너무 바쁜 보안 담당자에게 비서가 생긴다면
[지디넷코리아]
“사이버 공격자는 매우 빠르고, 기민하게 움직이는 반면에 보안 전문 인력은 턱없이 부족하다. 그 와중에 보안담당자는 사안에 맞게 40~50종에 달하는 보안툴에 들어가서 정보를 수집하고 분석하며 대응해야 한다. 마이크로소프트의 시큐리티 코파일럿은 보안 컨텍스트를 기반으로 인공지능(AI)을 통해 조직 전반의 보안 수준을 높이는 도구다. 부족한 인력의 갭을 메우고, SOC 분석가가 더 편하고 빠르게 필요한 걸 찾아 기민하게 대응하게 한다.”
신호철 한국마이크로소프트 보안사업부 팀장은 최근 본지와 인터뷰에서 시큐리티 코파일럿에 대해 이같이 설명했다.
마이크로소프트 시큐리티 코파일럿은 지난 3월 미리보기로 출시된 최신 보안 솔루션이다. 오픈AI의 대규모언어모델(LLM) GPT-4를 기반으로 작동하는 보안 전문 대화형 AI 도구다. 보안분석가는 시스템이나 데이터 보안 관련 요구사항을 채팅창에 자연어로 입력하고, AI가 원하는 답변을 만들어준다.
신호철 팀장은 “전세계적으로 하루에 초당 4천건의 패스워드 공격이 일어나고 있고, 피싱메일을 받고 클릭했을 때 공격자가 내부에 침투하기까지 걸리는 시간이 평균 72분이라고 한다”며 “대용량으로, 그리고 엄청 빠르게 벌어지는 공격에 대응하는 보안 인력의 수나 여력은 그를 따라가지 못하는게 현실”이라고 말했다.
신 팀장은 “시큐리티 코파일럿은 사람을 대체하는 AI가 아니라, 그야말로 부조종사로서 보안분석가의 업무를 지원하는 역할”이라며 “보안은 잘 막는 것도 중요하지만, 빨리 감지해서 해결하는게 중요한데, AI가 이를 도와줄 수 있다”고 강조했다.
마이크로소프트 시큐리티 코파일럿은 지난 6개월 간 비공개 미리보기로 일부 조직에게만 제공됐다. 비공개 미리보기 테스트에 참여한 기업과 조직의 피드백을 받으면서 개선과 수정이 이어지고 있다.
고객의 대표적인 피드백은 시간 절약이었다. 시큐리티 코파일럿을 이용하면, 수시간씩 걸리던 보안 분석 작업이 3분안에 끝났다는 피도백도 있다.
신 팀장은 “이 시간을 줄이면 더 심도 있게 분석할 수 있게 되고, 더 빠르게 대응할 수 있다는 게 된다”며 “해커가 공격을 위해 머무는 시간을 단축하는 효과가 있다”고 말했다.
그는 "보안 이슈에 수분 이내 대응가능하도록 지원하고, 자연어 프롬프트와 간단한 보고로 복잡한 업무를 단순화한다"며 "심도 있는 이해를 바탕으로 누락없는 탐지를 실현하고, 보안 전문성을 학습한 생성 AI를 통해 보안 전문 인력의 역량도 향상된다"고 강조했다.
기업이나 조직이 각종 사이버공격에 대응하는데 사용하는 보안툴은 40~50종에 달한다고 한다. 보안 담당자는 상황에 따라 50개에 이르는 툴을 일일이 확인하고 분석해야 한다. 툴 하나당 15분씩 잡아도 모두 검토하는데 12시간 이상 걸린다.
시큐리티 코파일럿을 이용하면 모든 툴에 들어가고 쿼리를 던질 필요없이 채팅창에 알고 싶은 사안을 입력해 전체적인 분석 결과를 받을 수 있다.
가령, 채팅창에 최근에 사내망에서 일어난 인시던트를 물어본다. 시큐리티 코파일럿은 내부 시스템에서 일어난 보안 이슈를 찾고, IP, 디바이스, 사용자이메일주소 등 관련 정보를 확인해 알려준다. 보안담당자는 해당 사고가 어떤 것이란 것을 바로 알 수 있다. IP, 호스트, 어카운트 등 각 엔티티의 상세정보를 알고 싶다면 상세정보를 요구하면 바로 알려준다.
만약 IP 주소가 악성이라면 그렇게 판단한 평판정보를 물어볼 수도 있다. 공격 방식이 궁금하다면 설명을 요청할 수 있고, 사내 디바이스들이 회사 내부 정책에 부합하는지 파악해 테이블 형식으로 보여달라고 요청할 수 있다. 최종적으로 쿼리도 만들어준다. 모든 분석을 끝냈다면 그 결과를 보고서 형태로 요약해달라고해 활용할 수 있다. 보고서는 증거와 결론에 추천까지 더해서 나온다. 그래프 처리도 가능하며 파워포인트 파일도 생성 가능하다.
신 팀장은 “한 분석가가 인시던트를 상세히 분석한 뒤 다른 사람과 공유해 참조하게 해야 할 수 있다”며 “그를 위해 내용을 선택한 뒤 ‘메뉴’에서 ‘핀’을 눌러 핀보드에 게시할 수 있다”고 설명했다.
그는 “다른 분석가는 코파일럿에 로그인 후 핀보드를 열어서 남이 올린 것을 참조하고, 다음 분석에 필요한 것을 더 빠르게 하는데 활용하게 된다”고 덧붙였다.
