AI 시대 보안의 미래: 차세대 SIEM 기술이 바꾸는 것

핵심 요약

• 기존 SIEM의 한계: 텍스트 기반 처리와 수동 규칙에 의존하여 현대의 정교한 공격에 취약
• AI 기반 해결책: 의미론적 이해, 에이전트 기반 탐지, 폐쇄 루프 학습으로 자율적 위협 대응 실현
• 시장의 변화: 딥페이크 사기, AI 생성 피싱 등 위협의 정교함이 급증하는 상황에서 차세대 보안 기술의 필요성 대두
• 실제 성과: 아르테미스, 수개월 만에 10개 이상 기업에 배포하며 시간당 10억 개 이상의 이벤트 처리 중

---

현대 보안 위협의 현실: SIEM이 나무 방패가 되는 이유

보안 팀의 핵심에는 데이터베이스가 있습니다. 이 데이터베이스는 사용자의 로그인 기록, 모든 인바운드 트래픽 패킷, 그리고 모든 공격 시도를 기록하는 SIEM(Security Information and Event Management) 시스템입니다. 하지만 대부분의 기존 SIEM 시스템은 AI 시대가 도래하기 이전에 설계된 구식 기술 입니다.

문제는 명확합니다. 최근 몇 년간 보안 위협의 정교함은 기하급수적으로 증가했습니다. 딥페이크 사기로 수천만 달러가 도난당했고, AI가 생성한 피싱 이메일은 기존 필터를 손쉽게 우회합니다. 보안 연구 회사 Mythos가 보여준 바와 같이, 공격자들의 수법은 매일 진화하고 있습니다. 이제 공격은 단순한 악성 코드가 아닙니다. ** 패턴을 감지하기 어렵도록 설계된 다단계 공격**, ** 여러 시스템을 조합한 공격**, ** 행동 기반의 위협**이 주류가 되었습니다.

기존 SIEM은 이런 변화에 대응하지 못합니다. 왜냐하면 로그를 단순한 텍스트 문자열로 처리 하기 때문입니다. Okta의 "jdoe" 계정과 AWS의 "john.doe" 계정이 동일 인물이라는 점을 이해하지 못합니다. 개별적으로는 무해해 보이는 일련의 행동들이 실제로는 조직화된 공격을 구성하는 경우도 알아차리지 못합니다.

---

차세대 SIEM의 핵심 기술: 의미론적 이해

현대 보안의 새로운 기준을 세우는 기술 중 첫 번째는 의미론적 이해(Semantic Understanding) 입니다. 이는 단순히 로그 데이터를 수집하고 저장하는 것을 넘어, 원시 로그를 고객 환경의 살아있는 모델로 변환 합니다.

구체적으로 어떻게 작동하나요?

차세대 SIEM은 로그 데이터로부터 다음 정보를 추출하고 연결합니다:

• 사용자 정보: 여러 시스템에 걸친 동일 인물의 계정을 자동으로 식별
• 자산 정보: 서버, 워크스테이션, 클라우드 인스턴스 등 모든 리소스를 통합 관리
• 관계 정보: 사용자-자산, 자산-자산 간 연결 관계를 실시간 매핑
• 보안 상태: 각 자산의 패치 상태, 설정, 취약점 정보를 동적으로 추적

이렇게 함으로써 SIEM은 고객 환경에 대한 지능형 그래프 를 구축합니다. 이 그래프 기반으로, 시스템은 컨텍스트를 이해한 위협 탐지 가 가능해집니다. "특정 시간에 특정 사용자가 특정 자산에 접근했다"는 단순한 팩트가 아니라, "권한 없는 사용자가 보안 정보가 저장된 자산에 접근했다" 또는 "이전에 감지되지 않은 패턴의 데이터 이동이 발생했다"는 의미 있는 통찰 을 제공합니다.

이러한 의미론적 이해 덕분에, 조직의 보안 팀은 거짓 경보(False Positive)를 크게 줄일 수 있습니다. 기존 규칙 기반 SIEM에서는 정상적인 활동도 경보로 발생하는 경우가 많았기 때문입니다.

---

에이전트 기반 탐지: 동적으로 진화하는 방어 시스템

두 번째 핵심 기술은 에이전트 기반 탐지(Agent-Based Detection) 입니다. 기존 SIEM은 수동으로 작성된 정적 규칙 에 의존합니다.

