보안팀이 사이버 위협을 탐지하고 추적하는 방식이 AI로 빠르게 재편되고 있다. AI는 방대한 양의 보안 데이터를 분석하고 포착하기 어려운 악의적 활동 징후를 찾으며, 전통적인 툴이나 인간 애널리스트보다 더 빠르게 잠재적 공격을 식별할 수 있기 때문이다.

가트너는 EDR, XDR, SIEM, SOAR와 같은 기술을 포함한 위협 탐지, 조사 및 대응(TDIR) 플랫폼의 에이전틱 AI 기능 탑재 비율이 2024년 10% 미만에서 성장해 2028년에는 50%에 이를 것으로 전망했다. 가트너는 AI가 기업의 위협 탐지, 사고 대응 및 억제력을 강화하는 동시에 보안팀의 고질적인 기술 부족 문제를 완화하고 부족한 사이버 보안 인재에 대한 의존도를 낮추는 데 도움이 될 수 있다고 설명했다.

규모의 문제

보안 전문가에 따르면 위협 탐지 분야에서 AI가 미치는 영향은 대부분 인간 팀이 관리하기 어렵거나 아예 불가능한 규모의 텔레메트리를 처리하는 능력과 관련된다.

현대 IT 환경에서는 엔드포인트, 네트워크, 클라우드 서비스, ID 시스템 전반에 걸쳐 매일 수십억 개의 로그와 이벤트가 생성된다. 머신러닝 모델은 이런 신호의 상관관계를 거의 실시간으로 분석해 노이즈 속에 묻혀 있을 수 있는 행동 이상 징후(비정상적인 로그인 패턴, 의심스러운 횡적 이동 또는 데이터 유출 시도 등)를 식별할 수 있다.

많은 기업의 보안팀은 이런 기능을 통해 탐지 역량이 대폭 강화될 것으로 기대한다. 앤빌로직(Anvilogic)이 SANS 인스티튜트(SANS Institute)와 함께 실시한 2025년 설문 조사에서 응답자의 45%는 기업이 위협 탐지 워크플로우에 이미 AI를 통합했다고 답했으며, 88%는 향후 3년 내에 AI가 탐지 엔지니어링에서 중요한 역할을 할 것으로 본다고 답했다.

액센츄어의 선임 기술 및 보안 설계자 마틴 소딜라는 기업에서 전통적으로 티어 1과 티어 2 애널리스트들이 처리하던 일상적인 작업의 상당 부분을 이미 AI로 자동화하고 있다고 말했다. 대부분 로그 검토, 경보 분류, 침해 지표 식별, 이벤트 연계, 조사 중 시스템 소유자 연락 등과 관련된 작업이다. 소딜라는 AI가 경보 분류, 문서화, 증거 수집, 증거 보관 연속성(chain-of-custody) 추적과 같은 작업을 자동화해 이런 프로세스의 속도를 크게 높여줄 수 있다고 덧붙였다.

소딜라는 기업이 이미 하위 티어 SOC 작업에서 약 40~50%의 효율성 향상을 얻고 있으며, 이를 통해 인간 애널리스트들이 더 고차원적인 조사 및 대응 활동에 집중할 수 있게 됐다고 말했다.

경보 피로의 경감

애플리케이션 보안 테스트 전문 업체 블랙 덕(Black Duck)의 최고 제품 및 기술 책임자 딥토 차크라바르티는 AI 에이전트가 경보 패턴을 정리하고 위험 기반 우선순위화를 지원함으로써 경보 분류에서 경보 피로를 줄여주고 있다고 말했다.

예를 들어 자연어 처리 에이전트는 대규모로 위협 경보를 요약하고 이를 CVE.org와 같은 위협 인텔리전스 피드 및 CISA KEV 카탈로그와 연계할 수 있다.

차크라바르티는 “일반적인 사고 대응 워크플로우는 AI 에이전트로 혜택을 얻는 분야 중 하나로, 일반적인 사고에 대한 자동화된 플레이북이 가치를 발휘한다”라고 말했다.

또한 AI 에이전트는 수많은 소스로부터 위협 인텔리전스를 수집해 연계하고, CVE 데이터와 같은 추가적인 맥락 정보를 이런 경보에 더함으로써 대규모로 위협 인텔리전스를 강화하는 역할을 하고 있다.

콤캐스트 산하 클라우드 네이티브 보안 데이터 패브릭 전문 업체 데이터비(Databee)의 CEO 니콜 부칼라는 “현재 AI 에이전트는 애널리스트가 자연어로 질문할 수 있도록 함으로써 체계화되고 정규화된 데이터 세트에서 인사이트를 도출하는 속도를 효과적으로 높일 수 있다”라고 말했다. AI 에이전트는 이와 같은 작업에 일반적으로 수반되는 전문화된 질의, 분석 대시보드 또는 수동 분석의 필요성을 제거한다.

AI 기반 탐지 플랫폼은 애널리스트에게 신뢰도 낮은 수천 개의 경보를 쏟아붓는 것이 아니라, 경보를 평가하고 연계하고 관련된 활동을 신뢰도 높은 사고로 그룹화하고 일상적이거나 무해한 행동을 걸러낼 수 있다. 결과적으로 보안 업계와 애널리스트 모두의 경보 피로가 줄어들고, 애널리스트의 워크플로우도 수동 분류에서 더 심층적인 조사 및 대응으로 전환된다.

마이크로소프트 기반 관리형 보안 서비스 전문 업체 온티뉴(Ontinue)의 최고 보안 책임자 크레이그 존스는 “AI는 원시 상태의 노이즈를 증거에 기반한 더 빠르고 신뢰도 높은 의사결정으로 바꿈으로써 SOC가 형식적인 보안 활동에서 벗어날 수 있게 해준다”라고 말했다.

