글에서는 AI 기술이 클라우드 보안에 주는 이점과 중요성, 그 시장에 대해 다루어 본다.

AI의 도입 이점과 잠재적 위험

AI 기술을 클라우드 보안에 도입하면 효율성과 보안 강화에 강점을 기대할 수 있다. 동시에, 공격자의 위협을 강화할 수도 있기에 잘 이해하고 사용할 수 있어야 한다.

도입 이점

클라우드 보안에 생성형 AI를 도입하였을 때 기대할 수 있는 효과는 많다. 

먼저 위협 탐지에 효과적인 대응이 가능하다. 대규모 언어 모델(LLM)은 방대한 양의 클라우드 보안 데이터를 분석하여 기존 시스템에서 놓칠 수 있는 이상 또는 잠재적 위협을 선제적으로 식별할 수 있다. 비정상적인 로그인 패턴이나 데이터 접근 요청 또는 API 호출을 감지하여 보안 팀에 실시간으로 알림과 경고를 할 수 있다.

두 번째는 자동화된 프로세스의 운영이 가능하다는 점이다. 생성형 AI를 사용하면 수많은 클라우드 보안 작업 프로세스를 자동화하는 데 많은 이점이 있다. 보안 경고 내용을 분석하고 심각도와 잠재 영향에 따라 우선순위를 지정할 수 있고, 해당 팀에 적절한 조치를 제안할 수 있다. 또한 클라우드 환경 전반의 보안 정책을 정의하고 구현 및 시행하여 일관된 보안 규정 요구 사항을 준수할 수 있어 자동화된 정책 관리가 가능하다. 그뿐만 아니라 사고에 대한 데이터를 수집하고 영향을 받은 시스템을 식별하여 수정을 제안할 수 있다. 

세 번째는 잠재적인 위협과 취약성을 먼저 탐색하고 발견하여 공격이나 악용되기 전에 선제적으로 위험을 식별할 수 있다. 클라우드 구성을 분석하여 잘못된 보안 구성 사항이 있는지 식별하고 전반적 보안 상태를 개선하기 위한 시정 조치를 제안할 수 있다. 또한 생성형 AI는 IT 관리자가 클라우드를 관리 시 보안 문제를 식별하고 그 내용 이해를 도울 수 있고, 개발자에게는 좀 더 안전한 코드를 생성하는 방법을 제안함으로써 보안 전문가의 업무 부담을 줄이고 효율성을 개선할 수 있다.

잠재적 위험

잠재적 위험의 첫 번째는 공격자 무기를 강화할 수 있다는 것이다. 생성형 AI는 사이버 공격자의 공격도 효율적으로 만들고 강화할 수 있다. 기존 보안 방어 수단을 우회하고 탐지하기 어려운 악성 코드를 생성할 수 있을 뿐만 아니라 공격 대상 조직의 특정 역할의 인물을 타깃으로 삼을 수 있다. 이는 개인화된 설득력 있는 피싱 이메일을 작성할 수 있게 하여 공격의 성공 가능성을 높인다. 음성이나 영상을 사용하는 딥페이크를 생성하여 개인을 사칭하는 등 정교한 공격 및 접근이 가능해진다.

두 번째는 학습 데이터 자체의 문제가 드러날 수 있다. 조직에서 사용 중인 생성형 AI의 학습 데이터를 조작하여 생성 결과물에 영향을 미치고 보안 기능을 손상시킬 수 있다. AI에 민감 정보를 무의식적으로 입력한 경우 적절한 보호 장치가 없다면 해당 데이터는 무자비하게 노출될 수 있다. 

세 번째는 기존 클라우드의 보안 문제를 악화시킬 수 있다. 클라우드 아키텍처의 복잡성이 증가하면서 공격할 수 있는 영역 또한 넓어졌다. AI는 이러한 환경을 보호하는 데에 사용될 수도 있지만 공격자가 이를 더 효과적으로 악용할 수도 있다. 공격자가 본인 활동을 은폐하고 클라우드 환경의 가시성을 확보하고 제어할 수 있다. 이런 경우 위협 또는 공격을 식별하고 대응하기 어려워진다.

