인공지능(AI)은 지난 몇 년간 사이버 보안 업계에서 화두가 되었다. 또, 네트워크에서 의심스러운 활동을 감지하고 상황을 재빨리 파악한 뒤 실제 보안 침입 발생 시 사건 대응 지침 제공 역할을 할 툴이 될 것으로 보였다. 하지만 실제 가장 신뢰할 만하면서 유용한 AI 서비스는 실제로 멀웨어 특성과 의심스러운 네트워크 활동을 감지하도록 훈련받은 머신러닝 알고리즘이었다. 이제 생성형 AI가 널리 확산된 가운데, 마이크로소프트가 마침내 모든 홍보 가치가 있는 보안 방어 서비스 개발 소식을 발표했다.
2023년 3월 중순, 마이크로소프트는 마이크로소프트 자체 대규모 언어 모델 개발 작업과 함께 오픈AI와의 협력으로 개발한 ‘마이크로소프트 365 코파일럿(Microsoft 365 Copilot)’을 출시했다. 그리고 이제는 마이크로소프트 센티넬(Microsoft Sentinel), 디펜더(Defender) 등 자체 보안 툴과 외부 기업의 보안 서비스 등의 시스템 데이터와 네트워크 모니터링을 통합한 일종의 보안 분야 노트북인 ‘보안 코파일럿(Security Copilot)’ 배포를 시작했다.
보안 코파일럿은 경고를 표시하고는 네트워크 내 단어와 차트를 모두 구성한 뒤 잠재적인 보안 조사 단계를 제공한다. 인간이 코파일럿을 활용하여 잠재적인 보안 사건 데이터를 구성한다면, 보안 코파일럿이 이력을 추적하고는 요약 내용을 생성한다. 따라서 해당 작업에 동료를 추가한다면, 재빨리 그동안의 상황을 파악할 수 있다. 보안 코파일럿은 보안팀이 외부 부서 인력과 실제 상황을 대상으로 소통하는 데 도움이 될 조사와 관련하여 슬라이드와 각종 프리젠테이션 툴을 자동 생성할 수 있다. 특히, 보안 분야 근무 경험이 없지만, 보안 상황을 계속 파악해야 하는 임원과의 소통에 도움이 된다.
[사진=Microsoft]
마이크로소프트 보안부사장 바수 자칼(Vasu Jakkal)은 “지난 몇 년간 사이버 공격 빈도와 공격의 교묘함, 공격 피해 강도 모두 절대적으로 증가하였다. 하지만 보안 방어 담당자에게는 공격 강화 상황을 포함하여 대응할 시간이 많지 않다. 사이버 공격과 보안 간 균형은 공격자를 향해 기울어졌다”라고 말했다.
자칼 부사장은 머신러닝 보안 툴이 이메일 모니터링이나 엔드포인트 보안으로 알려진 개인 기기 활동 등 특정 도메인에는 효과적이었으나 보안 코파일럿이 별도의 스트림을 모두 합치면서 더 큰 그림을 이해하도록 한다고 설명했다. 이어, “보안 코파일럿을 사용하면, 보안 관리 연결 조직을 형성하기 때문에 놓쳤을 수도 있는 부분을 놓치지 않고 확인할 수 있다”라고 말했다.
보안 코파일럿은 주로 오픈AI의 챗GPT-4를 기반으로 실행되나 마이크로소프트는 자사가 소유권을 지닌 보안 전문 모델도 통합한다는 점을 강조한다. 보안 코파일럿 시스템은 조사 도중 발생한 모든 사건을 추적한다. 결과 기록은 감사가 가능하며, 배포 목적으로 생성한 대상 모두 정확성과 명확성을 위해 편집할 수 있다. 코파일럿이 조사 도중 제시한 바가 잘못되었거나 조사 대상과 관련이 없다면, 사용자는 ‘조사 대상 아님’ 버튼을 누르고 시스템을 추가로 훈련할 수 있다.
코파일럿은 항시 모니터링을 위한 일종의 문제 해결 시도를 허용한다. 특정 기술을 보유한 이가 주어진 시간이나 날에 근무하지 않더라도 시스템은 기본 분석 결과와 제안 사항을 제공해 보안 조사 작업과 인력 부재 격차를 좁히도록 도움을 줄 수 있다. 예를 들어, 악성일 위험성이 있는 소프트웨어 바이너리나 스크립트 신속 분석을 원한다면, 보안 코파일럿이 작업을 시작하고 소프트웨어의 행동 방식과 목표를 맥락에 따라 고려할 수 있다.
마이크로소프트는 고객 데이터를 다른 기관과 공유하지 않는다는 점과 기본 AI 모델 훈련이나 풍부한 데이터 제공 목적으로 고객 데이터를 사용하지 않는다는 부분을 강조했다. 그러나 마이크로소프트는 전 세계 대규모 고객 기반의 일일 서명 65조 개를 사용하여 위협 감지 및 방어 제품에 정보를 제공한다는 사실을 자랑스럽게 공개한다. 그러나 자칼 부사장과 마이크로소프트 부사장 겸 AI 보안 설계자인 창 가와구치(Chang Kawaguchi)는 보안 코파일럿이 통합된 모든 보안 제품의 데이터 공유 제한 및 규정을 똑같이 적용한다고 주장했다. 따라서 이미 마이크로소프트 센티넬이나 디펜더를 사용 중이라면, 보안 코파일럿은 마이크로소프트 센티넬 혹은 디펜더의 프라이버시 정책을 준수해야 한다.
가와구치 부사장은 융통성과 개방성을 최대한 갖춘 채로 보안 코파일럿을 구축했으며, 고객의 반응은 추후 기능 추가 및 개선 사항으로 안내할 것이라고 설명했다. 보안 코파일럿의 유용함은 결과적으로 개별 고객 네트워크와 실제 직면하는 위협과 관련한 심층 분석 및 분석 결과의 정확도로 설명할 수 있을 것이다. 그러나 가와구치 부사장은 보안 방어 담당자가 최대한 빨리 생성형 AI가 제공하는 이점을 누리기 시작하는 것이 가장 중요하다고 말한다.
또, 그는 “공격자가 피해 기관의 활동과 상관없이 갈수록 AI를 활용하는 사례가 증가할 것임을 고려하면, 사이버 공격 방어 담당자가 보안 탐지 AI를 갖추어야 할 필요가 있다”라고 주장했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Microsoft]](/news/photo/202303/4644_6105_747.jpg)
뉴스레터 신청