기존 방식의 문제점:

엔지니어가 "이벤트 A, B, C가 순서대로 발생하면 경고를 발생시켜라"와 같은 탐지 규칙을 작성합니다. 처음에는 잘 작동합니다. 하지만 몇 달이 지나면 상황이 달라집니다:

• 조직에 새로운 서비스(SaaS 도구, 클라우드 플랫폼)가 추가됨
• 로그 형식이 변경됨
• 사용자의 업무 행태가 변함
• 공격자가 규칙을 우회하는 새로운 수법을 시도

결과적으로 규칙은 깨지고, 새로운 규칙을 작성하기 위해서는 ** 다시 보안 엔지니어의 개입이 필요합니다. 이는 비용이 많이 들고, 시간이 오래 걸리며, ** 항상 뒤처질 수밖에 없는 구조입니다.

차세대 SIEM의 접근:

에이전트 기반 탐지는 미리 정의된 규칙이 아니라, 자율적으로 추론하는 AI 에이전트 를 사용합니다:

1. 동적 데이터 쿼리: 에이전트는 필요에 따라 데이터베이스에서 관련 정보를 추출
2. 실시간 집계: 여러 소스의 데이터를 실시간으로 집계하고 분석
3. 맥락 추론: 수집된 정보를 바탕으로 맥락을 자동으로 추론
4. 다단계 검증: 위협으로 판단하기 전에 여러 검증 단계를 거침

예를 들어, "사용자가 시간대를 벗어나 접근했다"는 단순한 사실이 아니라, "시간대를 벗어나 접근했으면서, 동시에 평소와 다른 지역에서 접근했으며, 또한 관리자 권한을 요청했다" 같은 복합적인 위협 신호 를 종합적으로 판단할 수 있습니다.

이 방식의 가장 큰 장점은 환경 변화에 자동으로 적응 한다는 점입니다. 새로운 서비스가 추가되어도, 로그 형식이 변해도, 에이전트는 학습된 메커니즘을 바탕으로 계속 작동 합니다.

---

폐쇄 루프 학습: 시간이 지날수록 강해지는 방어

세 번째 핵심 기술은 폐쇄 루프 학습(Closed-Loop Learning) 입니다. 이는 차세대 SIEM을 정말로 혁명적으로 만드는 요소입니다.

기존 SIEM의 운명:

기존 SIEM은 시간이 지날수록 성능이 저하됩니다. 이유는 간단합니다:

• 정적 탐지 규칙은 조직의 정상적인 행동 패턴 변화를 따라가지 못함
• 사용자의 업무 방식이 변하고, 시스템 구성이 바뀌면서 규칙이 뒤처짐
• 공격자는 기존 규칙을 분석하여 우회 방법을 개발
• 결과적으로 탐지 성능(탐지율)은 떨어지고, 거짓 경보(오탐)는 증가

보안 팀의 악순환이 시작됩니다:

1. 너무 많은 거짓 경보로 팀이 피로해짐
2. 경보를 무시하기 시작함
3. 실제 위협도 놓치게 됨
4. 보안 사고 발생

차세대 SIEM의 차이:

폐쇄 루프 학습은 각 인시던트와 위협 탐색을 통해 시스템이 지속적으로 개선 된다는 개념입니다:

1. 패턴 식별: 각 탐지, 인시던트, 또는 보안 팀의 수동 위협 탐색을 통해 새로운 공격 패턴을 식별
2. 자동 검증: 식별된 패턴이 실제 위협인지, 아니면 정상적인 행동인지 자동으로 검증
3. 영구적 탐지 기능 생성: 검증된 패턴을 새로운 탐지 규칙으로 변환
4. 완전 자율화: 이 과정이 ** 완전히 자동으로 이루어짐** - 보안 엔지니어의 개입 없이

구체적인 예시:

• 1주일: 보안 팀이 새로운 피싱 공격을 탐지하고 분석
• 2주일: AI 에이전트가 이 공격의 패턴을 자동으로 추출하고 검증
• 3주일: 이 패턴이 자동으로 모든 고객 환경의 탐지 규칙에 통합
• 이후: 유사한 공격은 자동으로 차단

이렇게 되면, SIEM은 시간이 지날수록 똑똑해집니다. 조직의 행동 패턴에 적응하고, 새로운 위협에 대응하는 능력이 점점 증가합니다.

---

아르테미스: 이론에서 현실로의 전환

이 혁신적인 기술들은 이론만이 아닙니다. 실제로 구현되어 성과를 내고 있습니다.