그림 2 클라우드 환경 내 AI의 주요 위험 (출처: SUSE)⁴⁾

AI 도입을 위한 보안 이니셔티브

AI의 도입은 기술 혁신의 가능성을 열어 주는 동시에 보안 리스크를 더욱 심각하게 만들 수 있는 잠재적 위험성도 동반한다. 따라서 이를 도입할 시 클라우드 환경 보안 강화를 위한 정책과 솔루션 도입이 필요하다. 보안을 강화하기 위한 중요 요소로는 제로 트러스트 원칙⁵⁾, 데이터 안전 관리를 위한 태그 지정, 자동 백업 및 실시간 모니터링 시스템이 있다. 조직에서 생성형 AI포함 AI 기술을 올바르게 사용하고 보안을 강화하기 위해선 개인정보와 데이터 보안을 위한 대책을 마련하고, 안전한 사용을 위한 가이드라인도 필요하다.

그림 3 클라우드 보안의 주요 기본 요소 (출처: peoplactive)⁶⁾

다층 보안 전략(Multi-Layer Security)

다층 보안 전략은 데이터 백업, 이메일 필터링, 엔드포인트 탐지 및 대응(EDR), 정기적인 소프트웨어 업데이트, 액세스 제어, 보안 평가 등을 포함한다. 동시에 API 보안, ID 및 접근 관리, 강력한 API 게이트웨이, 다단계 인증, 클라우드 보안 태세 관리(CSPM)와 같은 고급 클라우드 보안 솔루션 도입도 필요하다. 특히, 소프트웨어 공급망 보안을 강화하여 AI 모델 및 소프트웨어의 신뢰성을 보장하고, 공급망 전반에서의 보안 점검을 정기적으로 수행해야 한다. 마이크로소프트는 애저 액티브 디렉토리를 활용하여 다중 요소 인증 및 조건부 액세스 정책을 통해 제로 트러스트 아키텍처를 제공한다.⁷⁾ 또한 Splunk, IBM의 QRadar, 마이크로소프트 센티넬(Sentinel)과 같은 보안 정보 및 이벤트 관리(SIEM) 솔루션을 통해 실시간 위협 감지 및 대응 체계를 강화한다.

그림 4 SIEM 매직 쿼드런트 (출처: 가트너)⁸⁾

AI 기반 예방 및 탐지 시스템

AI 기반 예방 및 탐지 시스템은 위협이 확산되기 전에 이를 감지하고 완화하는 데 필수적이다. 조직은 ID, 클라우드, 엔드포인트, 데이터 보호 간의 상호 작용을 통합적으로 이해하고 공격표면에 대한 360도 가시성을 확보해야 한다. 의료 산업의 경우 CSPM 도구를 통해 클라우드 환경의 구성 오류를 점검하고, 비정상적인 데이터 접근 시도를 실시간으로 탐지하여 차단하는 시스템을 도입해 환자 데이터를 보호할 수 있다. 네이버클라우드가 9개 국립병원의 병원정보시스템(HIS)을 자사 클라우드 플랫폼 기반으로 통합 구축한 사례가 있다.⁹⁾ 이는 공공 의료기관의 병원정보시스템을 클라우드로 전환한 첫 사례로 네이버클라우드는 자체 보안 서비스와 모니터링 활동을 통해 의료 데이터를 안전하게 관리하고 취약점 관리, 위험 탐지, 대응 등을 통해 데이터 보안을 강화했다.

새로운 위협에 대한 지속적 대응

제로데이 공격(Zero-Day Attack)¹⁰⁾과 같은 새로운 취약점에 대비하기 위해 취약점 관리 프로그램을 운영하고 최신 위협 정보를 반영한 대응 방안을 지속해서 업데이트해야 한다. 조직에서 취약점 발견 즉시 대응팀을 구성하여 신속하게 패치를 적용하고 추가적인 보안 조치를 취함으로써 보안 사고를 예방할 수 있다. IT 인프라에 대한 액세스를 간소화하고 보호하는 데 중점을 둔 사이버 보안 회사인 텔레포트(Teleport)의 CI 파이프라인의 취약점을 통해 공격자가 시스템에 무단 접근하여 회사의 기밀 사항을 공개하는 사건이 있었다.¹¹⁾ 이는 취약점 테스트와 모니터링, 데이터 마스킹 및 합성 데이터 사용, 최소 권한 원칙 적용 등을 통해 보안 수준을 높여야 한다는 교훈을 제공한다.

