공격자와 방어자, 누가 더 유리할까요? 당연히 공격자입니다. 공격자는 목표로 삼은 조직의 취약점을 하나만 찾아 내도 위협을 가할 수 있습니다. 방어자는 사정이 다릅니다. 넓디넓은 공격 표면(Attack Surface)을 다 살펴야 합니다. 사이버 위협이라는 전장에서 공격자와 방어자의 비대칭 전력은 AI 시대가 되면서 간격이 좁혀질까요? 넓어질까요? 답은 정해져 있습니다. 누가 더 AI를 잘 활용하느냐에 따라 전력 차이가 더 날 수록, 좁혀질 수도 있을 것입니다. 관련해 이번 포스팅에서는 사이버 위협 탐지와 대응 활동에서 가장 중요한 정보 자원인 위협 인텔리전스(Threat Intelligence)를 생성형 AI 서비스로 더 잘 활용해야 하는 이유와 방법을 알아보겠습니다.
위협 인텔리전스의 본질과 현실적 한계
위협 인텔리전스는 단순히 악성 IP 주소나 파일 해시의 목록이 아닙니다. 이는 원시 데이터를 수집, 처리, 분석하여 적의 동기, 목표, 공격 방법을 파악하는 데 필요한 정보의 원천인 동시에 침해 대응을 위한 체계적인 프로세스입니다. 이처럼 위협 인텔리전스는 조직의 방어 패러다임을 추측과 반응에서 예측과 대응으로 바꿀 수 있는 잠재력이 있습니다.
하지만 보안 운영 현장에서 위협 인텔리전스를 즉각적인 대응에 활용하는 것을 말처럼 쉽지 않습니다. 가장 큰 문제는 정보 과부하와 경고 피로(Alert Fatigue)입니다. 보안 운영팀은 매일 수천 개의 경고 속에서 진짜 중요한 위협을 골라내기 어렵습니다. 맥락이 부족한 방대한 정보는 오히려 오탐을 증가시켜 치명적인 위협을 놓치는 운영 위험을 키웁니다.
전문성을 갖추는 것도 도전 과제입니다. 위협 인텔리전스를 참조해 통찰력을 얻는 과정은 고도의 전문성을 요구합니다. STIX/TAXII 같은 특정 포맷이나 YARA 같은 쿼리 언어에 익숙해야 정보 검색을 원활히 할 수 있습니다.
마지막으로 정교한 위협을 탐지할 역량 부족도 문제입니다. 공격자들은 악성 코드에 의미 없는 데이터를 추가해 파일 해시 값을 바꿔 시그니처 기반 탐지를 우회합니다. 이를 탐지하려면 파일의 겉모습에 비유할 수 있는 해시가 아니라 코드의 실제 의도와 기능을 파악해야 합니다. 문제는 이게 엄청 어렵다는 것입니다. 대부분의 보안 운영팀이 감당하기 어려운 고도의 리버스 엔지니어링 작업입니다.
이런 현장의 고충을 어떻게 해결할 수 있을까요? 구글 클라우드가 해법을 제시했습니다. 바로 Google Threat Intelligence(GTI)에Gemini를 결합한 것입니다.
차세대 보안 분석의 핵심
GTI와 보안 특화 Gemini에 대해 먼저 알아보겠습니다. GTI 플랫폼은 바이러스토탈(VirusTotal)의 방대한 악성 코드 데이터, 맨디언트(Mandiant)의 침해 사고 대응 분석, 그리고 구글 연구팀의 방대한 위협 데이터를 하나로 통합한 것입니다. 이런 이유로 분석가는 여러 플랫폼을 오가며 정보를 조합할 필요가 없습니다.
GTI와 긴밀히 통합한 Gemini는 일반적인 챗봇이 아닙니다. 사이버 보안을 위해 미세 조정한 모델을 기반으로 합니다. 보안 특화 Gemini는 구글의 SecLM 플랫폼을 기반으로 합니다. 그리고 위협 보고서, 탐지 규칙(YARA, YARA-L), 악성 코드 스크립트 등 방대한 보안 전문 데이터를 집중적으로 학습했습니다. 이러한 학습 덕분에 Gemini는 단순히 자연어를 이해하는 도구를 넘어 보안 분석가의 의도를 파악하고 복잡한 작업을 자율적으로 수행하는 파트너 역할을 합니다.
