검색엔진 빙에 생성 AI 기술인 챗GPT를 적용한 마이크로소프트는 3월 말 사이버 보안 분야에서도 생성 AI를 이용한 대응 솔루션 '시큐리티 코파일럿(Security Copilot)'을 가장 빠르게 선보였습니다. 마이크로소프트는 AI개발업체 오픈 AI에 투자하면서 자사 솔루션에 GPT를 빠르게 내재화하고 있는 것입니다.

시큐리티 코파일럿은 오픈AI의 최신 생성 AI인 GPT-4와 마이크로소프트 사이버 보안 모델을 통합한 형태입니다. 마이크로소프트 시큐리티 코파일럿은 방어자가 침해를 식별하고, 매일 발생하는 엄청난 신호와 데이터를 분별할 수 있도록 설계됐습니다. 또한 마이크로소프트가 그동안 수집해 온 위협 인텔리전스(사이버 공격 관련 정보)에 보안 관련 기술까지 통합됐습니다. 이를 기반으로 보안 담당자에게 정보를 제시합니다.

마이크로소프트 사이버 보안 분야는 2022년 매출이 200억 달러 규모였습니다. GPT-4를 사이버 보안 분야에 도입하며 새로운 전기를 마련할 것으로 보입니다. AI를 적용한, 사이버 보안의 선구적인 프로그램인 만큼 이 시큐리티 코파일럿을 자세히 들여다보는 것은 우리의 현재 위치를 가늠해 볼 수 있는 좋은 기회가 될 것입니다.

마이크로소프트 시큐리티 코파일럿

마이크로소프트 시큐리티 코파일럿은 일종의 '똑똑한 사이버 보안 동료의 등장'으로 보면 됩니다. 사용법도 간편합니다. 시큐리티 코파일럿에게 오늘의 사이버 보안 위협에 대해 질문하면 됩니다. "우리 조직에 발생한 보안 사고는 무엇입니까? 오늘의 보안 위협에는 어떤 것이 있습니까?" 사이버 보안 담당자는 검색창에 질문하는 것으로 보안 이슈를 바로 파악할수 있습니다.

시큐리티 코파일럿은 보안 분석가를 대체하는 것이 아니라 지원하는 것에 초점을 맞췄습니다. 보안 전문가는 시큐리티 코파일럿을 사용해 사고 조사를 돕고 사고 경위를 신속하게 요약하고 보고할 수 있습니다. 시큐리티 코파일럿에는 보안팀이 공동 작업하고 정보를 공유할 수 있는 핀보드 섹션도 들어 있어, 보안 협업에 새로운 도구로 부상할 수 있습니다.

공격은 언제나 수비보다 빠릅니다. 마이크로소프트는 GPT-4와 위협 인텔리전스를 통합해 이런 간극을 메우는 데 집중했습니다. 또한 시큐리티 코파일럿은 AI 속도로 대응해 조직의 사이버 위협 대응 시간을 줄이는 데 중점을 뒀습니다. 보안 사고는 일분 일 초를 다투며 대응해야 합니다. 사고를 인지한 후 얼마나 빠르게 대응하느냐가 데이터 유출 등의 피해 규모를 줄이는 데 결정적이기 때문입니다. 마이크로소프트는 코파일럿을 사용하면 보안팀이 몇 시간 혹은 며칠이 아닌 몇 분 안에 보안 사고에 대응할 수 있다고 설명했습니다.

시큐리티 코파일럿은 사고 조사 대응도 빠르게 지원합니다. 자연어 처리 능력을 기반으로 사고 경위를 신속하게 요약해 전달합니다. 시큐리티 코파일럿은 사람이 놓치는 것도 잡아낼 수 있다고 마이크로소프트는 강조했습니다. 해커는 들키지 않기 위해 숨는 기술에 능숙합니다. 하지만 시큐리티 코파일럿을 사용하면 해커의 은닉 기술이나 행동, 위협 신호를 보다 빠르게 감지할 수 있습니다.

시큐리티 코파일럿은 우선 순위가 지정된 위협이 발생했는지 실시간으로 파악하면서 마이크로소프트 글로벌 위협 인텔리전스를 기반으로 추론을 통해 해커의 다음 행동을 예측합니다. 시큐리티 코파일럿은 보안 전문가 부족 문제도 해결합니다. 신입 보안팀 직원은 시큐리티 코파일럿을 통해 보안과 관련한 정보를 습득하고 기술을 높일 수 있습니다. 시큐리티 코파일럿은 사용자 상호 작용을 통해 지속적으로 학습하는데, 기업체의 기본 보안 수준을 분석하고 먼저 보안팀원에게 조언합니다.

마이크로소프트는 시큐리티 코파일럿 시스템을 통해 고객의 보안 환경을 조회하게 되겠지만 해당 데이터는 대규모 언어 모델 훈련에 사용되지 않는다고 강조했습니다. 각 기업의 민감한 데이터와 위협 정보가 공개될 수 있기 때문입니다. 이러한 걱정 없이 이미 마이크로소프트 내부 엔지니어들은 시큐리티 코파일럿을 사용해 업무를 수행하고 있습니다.