클라우드 AI 보안 솔루션의 중요성

클라우드 컴퓨팅의 빠른 변화에 수동으로 보안 사항에 일일이 대응하는 것은 거의 불가능한 일이다. 이제는 머신러닝과 생성형 AI를 통해 방대한 데이터를 분석하고, 패턴을 식별하고, 악의적인 활동을 선제적으로 탐지할 수 있어야 한다. 사이버 위협이 AI로 인해 정교하고 강화되고 있는 데 반해 보안 분야의 인력은 부족하다.¹²⁾ AI 기반의 보안 솔루션은 기존 보안 팀의 역량을 강화하여 작업을 자동화하고, 워크플로우를 간소화하여 전문가의 인력 문제를 해결할 수 있기에 전략적 이니셔티브에 집중할 수 있는 역량을 지원한다.

클라우드 AI 보안 솔루션 리더

보안 솔루션이 갖춰야 할 핵심 요소를 중심으로 클라우드 AI 보안 솔루션을 소개하고자 한다. 대규모 조직과 클라우드 기반 인프라의 복잡성을 효과적으로 보호하기 위한 확장성, 실시간 탐지, 자동화, 행동 기반 분석을 기준으로 선정해 보았다.

1. 마이크로소프트

마이크로소프트 센티넬, 클라우드 디펜더, 엔드포인트 디펜더, 보안 코파일럿 등의 풀 스택 보안 솔루션을 제공한다. 이 중에서 최근 가장 각광받는 보안 코파일럿은 복잡한 위협 데이터를 분석하여 심층 분석과 대응 전략이 포함된 인사이트를 제공한다. 또한 대화형 인터페이스와 자연어 처리를 통해 보안 팀의 업무 효율성을 크게 향상시킨다. 마이크로소프트의 다른 서비스를 이용하는 고객이라면 애저 생태계 통합을 통해 큰 편리함과 효율을 기대할 수 있으며 멀티클라우드 지원, 그리고 다층 보안 전략을 통해 360도 가시성과 강화된 보안을 기대할 수 있다.

그림 5 마이크로소프트 보안 코파일럿 동작 다이어그램 (출처: 마이크로소프트)¹³⁾

2. 센티넬원(SentinelOne)

센티넬원은 특허받은 행동 AI를 통해 군사 등급 예방, 감지, 대응을 지원한다. 인터넷 연결이 필요하지 않으며 사람의 지속적인 감독 없이 위협을 탐지하고 대응과 해결을 자동화하여 대응에 필요한 시간을 대폭 단축시킨다. 또한 랜섬웨어 공격 시 파일 및 시스템 상태를 원래대로 되돌릴 수 있는 강력한 복구 기능을 제공한다는 차별점을 갖고 있다. 하이브리드 및 멀티클라우드 환경을 보호하며 높은 효율성을 제공하기도 한다. 기존 보안 방식보다 빠르게 위협을 식별하고 완화하는 자율형 AI와 기존 인프라와의 원활한 통합을 제공하여 큰 시스템 개편 없이도 전반적 보안을 강화할 수 있는 것이 특징이다. 금융 보험 도메인에 많은 고객을 갖고 있는 프로바이더이다. 

