AI를 공격 표면 관리용 전력 증강 수단으로 활용하는 법
공격 표면 크기가 커지고 위협의 수가 몇 배로 늘어난 데다, 속도가 빨라지고 다양성까지 확대되어 공격자가 확실히 더 유리해지면서 공격 표면 관리는 전보다 훨씬 복잡해졌습니다. 하지만 기업에서는 인공지능을 새롭고 혁신적인 방식으로 사용해 공격 표면을 관리하면서 지속 가능한 고지를 점할 수 있습니다.
최근 공격자는 새로운 도구를 개발해 급속히 성장하고 복잡해지는 기업의 공격 표면을 파악하게 되었습니다. 설상가상으로, 방어자인 기업 측과 마찬가지로 공격자도 손쉽게 구할 수 있는 기술, 바로 인공지능(AI)을 활용합니다.
이 기술 때문에 공격 표면 관리(ASM)의 양상이 완전히 달라졌습니다. 이 부문은 점점 더 복잡한 기술, 리스크, 방법론이 얽히는 교차 지점이자 치명적인 피해가 발생할 가능성이 있는 지점이기도 합니다. 이것이 최고 정보 보안 책임자(CISO)가 자각해야 할 실태입니다. AI 때문에 ASM의 앞날을 이해하고 다루기가 훨씬 복잡해졌습니다.
지난 몇 년간 사이버 보안에 AI를 활용하는 것과 관련하여 주로 세 가지 문제점이 발생했으며, 최근까지만 해도 세 가지를 전부 극복한 사이버 보안 솔루션은 존재하지 않았습니다. 세 가지 문제는 다음과 같습니다.
- 고객은 보통 자사에서 소유한 IT 자산을 대부분 잘 모릅니다. 많이 알아봐야 70%에 그칩니다.
- 다양한 유형의 데이터와 다양한 사이버 보안 도구 사이에서 데이터 통합에는 한계가 있어, 전사적인 보안 리스크를 효율적이고 통합된 형태로 볼 관점을 구축하는 데 차질을 빚습니다.
- 공격자가 혁신적인 전술을 구사하며 시간 경과에 맞춰 전술을 바꾸는 데도 능숙해, 공격 벡터가 무엇이고 무슨 익스플로잇을 선택했는지 정확히 짚어내기가 어렵습니다.
ASM의 효율성과 효과를 강화하려면 이러한 세 가지 문제점을 모두 고려해야 합니다.
ASM에서 AI의 역할
정말 세계적인 수준의, 세계를 선도하는 공격 표면 관리 도구를 빌드하기란 어려운 일입니다. 여러 가지 구성 요소를 동시에 빌드해야 하기 때문입니다. ASM을 제대로 해내려면 최대 다섯 가지 구성 요소를 한꺼번에 빌드해 통합해야 합니다. 그런데, 네 번째까지는 아주 잘했는데 다섯 번째에서 빗나가면 어떻게 될까요?
안타깝게도, 다섯 가지 구성 요소 중 네 가지를 흠잡을 데 없이 해냈으나 이점의 80%를 누릴 수 없습니다. 실제로 얻는 잠재적 이점은 그보다 훨씬 적습니다. 어쩌면 10%에 그칠지도 모릅니다. 이 모든 것을 단일 솔루션으로 통합해야 한다는 요구 사항이 채워지지 않아 ASM 방어가 효과가 없기 때문입니다.
다행스러운 점은 AI를 사용해 ASM을 보강할 수 있다는 사실입니다. ASM을 이런 식으로 보강하려면 Palo Alto Networks의 Cortex Xpanse 플랫폼과 같은 솔루션을 활용하면 됩니다. 이 기술은 ASM에 자동화, 확장성, 성능(규모에 맞춰), 정확도 등 무수히 많은 이점을 제공합니다. 사이버 보안 팀, 기술, ASM 기반 프로세스에 강력하고 효율적이며 믿음직한 전력 증강 수단입니다.
디지털 자산의 지속적인 모니터링에 수반되는 문제점
특히 AI는 수준 높고 안정적이며 일관성 있는 데이터 수집 기능을 제공해 ASM의 효율적인 운영을 돕는 데 효과적입니다. "특정 시점(Point in time, PIT)" 방식으로 인터넷에서 일회적으로 공격 관련 데이터를 수집하기는 쉬워도, 여러 차례, 정기적으로 일관성을 갖고 수집하기는 훨씬 어려운 일이다 보니 이러한 점은 매우 중요합니다.