바수 자칼 마이크로소프트 수석 보안 부사장은 "지난 몇 년간 사이버 공격의 빈도, 정교함, 강도가 절대적으로 증가했다. 수비수가 공격의 확대를 억제할 수 있는 시간이 많지 않다. 이제 균형이 공격자 쪽으로 이동했다"라고 말했습니다. 그는 "시큐리티 코파일럿은 1천 개의 사이버 위협 경고를 처리한 후 중요한 두 가지 사례만 선별해 몇 초 만에 알려준다"라고 말했습니다.

구글의 반격, 보안 강화한 클라우드 서비스

구글은 마이크로소프트와 오픈AI 연합군에 맞서는 새로운 플랫폼을 공개했습니다. 구글은 2022년, 54억 달러를 들여 사이버 위협 인텔리전스 전문 기업인 맨디언트(Mandiant)를 인수했습니다. 맨디언트는 사이버 위협 인텔리전스 분야에서 독보적인 지위를 가진 기업입니다. 마이크로소프트도 맨디언트 인수에 높은 관심을 보였지만 결국 맨디언트는 구글의 품에 안겼습니다.

구글은 맨디언트의 위협 인텔리전스를 클라우드에 접목해 보안 운영의 대중화를 꾀합니다. 구글 클라우드 유저를 위한 특화 서비스로 만드는 것입니다. 맨디언트의 정교한 사이버 위협 감지와 대응 경험을 구글 클라우드 고객에게 보다 쉽고 빠르게 전달합니다. 구글은 고객에게 사고가 발생하기 전에 잠재적인 보안 문제를 찾아 검증하게 한다는 목표를 세웠습니다.

구글 클라우드는 지난 4월 24일에 사이버 보안을 위해 특별히 설계된 섹-팜(Sec-PaLM)으로 구동되는 보안 플랫폼 '구글 클라우드 시큐리티 AI 워크벤치(Google Cloud Security AI Workbench)'를 발표했습니다. 섹-팜은 구글이 이전에 개발한 대규모 언어 모델(LLM)인 팜(PaLM)모델을 수정한 버전으로 맨디언트의 위협 인텔리전스를 적용했습니다. 여기에 구글이 이전에 수집한 위협 인텔리전스 데이터까지 처리했습니다.

구글 클라우드 시큐리티 AI 워크벤치는 섹-팜을 사용해 보안 위협을 탐색하고, 요약해, 조치를 취하는 맨디언트의 다양한 AI 도구를 포함합니다. 수닐 포티(Sunil Potti) 구글 클라우드 보안 총괄 겸 부사장은 "인프라를 생성할 때 자동으로 보안 정책, 보안 제어, 보안 설계를 생성해 주는 세상을 상상하라. 보안 운영과 관리 세계에 변혁을 불러 올 것이다"라고 말했습니다.

구글 클라우드 시큐리티 AI 워크벤치에는 '바이러스 토털 코드 인사이트(Virus Total Code Insight)' 기능이 포함되었는데, 이를 통해 사용자는 스크립트를 가져와 악의적인 동작을 분석할 수 있습니다.

레코디드 퓨처, GPT기반 사이버 보안 분석 도구 내놔

보안 전문기업들도 GPT 기반 사이버 보안 분석 도구를 내놓는 데 열심입니다. 위협 인텔리전스 개발 기업 레코디드 퓨처(Recorded Future)는 세계 최대 규모의 사이버 보안 행사 RSAC 2023에서 GPT 기반 사이버 보안 분석 도구를 전시했습니다.

레코디드 퓨처는 오픈AI GPT모델 신경망을 기반으로 위협을 탐지하는 사이버 보안 도구 '레코디드 퓨쳐 AI'를 공개했습니다. 레코디드 퓨처는 이 제품에 기능세트가 다른 6개 이상의 다른 AI 모델도 포함됐다고 밝혔습니다.

레코디드 퓨처는 100테라바이트의 사이버 보안 데이터를 GPT에 학습시켜 도구를 개발했습니다. 이 플랫폼은 기업에 사이버 공격, 취약성 정보, 해커가 악성코드 캠페인을 실행하는 데 사용하는 서버 및 관련 정보를 제공합니다.

기업은 보통 자체 네트워크에서 사용자 활동, 애플리케이션과 하드웨어 데이터를 지속적으로 수집하며 침해를 감지합니다. 이때 사이버 보안팀은 악의적인 활동을 찾기 위해 데이터를 수동으로 분석합니다. 레코디드 퓨처 AI는 이런 작업을 쉽게 하도록 설계됐습니다. 레코디드 퓨처 AI는 회사 네트워크에서 위반 지표를 자동으로 식별하고 심각도에 따라 우선 순위를 지정하고 취약점을 발견합니다. 예컨대 서버에 사용자가 비밀번호 없이 로그인할 수 있는 구성 결함이 있는지 감지합니다. 또 사이버 보안팀은 기업 보안이 잘 되고 있는지 점검하고, 개선점 등을 모아 보고서로 만드는데, 레코디드 퓨처 AI는 이런 보고서 작성 프로세스를 자동화합니다.