그림 6 센티넬원 싱귤래리티 플랫폼 (출처: 센티넬원)

3. 다크트레이스 (DarkTrace)

다크트레이스는 사전에 정의된 규칙이 아닌 네트워크와 디바이스의 조직 운영의 고유한 패턴을 자율적으로 학습하고 이해하여 새로운 위협과 이상 징후를 탐지하는 AI 기능을 제공한다. 위협이 생기면 자율적으로 실시간 대응 조치를 취하고 감염된 디바이스를 네트워크에서 격리하거나 비정상적인 트래픽을 자율적으로 차단할 수 있다. 또한 온프레미스, 클라우드, 하이브리드, IoT 등 다양한 환경에서 보안 솔루션을 제공하며 탐지된 위협의 심각성과 우선순위를 판단하여 긴급 조치를 취해 보안 리소스를 효율적으로 사용할 수 있다. 

그림 7 다크트레이스 클라우드 AI 보안 솔루션 구조 (출처: 다크트레이스)

마무리

클라우드 플랫폼이 조직의 디지털 환경 전반을 중앙에서 통합 관리하여 기존의 단편적인 보안 솔루션에서 발생하던 가시성 부족 문제를 해결할 것이란 관점에서, AI 기술은 클라우드 보안 솔루션에 통합되어 대량의 데이터를 분석하고 악의적 활동 패턴을 감지하여 실시간 진화하는 위협을 선제적으로 식별 및 대응할 수 있을 것으로 전망한다. 특히 식별된 결과를 데이터 시각화와 요약을 통해 보안 전문가에게 직관적이고 실질적인 인사이트를 제공할 때 그 부가가치는 극대화될 것으로 전망한다. 

보안 전문가가 부족한 상황에서, 금융이나 유통과 같은 특정 산업에서 생성형 AI가 악용될 가능성이 증가함에 따라 이를 보완할 수 있는 AI 기반 보안 솔루션 도입이 필요하다. 기업이나 조직에서는 보안 강화를 위해 엔드포인트 간 연계를 이해하여 360도 가시성을 확보해 공격 목표가 될 수 있는 모든 표면 모니터링이 필요하며, 취약점 관리 프로그램을 통해 패치 우선순위를 설정하고, 위협 인텔리전스와 공격표면 관리 도구를 활용하여 새로운 취약점에 신속히 대응해야 한다. 보안 솔루션 및 AI를 통해 반복 작업을 자동화하고 보안 전문가가 전략적 업무에 집중할 수 있도록 지원하고 교육 등을 통해 조직의 보안 인식을 강화하는 다층 보안 접근법을 실행하면 심각한 보안 사고를 예방하고 변화하는 위협 환경에 빠르게 적응할 수 있을 것이다.

참고문헌

1) Microsoft, Midnight Blizzard: Guidance for responders on nation-state attack, Jan 25, 2024

2) Check Point Research, THE STATE OF CYBER SECURITY 2025

3) Kaspersky, More than half of companies use AI and IoT in their business processes, Mar 01, 2024

4) SUSE, “Securing the cloud”, Oct 2024

5) '절대 신뢰하지 않고 항상 확인'한다는 접근 방식을 취하는 보안 모델이다. 마치 회사 건물의 모든 출입구에 보안 게이트를 설치하고, 조직원이라도 매번 신분증을 확인하는 시스템과 같다.

6) Peoplactive, “A Face-off Between Cybersecurity and Cloud Security”, Nov 2023

7) Microsoft, What is Conditional Access?, Mar 19, 2024

8) 가트너, Magic Quadrant for Security Information and Event Management, May 8, 2024

9) 이코노믹데일리, 네이버클라우드, 9개 국립병원 차세대 병원정보시스템 구축, May 20, 2024

10) 소프트웨어나 하드웨어의 보안 취약점이 개발자나 사용자에게 알려지기 전에, 또는 알려진 지 얼마 되지 않아 해당 취약점에 대한 패치나 해결책이 제공되기 전에 이를 악용하는 사이버 공격을 말한다. '제로데이'란 취약점이 공개된 후 개발자에게 남겨진 시간이 0일이라는 의미로, 즉시 대응이 어렵다는 점을 강조한다.

11) CodeSigning, 8 Steps for Securing Your CI/CD Pipeline

12) Google Cloud, Deloitte, Entering the Era of Generative AI-Enabled Security

13) 마이크로소프트, Microsoft Security Copilot이란?, Nov 19, 2024