필수적인 IT 및 운영 기술 기능을 상시 모니터링하는 업무와 관련된 문제점을 파악하고 극복하기는 까다롭습니다. 그 한 가지 이유는 소유권에 대한 개념 중심이라는 것입니다. 구체적으로, 사람들은 인터넷상에서 누가 무엇을 소유한다는 개념을 쉽게 받아들이지 못했습니다.
예를 들어 어떤 회사가 있고, 그 회사에 자회사가 있다고 합시다. 자회사가 6년 전에 또 다른 회사를 하나 매입했고, 여기에는 특정 방식으로 구성된 웹 서버가 있다는 사실을 알고 있는 상태입니다. 지금은 이 웹 서버가 Azure에서 실행 중이라, 데이터베이스 서버가 인터넷에 안전하지 않게 노출되어 있습니다. 이것은 복잡하지만, 비교적 단순하기도 합니다. 그런데 이 시나리오를 고객 기반 전체로 확대해 추정하면, 사태가 훨씬 복잡해집니다.
또 한 가지 고려해야 할 사항은 장기적으로 고객과 고객의 자산을 파악하기 위해 빌드한 지식 그래프입니다. ASM이 제대로 작동하려면 이 지식 그래프가 완벽하게 정확해야 합니다. 이런 목표는 AI를 활용해야만 효율적으로, 종합적으로 실현할 수 있습니다.
마지막으로, 공격자는 이미 기업에서 공격 표면을 방어하는 방식 그대로 AI를 활용해 자기 공격 표면을 늘릴 방법을 알아낸다는 점을 유의해야 합니다. 즉 자동화되고, 확장 가능하며, 우수한 성능과 정밀한 정확도까지 완비한 형태입니다. 공격자는 사이버 방어자에 맞서 오랫동안 구축해 온 경쟁 우위를 사수하기 위해 AI를 활용합니다.
이런 일이 벌어지지 않게 방지하려면, 기업에서는 AI를 한 단계 업그레이드하여 ASM의 잠재력을 실현해야 합니다.
방어자가 유리한 입지를 확보하게 해주는 AI 기반 ASM 솔루션
ASM의 핵심 요소는 실시간, 종합적 가시성을 제공할 수 있다는 점입니다. 다만 지금까지 ASM은 고객에게 자랑스럽게 공개할 만한 결과를 내놓는, 뭔가 의미 있고 실행 가능한 역량을 보여주지 못했습니다. 예를 들어 Xpanse 내부에서나 우리 회사의 광범위한 보안 솔루션 포트폴리오 내부에서 네이티브 방식으로 빌드한 엄청난 양의 기술력을 활용한다고 해봅시다. 이런 경우, 고객에게 자사 디지털 자산 전체만 파악할 수 있는 것이 아니라, 공격이 발생하는 지점이 어디인지(아니면 발생할 확률이 높은 지점이 어디인지), 문제를 찾아 해결할 방법은 무엇인지도 알 수 있다고 전할 수 있습니다.
이렇게 하면 데이터, AI, 워크플로를 통합해 Xpanse 플랫폼에 CISO에게 꼭 필요한 기능과 성능을 보장해 줄 수 있습니다. 또한 통합형 기술을 강력한 방식으로 결합해 ASM을 좀 더 직관적이고 실행 가능하게 강화하고, 위협을 눈치채고 차단하는 데 성공률을 높일 수도 있습니다. 위협의 여파를 복구 업데이트하는 것도 중요하지만, 익스플로잇을 예방하는 데 주력하는 것 또한 중요한 일입니다. 공격자가 AI나 다른 도구를 활용해 기업 시스템에 침투하고 이를 악용하는 실력이 너무 좋아져서, 기업 입장에서는 인시던트가 발생하기 전에 위협에 대응할 시간이 부족할 지경입니다.
이는 어떻게 보면 소프트웨어 개발 수명 주기에 일대 혁신을 일으킨 일명 "원점 회귀" 사고방식을 새롭게, 중대한 형태로 체현한 것이라고 볼 수 있습니다. 다만 소프트웨어 개발과 AI 사이에는 중대한 차이점이 있습니다. 예를 들어 소프트웨어는 정기적으로 새로운 버전이나 패치로 업데이트되는, 비교적 정적인 존재입니다. 원래 형태와 가깝게 존재하며, 시간이 흘러도 비슷한 기능을 합니다.