센티넬원, 자율 대응 위협 사냥 플랫폼 공개

AI기반의 클라우드 보안업체인 센티넬원(SentinelOne)도 RSAC 2023에서 실시간 자율 대응을 제공하는 위협 탐색 플랫폼(threat-hunting platform)을 선보였습니다. 센티넬원 위협 탐색 플랫폼은 실시간 인공신경망과 대규모 언어모델 기반에 자연어 인터페이스를 융합해 모든 보안 데이터를 모니터링하고 운영하도록 설계되었습니다.

보안팀은 위협 탐색 플랫폼을 이용해 복잡한 위협을 찾아내고 명령을 실행해 기업 환경을 관리합니다. 위협 탐색 플랫폼은 엔드포인트(네트워크를 통해 통신하는 모든 디바이스), 클라우드, 네트워크, 사용자 데이터 전반에 걸쳐 장치 및 로그 정보를 집계하고 상관관계를 지정해 핵심적인 정보를 제공합니다. 이후 즉시 실행할 수 있는 대응 조치도 추천해 줍니다.

베라코드, 개발자를 위한 GPT기반 보안 솔루션

미국 애플리케이션 보안 전문기업 베라코드(Veracode)도 개발자를 위한 GPT 기반 보안 솔루션을 내놨습니다. 베라코드는 소프트웨어에서 발견될 결함에 대해 수정 사항을 제시하는 AI 기반 솔루션 '베라코드 픽스(Veracode Fix)'를 발표했습니다.

개발자는 베라코드를 이용해 안전한 소프트웨어를 만들 수 있습니다. 소프트웨어 개발주기는 시간이 지나면서 더욱 짧아졌습니다. 많은 개발자가 시간에 쫓기며 코드를 생성하기 때문에 그안에는 결함이 있는 코드도 있을 수 있습니다. 새로운 서비스를 빠르게 제안하기 위해 보안 문제가 뒷전으로 밀리는 경우가 있는 것입니다.

베라코드 픽스는 GPT를 기반으로 소프트웨어를 스캔한 후 발견된 보안 결함에 대한 수정 코드를 자동으로 제안합니다. 베라코드 픽스는 140조 라인 이상의 코드 지식베이스와 17년간의 보안 연구 데이터를 기반으로 훈련했습니다. 그동안 개발자는 보안 결함이 발견되면 수동으로 코드를 수정해야 했습니다. 문제는 전체 코드베이스에서 수백에서 수천 개의 결함이 나오기도 한다는 것입니다. 베라코드는 이 제품이 '보안결함 찾기' 시대를 넘어 '찾기와 자동 수정'의 시대를 연다고 말했습니다. 베라코드가 상용화한 제품은 자바와 C#을 지원합니다.

슬래시넥스트의 제너레이티브 휴먼AI

슬래시넥스트(SlashNext)는 독자 개발한 생성 AI를 활용한 사이버 보안 제품 '제너레이티브 휴먼AI'를 내놨습니다. 이 제품은 챗GPT 등 생성 AI로 생성된 이메일 기반 공격을 차단하는 것을 목표로 합니다. 이 회사는 오픈AI의 GPT-3와 유사한 자체 대규모 언어 모델을 개발하는 데 2년이 걸렸다고 밝혔습니다.

슬래시넥스트의 제너레이티브 휴먼AI는 비즈니스 이메일 공격(BEC)으로 알려진 이메일 사칭 공격을 막는 데 탁월합니다. 사이버 범죄자는 주로 회사 임원이나 직원을 대상으로 거래처 자금과 관련된 이메일을 보냅니다. 마치 거래처 직원이나 동료인 것처럼 이메일을 보내고 거래대금을 중간에서 가로챕니다. 국내 L기업도 비즈니스 이메일 공격을 받아 수억 원의 피해를 본 사건이 있었습니다. 생성 AI는 이런 비즈니스 이메일도 아주 그럴싸하게 만들어내기 때문에 기업이 이런 공격에 노출될 우려가 높아집니다.

슬래시넥스트는 자체 대규모 언어모델 알고리즘을 활용해 생성 AI로 생성된 비즈니스 이메일 공격 위협을 사전에 예측합니다. 제너레이티브 휴먼AI는 수천 개의 비즈니스 이메일 공격 변종을 자동으로 판별하고 사용자를 대신해 차단할 이메일을 결정합니다. 슬래시넥스트는 이 기술로 이메일 공격은 물론이고 웹과 모바일 메시징 앱을 통해 전달되는 사이버 위협도 방어할 수 있다고 밝혔습니다.