아르테미스의 배경:

아르테미스는 샤차르 허쉬버그(Shachar Hirshberg) 와 댄 쉬블러(Dan Shiebler) 에 의해 설립되었습니다:

• 샤차르 허쉬버그: 아마존 GuardDuty 제품을 이끌었던 경험 많은 보안 리더로, GuardDuty를 8만 명 이상의 고객으로 확장한 실적 보유
• 댄 쉬블러: Abnormal Security에서 60명 규모의 AI/ML 팀을 구축하고 이끈 AI 전문가

이 두 전문가는 현대 보안 팀의 방어를 강화할 차세대 데이터베이스 를 구축하기 위해 함께 아르테미스를 창립했습니다.

실제 성과:

설립 후 불과 몇 개월 만에:

• 10개 이상의 기업 에 제품을 배포
• 시간당 10억 개 이상의 이벤트 처리 능력 달성
• Felicis Ventures, Brightmind Capital, First Round Capital 등 유명 VC로부터 시리즈 A 펀딩 확보

이러한 빠른 성장은 시장이 차세대 SIEM 기술을 얼마나 절실히 필요로 하고 있는지 를 보여줍니다.

아르테미스의 기술 우위:

아르테미스는 위에서 설명한 세 가지 핵심 기술을 모두 통합합니다:

1. 환경의 살아있는 모델 구축: 사용자, 자산, 관계를 의미론적으로 이해
2. 자율적 에이전트 기반 탐지: 정적 규칙을 벗어난 동적 위협 탐지
3. 자동 학습과 개선: 폐쇄 루프 시스템을 통해 시간이 지날수록 정교해지는 방어

결과적으로, 단순히 로그를 저장하고 검색하는 수준을 넘어, 자율적으로 데이터를 추론하는 플랫폼 이 완성됩니다.

---

보안 산업의 변곡점: 왜 지금인가?

시대적 필요성:

2020년대 초반 이후, 보안 위협의 환경이 근본적으로 변했습니다:

• AI의 대중화: 공격자도 AI를 사용하여 더 정교한 피싱, 소셜 엔지니어링 수행
• 멀티클라우드 환경의 확산: AWS, Azure, Google Cloud, 온프레미스가 혼재되어 가시성 저하
• 원격근무 확산: VPN, 다양한 접근 경로로 인한 공격 표면 증가
• SaaS 도구의 폭증: 조직당 수십 개의 SaaS 서비스 사용으로 로그 소스의 다양화

기존 SIEM의 한계:

기존 SIEM은 이러한 환경에서:

• 오탐이 많아: 보안 팀의 피로도 증가
• 탐지 율이 떨어짐: 정교한 공격을 놓침
• 유지보수 비용이 높음: 계속해서 규칙을 손으로 수정해야 함

차세대 기술의 필요성:

정교한 공격에 대응하려면:

• 빠른 적응: 환경 변화에 자동으로 대응
• 높은 정확도: 거짓 경보를 줄이면서 실제 위협을 포착
• 자동화: 보안 엔지니어의 부담 경감
• 지속적 개선: 시간이 지날수록 정교해지는 방어

이 모든 요구사항을 만족하는 것이 바로 의미론적 이해, 에이전트 기반 탐지, 폐쇄 루프 학습 의 조합입니다.

---

결론

보안은 더 이상 정적인 방어로는 충분하지 않습니다. AI 시대의 공격은 정교하고, 빠르고, 다양합니다. 조직의 보안 팀이 이에 대응하려면 ** 마찬가지로 AI를 활용한 지능형 방어 시스템**이 필요합니다.

아르테미스가 제시하는 차세대 SIEM은 단순한 기술 진화가 아닙니다. 보안 방어의 패러다임 자체를 바꾸는 혁신 입니다. 의미론적 이해를 통해 컨텍스트를 파악하고, 에이전트 기반 탐지로 동적으로 대응하며, 폐쇄 루프 학습으로 지속적으로 개선되는 방어 시스템입니다.

당신의 조직도 이 변화에 준비되어 있나요? 더 자세한 정보를 원한다면 아르테미스의 채용 공고 페이지를 방문하거나, 샤차르의 LinkedIn 게시물을 통해 이 혁신적인 여정에 참여할 수 있습니다.

---

Original source: A Proactive System of Intelligence for Security

powered by osmu.app