반대로 AI는 동적 프로세스의 일부분입니다. 특히 제대로, 적절히 구현했을 때 이 특징이 더욱 두드러집니다. 이를 일명 "데이터 플라이휠(data flywheel)"이라고 합니다. ASM이 더 많은 기능을 하고 공격자보다 한발 앞서는 데 도움이 되는 정말 우수한 AI를 갖추려면 AI가 지속적인 개발 프로세스의 일부분이어야 한다는 말입니다. 데이터는 고객으로부터 입수되어 이해되고 처리를 거치며, 이 과정에서 다른 데이터와 함께 정규화되기도 합니다. 데이터를 올바로 선택했다면, 적절한 데이터는 아주 기본적인 회귀만으로도 엄청난 영향을 미칠 수 있습니다.
Cortex Xpanse 플랫폼과 관련한 작업의 또 다른 중요한 측면은 우리가 일명 Precision AI라 부르는 것을 활용한다는 점입니다. 이 AI는 Palo Alto Networks 기술과 프로세스를 합친 독보적인 조합으로, Xpanse 플랫폼이 실시간으로 공격을 탐지하고 차단하게 해줍니다. 머신 러닝, 딥 러닝, 생성형 AI 등 퓨어플레이 사이버 보안 선도 기업 중 단연 세계 최대 규모의 보안 데이터 레이크에서 훈련한 요소를 합쳐 ASM과 같은 사이버 보안 전략을 무한히 보강합니다. 이를 실현하는 실질적인 기능은 다음과 같습니다.
- 실시간으로, 시그니처 없이 위협 변형 버전을 차단합니다.
- 비구조적 데이터를 파악하고 중요한 정보가 유출되지 않도록 방지합니다.
- GenAI를 사용해 새로운 공격을 만들어 탐지율을 꾸준히 높이고 오탐을 줄입니다.
Cortex Xpanse에는 이런 기능이 포함되어 더 강력하고 지능적이며 회복력이 뛰어난 ASM 방어 프레임워크를 형성합니다. 그러려면 극히 다양하고 수준 높은 양질의 데이터를 활용하고, 데이터를 공유할 수 있고 액세스할 수 있게 해주는 플랫폼 기반 접근 방식을 취하며, 적절한 AI와 사이버 보안 전문 지식을 활용해 최대한 정확하고 실행 가능한 모델을 만들어야 합니다.
미래 전망
CISO와 사이버 보안 실무자 모두 공격자가 다음에는 무엇을 시도할지 예상할 수 있어야 합니다. 다행히, 우리에게는 뒤를 돌아보고 공격자가 자기들의 사명에 진심으로 총력을 다하며 이를 실현하기 위한 스킬과 도구를 겸비하고 있다는 사실을 알 수 있다는 장점이 있습니다. 우리에게는 공격자의 계획을 저지할 적절한 도구, 전략과 프로세스를 갖출 책임이 있습니다.
지금 이용할 수 있는 혁신 기술 너머를 보고 공격을 예상하여 좌절시키기 위해 더 전략적인 방식으로 접근해야 합니다. CISO는 고위 경영진 파트너와 이사진과 힘을 모아, 좀 더 선제적인 태도를 받아들여야 합니다. 앞서 "원점 회귀"라는 방식에 관해 언급했는데, 우리는 한발 앞서 생각하고 행동할 줄 알아야 합니다. 자산이 침해되었을 때면 이미 의미 있는 시정 조치를 취하기에는 너무 늦었을지 모른다는 점을 유의해야 합니다.
특히 비관리형 자산의 경우 이 점이 정말 중요합니다. 유감스럽게도 포춘 500대 기업의 전체 자산 중 비관리형 자산이 약 30%를 차지하는 경향이 있습니다. 인터넷상에 비관리형 자산이 있다면, 대응할 시간이 없습니다. 자산이 언제 악용되는지에 대한 시점을 알 수 있을 가능성이 낮기 때문에 악용 시점 이후 발생하는 모든 내부망 이동은 모니터링되지 않은 채 더 신속하게 진행될 수 있습니다.
물론, 적절한 ASM과 효율적인 사이버 보안 솔루션을 위해 적절한 재정적, 인적 자원을 투자하는 것은 당연한 전제 조건이며 특히 신종 AI 기반 공격을 간파하고 이에 대응할 때는 이러한 투자가 더 중요합니다. 우리가 보호해야 하는 자산은 본질적으로 중요 업무용입니다. 이제 참신한 방식으로 사고하고 창의적인 솔루션을 제시할 때입니다.
우리에게는 공격자보다 한 수 앞서 나가 유리한 위치를 선점할 기회가 있습니다. 그 기회를 놓치지 말아야 합니다.
Andrew Scott은 Palo Alto Networks 산하 Cortex Xpanse 사업부 최고 기술 책임자(CTO)입니다. 전에는 Expanse의 공동 창립자 겸 CTO였으며, Expanse는 2020년에 Palo Alto Networks에 인수되었습니다.