Gemini가 위협 인텔리전스를 재정의하는 방법
GTI와 Gemini의 결합은 앞서 제기한 기존 방식의 한계점들을 해결하며 보안 분석가의 일상적인 작업 방식을 바꿉니다. 현장에서 바로 체감할 수 있는 변화는 분석 시간 단축입니다. 기존에는 보안 분석가가 위협 정보를 찾기 위해 복잡한 쿼리 언어를 배워야 했습니다. 이제는 “우리 조직이 속한 산업을 공격하는 최신 랜섬웨어 그룹은 누구이며, 그들이 주로 사용하는 초기 침투 기법은 무엇인가?”와 같이 자연어로 질문할 수 있습니다.
Gemini는 이 질문을 이해하고 방대한 데이터베이스를 실시간으로 분석하여 핵심 위협 행위자, 관련 맬웨어, 공격 전술 등을 구조화된 답변으로 즉시 제공합니다. 특히 구글 클라우드의 SecOps(Chronicle) 콘솔에서는 Gemini가 자연어를 YARA-L 2.0 검색어로 변환하거나 보완하여 반복적인 탐색을 가속합니다. 이런 특징으로 신입 보안 분석가도 전문가 수준의 질문을 던질 수 있습니다. 숙련된 분석가는 단순 정보 검색이 아닌 고도의 위협 헌팅과 전략 수립에 역량을 집중할 수 있습니다.
보안 운영팀을 소진시키는 정보 과부하 문제를 해결하기 위해 Gemini는 요약 기능을 제공합니다. 수십 페이지에 달하는 방대한 위협 분석 보고서의 핵심 내용을 단 몇 문장으로 요약합니다.
또한, 실시간으로 쏟아지는 위협 모니터링 경고 피드에 대해서도 Gemini가 각 경고의 핵심 내용을 자동으로 요약합니다. 보안 분석가는 이 요약 정보를 통해 한눈에 경고의 심각도를 파악하고 신속하게 분류(triage)할 수 있습니다. 이는 치명적인 위협을 놓치는 중대한 운영 리스크를 완화하는 효과가 있습니다.
해시 기반 탐지를 우회하는 위협에 대응하기 위해 Gemini는 심층 악성코드 분석 기능도 제공합니다. AI 기반 코드 인사이트 기능은 분석가가 업로드한 파일의 원시 코드를 Gemini가 직접 읽고 해석하여, 해당 코드의 기능과 목적을 서술형 보고서로 생성합니다. 공격자가 파일에 아무리 많은 노이즈를 추가하여 해시 값을 바꾸더라도, 데이터를 유출하거나 시스템을 파괴하려는 악의적인 핵심 로직은 코드 어딘가에 남습니다. Gemini는 바로 이 핵심 로직을 찾아내 명확하게 설명해 줍니다.
여기서 한 걸음 더 나아가 악성 코드 분석 AI 에이전트는 자율적으로 행동합니다. 만약 코드가 난독화되어 분석이 어렵다면, 이 AI 에이전트는 스스로 난독화 해제 스크립트를 생성하고 실행하여 숨겨진 악성 코드를 능동적으로 드러냅니다. 이 기능들은 제로데이 공격이나 알려지지 않은 위협에 대한 방어 능력을 향상시키며 코드의 의도를 직접 분석하여 진정한 선제적 대응을 가능하게 합니다.
도입 기대 효과
끊임없이 진화하는 사이버 위협 환경 속에서 전통적인 보안 방법론은 명백한 한계에 도달했습니다. 위협 인텔리전스의 진정한 가치는 많이 아는 것이 아니라 더 빨리, 옳은 결정을 내리는 것에 있습니다. Gemini 기반 GTI는 더 빠르고 정확한 의사 결정을 지원합니다. 이를 보안 운영 팀이 체감할 수 있는 효과로 정리해 보겠습니다. 먼저 TTPs에 대한 깊이 있는 이해를 바탕으로 공격이 발생하기 전에 위협을 예측하고 방어 전략을 수립하는 방어 패러다임의 전환을 이룰 수 있습니다. 또한, Gemini가 정보 검색과 초기 분석 시간을 단축해 보안 분석가들이 더 복잡하고 중요한 전략적 업무에 집중할 수 있습니다. 마지막으로 AI 기반 코드 분석을 통해 전통적인 방어 체계를 우회하는 최신 악성 코드까지 정확하게 탐지하여 정교한 위협도 탐지해 대응할 수 있습니다. 위협 인텔리전스를 제대로 활용해 소개한 효과를 누리고 싶다면? 메가존소프트가 도움을 드리겠습니다.