고객 피드백을 반영해 프롬프트 추천 기능도 생겼다. 특정 질문에 이렇게 물어보면 좋다는 식으로 코파일럿이 알려주기도 한다. 유용한 프롬프트를 공유해 다른 사용자가 활용하게 하는 것도 가능하다. 향후 기본 템플릿으로 프롬프트북을 제공할 계획이라고 한다.
시큐리티 코파일럿은 마이크로소프트 보안 포트폴리오와 연동을 기본으로 한다. 엔드포인트 방어도구인 '마이크로소프트 디펜더', 보안정보및이벤트관리(SIEM) 도구인 '마이크로소프트 센티넬', 아이덴티티 보안 도구인 '마이크로소프트 엔트라', 디바이스 관리 도구인 '마이크로소프트 인튠', 데이터 거버넌스 및 컴플라이언스 관리도구인 '마이크로소프트 퍼뷰', 프라이버시 관리 도구 '마이크로소프트 프리바' 등이 연동된다.
기본적으로는 마이크로소프트 디펜더, 센티넬, 인튠 등을 필요로 한다. 코파일럿은 사용자의 질문을 받으면 세 시스템에 들어가 정보를 찾아 LLM에 질의해 답을 생성 받아 사용자에게 보여준다.
이 일련의 흐름은 마이크로소프트 코파일럿과 동일한 메커니즘을 갖는다. 코파일럿이 사용자 질문을 받아서 곧바로 LLM에 전달해 답을 받아오는게 아니다. 코파일럿은 중간의 조율자를 활용해 사내 시스템의 실제 컨텍스트를 조회한 뒤 질문을 재생성해서 LLM에 질의한다. LLM으로 생성된 답변도 다시 컨텍스트로 검증해서 최종사용자에게 전달한다. '그라운딩'이라 불리는 이 절차는 더 맥락에 맞고 사용자 의도에 맞으며, 더 정확한 정보를 제공하기 위해서 필수적이다. 사용자의 컨텍스트는 ‘마이크로소프트 그래프’란 시스템에 정리돼있다. 마이크로소프트 그래프는 마이크로소프트365나 시큐리티 등의 모든 고객 정보와 활동 데이터를 정리해 축적한다.
신 팀장은 “그라운딩은 AI의 환각 문제를 해결하기 위한 최소한의 기술적 조치”라며 “언어모델의 답변은 환각 제로를 100% 보장할 수 없지만 오케스트레이터가 그라운딩을 통해 내부 정보로 한번 더 검증하고, 정확돌르 높이려 하는 것”이라고 설명했다.
그는 “관리자가 환각이라 판단되면 그 부분을 보정하는 피드백을 줘서 그 다음엔 나타나지 않게 하는 보조 기능도 마련되는 등 일발의 가능성을 줄이려는 작업이 계속 이뤄지고 있다”고 덧붙였다.
시큐리티 코파일럿은 마이크로소프트의 보안 제품뿐 아니라 써드파티 보안 솔루션과도 함께 쓸 수 있다. 마이크로소프트는 여러 외부 솔루션과 연동할 수 있는 커넥터를 제공한다. 스플렁크나 서비스나우 같은 도구에 시큐리티 코파일럿 커넥터를 붙이면, 외부 시스템의 데이터를 참조해 분석할 수 있다.
신 팀장은 “오픈AI의 언어모델과 애저의 하이퍼스케일급 AI 인프라로 작동하며, 만명 규모의 보안 분석 전문가가 실시간으로 전세계 보안 상황을 지켜보고 있다”며 “마이크로소프트가 하루에 처리하는 보안 시그널이 65조개에 이르며, 300개의 주요 위협그룹을 계속 모니터링하고 있는데 그 정보가 코파일럿에 반영된다”고 말했다.
그는 “시큐리티 코파일럿의 정식 출시는 내년초로 예상되는데, 현재 연동가능한 세개 솔루션 외 나머지 제품으로도 확대될 것으로 본다”며 “써드파티 커넥터도 계솔 늘어나고, 파트너의 API를 붙이는 작업도 일어날 것으로 예상한다”고 덧붙였다.
생성 AI 등장 후 가장 많은 우려가 데이터 유출이다. 사용자의 기밀 정보가 LLM으로 들어가 학습되고, 제3자에게 노출될 것이란 우려다. 마이크로소프트의 코파일럿은 고객 데이터 유출을 차단하기 위해 기본적으로 외부망으로 데이터를 옮기지 않는다. 모든 데이터는 암호화돼 저장된다.
신 팀장은 “마이크로소프트 그래프의 데이터는 모두 고객의 것이기 때문에 LLM이 학습하지 않으며, 데이터는 고객 테넌트에만 존재한다”고 강조했다.
챗GPT와 같은 단독형 채팅 인터페이스 외에 마이크로소프트 시큐리티 코파일럿은 다양한 인터페이스로 쓸 수 있다. ‘임베디드’ 방식이란 것으로 마이크로소프트 디펜더, 센티넬 같은 도구에서 ‘코파일럿’ 아이콘을 눌러 바로 쓰는 형식이다. XDR 솔루션인 디펜더에서 특정 인시던트를 보고 ‘코파일럿’ 아이콘을 누르면 관련된 세부 정보를 바로 볼 수 있다.
신 팀장은 “현재 얼리액세스 프로그램을 위한 고객 신청을 받고 있다”며 “9월 중 이 신청이 끝나서 10월이면 추가로 더 많은 기업과 조직에서 시큐리티 코파일럿을 쓸 수 있게 될 것”이라고 말했다.
그는 “시큐리티 코파일럿은 SOC 분석가를 위한 툴이고, SOC 분석가의 생산성을 향상시키는 툴”이라며 “기존의 SIEM이 한발 더 진보하는 중요한 계기가 될 것”이라고 강조했다.
