[IT 동아] 하루 수천 건 경보에 지친 보안팀… AI 에이전트가 보안 환경의 판을 바꾼다

[IT동아]

IT/전산 보안관제 센터에는 매일 수천 건의 보안 경보나 알림이 울린다. 이를 세세히 구분, 분석하며 진짜 공격 시도와 오탐을 가려내다 보면 정작 심각한 공격 패턴을 놓칠 수도 있다. 전 세계 대부분의 IT 시스템 환경에서 이 같은 ‘알림 피로’ 문제를 호소하지만 그동안 뾰족한 해법은 사실상 딱히 없었다. 그 빈틈을 최근 들어 AI 에이전트가 파고들고 있다.

과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 1월 발표한 보고서에 따르면, 국내 사이버 침해사고 신고 건수는 2023년 1,277건에서 2024년 1,887건으로 늘었고, 지난 해에는 2,383건으로 역대 최다를 기록했다. 불과 2년 만에 87% 가까이 급증한 셈이다.

공격 양상 자체도 달라지고 있다. 2025년 1분기 ‘클라우드 컨트롤 플레인’ 공격이 전체 탐지 건수의 47%를 차지했다. 공격의 도구이자 표적으로 AI 서비스가 부상하고 있다는 점이 눈에 띈다. 유출된 클라우드 액세스 키로 LLM(대형언어모델) 서비스에 침투한 뒤, 이를 탈옥(jailbreak)시켜 피싱 공격 도구로 활용하는, 이른바 ‘LLM재킹 (LLM jacking)’ 수법도 실제로 포착됐다. 피싱 이메일 자동 생성이나 보안 솔루션 우회에 AI를 활용하는 사례도 여럿 확인됐다.

이렇게 보안 공격이 급증하는 동안 이를 방어하려는 측의 사정은 별반 달라지지 않았다. 전통적인 SIEM(보안 정보/이벤트 관리) 환경에서 분석 전문가 한 명이 알림/경보 하나를 처리하는 데 평균 2~4시간이 걸린다. 알림/경보의 진위 확인, 관련 로그 수집, 다중 시스템 간 상관관계 분석, 심각도 판단, 에스컬레이션(대응 이관)까지 일련 과정이 모두 사람의 손을 거쳐야 하기 때문이다.

요즘 같은 멀티/하이브리드 클라우드 환경, 무수한 엔드포인트 등이 뒤엉킨 시스템에서는 이 부담이 더욱 커진다. 공격/위협의 전체 맥락을 파악하기 위해 수십, 수백 개의 데이터 소스를 실시간으로 종합해야 하는데, 이는 사람의 인지 능력으로 감당하기 버거운 게 현실이다.

기업에선 보안 관련 자동화 솔루션을 적용하고 있지만, 기존 솔루션은 사전 설정된 규칙에 따라 작동하는 방식이라, 맥락을 이해하지 못해 오탐률이 높은 편이다. 결국 사람이 다시 검토해야 하는 상황이 반복되니, 자동화 솔루션 도입이 되려 업무량 증가로 이어지게 된다.

AI 기반의 보안 솔루션 역시 AI 판단의 신뢰성 문제가 존재한다. 한 번의 오판이 치명적 결과로 이어질 수 있는 만큼, AI의 판단과 결론을 그대로 믿기보다 사람이 재차 확인하는 절차가 굳어졌다.

이에 최근 들어 ‘자율 분석 AI 에이전트’ 기술이 주목받고 있다. 단순 규칙이 아니라 전문 분석가의 사고/판단 과정을 AI 모델링한 방식으로, 경보/알림 발생과 동시에 AI가 자율적으로 조사에 착수한다. 클라우드 환경 내 광범위한 영역을 스캔하고, 위협 또는 공격으로 판단한 근거를 함께 제시한다.

글로벌 클라우드 옵저버빌리티 전문 기업인 데이터독(Datadog)은 자사 클라우드 SIEM에 탑재된 ‘Bits AI Security Analyst’를 통해 이를 좀더 구체화한다. 몇 시간이 걸리던 보안 관련 조사를 약 30초 내외로 줄일 수 있다는 것. 단순 결과값만 도출하는 것이 아니라, 어떤 데이터를 위협/공격으로 판단한 ‘이유’를 상세히 설명하는 ‘설명 가능한 AI(Explainable AI)’ 방식을 택한다.

보안 업계에서는 이 같은 AI 에이전트의 역할을 두고, ‘사람의 대체’보다 ‘사람을 보좌’의 관점으로 본다. 24시간 반복적인 1차 조사와 데이터 수집은 AI가 맡고, 사람은 최종 판단과 전략 수립에 집중하는 분업 구조다.

사이버 위협이 갈수록 빠르고 정교해지는 상황에서, 경보/알림 대기열이 길어질수록 큰 위험에 노출될 수밖에 없다. 사람 중심의 보안관제 체계가 구조적 한계에 다다른 현재, AI 에이전트 도입이 ‘필요한가’를 물을 시기는 이미 지났다는 것이 보안 현장의 시각이다.

IT동아 이문규 기자 (munch@itdonga.com)