존스는 SOC의 번아웃이 실질적인 우려 사항이라고 강조했다. 이를 유발하는 가장 큰 원인은 경보의 방대한 양과 단편화, 모호함이다. 어느 정도 규모가 있는 모든 팀이 이런 압박을 받는다. 존스는 애널리스트들이 너무 많은 업무 시간을 높은 경보 부하를 처리하는 데 소비하고 있으며, 조사를 위한 기초 자료를 수집하기 위해서만도 여러 툴을 오가야 한다고 말했다.

위협 억제를 더 빨리

존스는 AI의 진정한 효과는 더 많은 경보를 처리하거나 더 많은 티켓을 해결하는 것이 아니라, 실제 위협을 더 신속하게 더 적은 실수로 억제하는 데 있다고 말했다.

또한 “AI를 사용해서 약한 여러 신호를 일관된 사고로 연계하고 자동으로 조사에 필요한 정보를 강화하고 명확한 가드레일 내에서 안전한 다음 조치를 권고하게 되면 결과를 증명할 수 있게 된다”라고 설명했다.

여러 보안 전문가는 AI가 보안팀에 필요한 기술을 변화시킬 것으로 예상한다. 액센츄어의 소딜라는 AI가 일자리를 없애기보다는 보안팀이 일상적인 작업을 자동화하고 엔지니어링 및 시스템 설계로 역할을 전환하는 데 도움이 될 것이라고 말했다. 수동 로그 검토에 집중했던 전통적인 SOC 애널리스트의 역할은 탄력적인 시스템, 자동화 파이프라인, AI 보조 방어를 구축하는 데 중점을 두는 보안 엔지니어링 역할로 진화할 가능성이 높다.

초기 데이터에 따르면 탐지 엔지니어링에 AI를 도입한 기업은 가시적인 성과를 거두고 있다. 구글이 3,466명의 고위 리더를 대상으로 진행한 설문 조사에서 에이전틱 AI를 조기에 도입한 응답자의 약 67%는 AI가 보안 태세에 긍정적인 영향을 미치고 있다고 전했다. 이 응답자 그룹 중 85%는 AI를 통해 위협 식별 역량이 향상됐다고 답했다. 구글은 AI 조기 도입 업체가 효율성뿐만 아니라 효과 측면에서도 수치화할 수 있는 이점을 얻고 있다고 강조했다.

한편, 여러 전문가는 AI 주도 탐지가 만능 해결사는 아니라고 경고한다. 공격자들 역시 AI 실험을 확대하고 있으며, 이를 통해 더 그럴듯한 피싱 캠페인을 생성하거나 정찰을 자동화하고, 시그니처 기반 방어를 회피하도록 맬웨어를 개조한다. 이런 역학에 따라 방어자는 AI를 단순히 또 다른 보안 툴이 아니라 인간의 전문 지식과 위협 인텔리전스, 머신러닝이 함께 작동해야 하는 진화된 보안 운영의 일부로 받아들여야 하는 상황이다.

AI 기반 사이버 기만 기술 전문 업체 아칼비오(Acalvio)의 CEO 람 바라다라잔은 “사이버 공격은 기계 속도로 산업화됐다. 우리도 같은 방법으로 대응해야 한다”라고 말했다.

바라다라잔에 따르면 이는 피싱 이메일 분류, 대규모 네트워크 로그에서 행동 이상 징후 분석, AI 인식 사이버 기만 배포, 횡적 이동을 방지하기 위한 침해된 엔드포인트의 자율 격리와 같은 규모가 큰 기술적 작업을 처리할 수 있는 방어용 AI를 구현해야 함을 의미한다.

바라다라잔은 “기계 속도의 AI 공격자라면 어떤 인간도 따라잡을 수 없을 것이다. 이런 복잡한 AI 공격이 대규모로 이뤄질 것”이라고 말했다.

올바른 AI 구현하기

위협 탐지에서 AI의 가치를 최대한 끌어내기 위한 핵심은 인간의 개입을 보장하는 데 있다. 데이터비의 부칼라는 특히 비즈니스 운영에 영향을 미칠 수 있는 위협 탐지 결과나 그에 따른 교정 조치는 최소한 인간이 감독하도록 해야 한다고 말했다.

부칼라는 “인간 개입이 가장 중요한 원칙이다. 기계가 내린 의사결정의 오류가 0에 근접하지 않는 한 완전 자동화에는 많은 비즈니스 위험이 따를 수 있다”라고 말했다.

AI는 위협 탐지 분야에서 유망하지만 여전히 개선이 필요하다. 부칼라는 기업이 따라야 할 모범 사례는 인간의 검증이 포함된 프로세스를 구축하는 것이며, 여기서 인간은 세부적인 부분과 컨텍스트에 주목해 AI의 요약 결과와 의사결정을 점검할 수 있어야 한다고 말했다.

액센츄어의 소딜라는 AI가 기본적인 보안 위생을 대체할 수 없다고 말했다. 기업의 보안 관행이 이미 취약하다면 AI는 기존 문제를 더 가속화할 뿐이다. 따라서 기업은 보안 프로그램에 AI를 도입하기 전에 NIST, ISO 프레임워크에 기술된 것과 같은 강력한 거버넌스, 명확한 보안 표준, 성숙한 프로세스를 갖춰야 한다.

소딜라는 “AI는 역량을 배가하는 도구다. 회사가 잘못된 방향을 향하고 있는 상태에서 AI를 도입하면 잘못된 방향으로 가는 속도만 더 빨라질 뿐”이라고 말했다.
dl-itworldkorea@foundryco.com