올해 AI 에이전트 공격 진화 … 보안 솔루션 도입만으론 한계

ddaily.co.kr · Feb 27, 2026 · Collected from GDELT

Full Article

(왼쪽부터) 서현민 S2W 글로벌성장담당 이사, 스티븐 무어(Stephen Moore) 엑사빔 부사장·수석보안전략가 [사진=각 사] [디지털데일리 김보민기자] 해커들이 진화하고 있다. 인공지능(AI) 에이전트 시대가 도래하면서 스스로 취약점을 탐색하는 AI가 등장했고, 맞춤형 악성코드를 알아서 작성해주는 AI까지 사이버 범죄 시장에서 활약하기 시작했다. AI 공격에 대응할 방어 전략이 절실해진 시점이다.이러한 분위기 속 빅데이터 분석 AI 기업 S2W는 글로벌 사이버보안 기업 엑사빔(Exabeam)과 손을 잡았다. 기업공개(IPO) 이후 처음으로 체결한 해외 파트너십으로, 양사는 S2W 위협인텔리전스(TI) 프로토콜을 엑사빔 플랫폼에 통합해 AI 에이전트 역습에 대응하기 위한 채비를 마쳤다.<디지털데일리>는 서현민 S2W 글로벌성장담당 이사와 스티븐 무어 엑사빔 부사장 및 수석보안전략가를 만나 AI 시대 최신 위협 동향과 양사 향후 전략을 들어봤다. 다음은 서 이사와 무어 부사장과의 일문일답.Q. 최근 사이버 범죄 시장에서 가장 크게 달라진 점은.A. (서현민 이사) 최근 사이버범죄 시장에서 가장 두드러진 변화는 AI를 활용한 공격 확산이다. 과거에는 특정 전문성을 가진 공격자들이 주도했다면 이제는 AI 기반 자동화 도구를 활용해 공격 진입장벽이 낮아지고 속도가 빨라지며 규모는 확장되고 있다.(스티븐 무어 부사장) 최근 사이버범죄 시장의 중대한 변화 중 하나는 AI가 단순히 기술적 공격을 자동화하는 수준을 넘어 기만 행위를 산업화하는 데 악용되고 있다는 점이다. 전통적인 피싱이나 멀웨어를 넘어, 이제 AI는 사이버범죄와 경제 전쟁 간 경계를 모호하게 하는 대규모 사회공학적 기법을 가능하게 하고 있다.대표적인 예로 국가 지원 해커 조직들이 주도하는 '가짜 구직자 및 채용 시장' 부상을 들 수 있다. 공격자들은 채용 담당자나 고용주를 가장해 시스템 접근 권한을 확보하고 계정 정보를 수집하며, 개인을 협박하거나 심지어 국가 차원 수익을 창출하기도 한다. 이러한 공격은 확장성이 높고 정교하며 시스템 취약점이 아닌 신뢰를 악용하기 때문에 탐지하기 매우 어렵다.Q. 올해 가장 유의해야 하는 공격은.A. (서현민 이사) 올해 특히 유의해야 할 공격은 AI 에이전트를 활용한 자동화 공격 시나리오다. 예를 들어 '오토 오신트(Auto OSINT)'를 기반으로 타깃 기업 정보를 수집하고 지능형지속공격(APT) 수준 공격처럼 보이도록 정교하게 설계하거나, 공격자가 AI를 통해 셀프 호스팅 환경을 구성하도록 유도해 독립 공격 실행 기반을 만들게 하는 방식이 다크웹에서 공유되고 있다.(스티븐 무어 부사장) 올해 가장 우려스러운 점은 특정한 공격 도구나 취약점이 아니라 끊임없이 작동하며 실시간으로 적응하는 'AI 기반 자율형 공격 워크플로우' 부상이다. AI 에이전트는 점점 더 정교하게 정찰을 수행하고 방어 체계를 테스트하며, 신원을 전환하고 조직 내부 신뢰 관계를 악용하는 데 투입되고 있다. 특히 이러한 공격 상당수는 멀웨어에 의존하지 않는다. 대신 유효한 계정 정보나 클라우드 서비스, 비즈니스 프로세스를 오용하는 자급자족형 방식을 취하기 때문에 전통적인 규칙 기반 방어 체계로는 탐지하기 어렵다.Q. 대응할 수 있는 방법은.A. (서현민 이사) 이런 공격에 대응하기 위해서는 단순히 보안 솔루션을 도입하는 것만으로는 부족하다. 우리 조직 방어 체계가 같은 속도로 발전하고 있는지 지속적으로 점검하는 체계가 필요하다. 결국 'CART(Continuous Automated Red Teaming)'처럼 자동화된 지속적 검증 방식이 앞으로 더욱 중요해질 것이다.(스티븐 무어 부사장) 적절한 대응책은 우리가 보안 준비 태세를 측정하고 유지하는 방식을 근본적으로 재고하는 것이다. 공격자가 매일 그리고 매시간 전술을 진화시킬 수 있는 상황에서, 고정된 통제 수단이나 정기적인 점검만으로는 충분하지 않다.조직은 방어 체계가 의도한 대로 작동하고 있는지 지속적으로 검증해야 하며 단순한 시그니처가 아닌 행위를 이해하는 보안운영 체계를 갖춰야 한다. 탐지 범위가 유효한지 끊임없이 확인하고 사용자·시스템·AI 에이전트가 실제 어떻게 행동하는지 모니터링해야 한다. 상황 변화에 맞춰 대응책을 자동적으로 조정해야 하는 것도 필요하다. 단순히 알려진 공격을 차단하는 게 아니라 이상 징후를 조기에 식별해 자동화된 공격 캠페인이 실질적인 비즈니스 피해로 확산되기 전에 대응하는 것이 목표가 돼야 한다.Q. 이러한 시점에 S2W와 엑사빔이 전략적 파트너십을 전개했다는 점이 흥미롭다. 추진 배경은.A. (서현민 이사) S2W는 단순히 기술을 연동하거나 플랫폼을 통합하는 수준에서 마무리되는 협업 상대가 아닌 장기적으로 함께 시장을 확장할 수 있는 사업 파트너를 찾고 있었다. 크레이그 패터슨 엑사빔 글로벌채널총괄과 이러한 방향성에 상호 동의했고 자연스레 전략적 파트너십으로 이어질 수 있었다. S2W는 엑사빔이 한국 시장에 안착할 수 있도록 길을 열어주고 엑사빔은 글로벌 시장에서 S2W를 알릴 수 있는 기회를 제공하는 구조다. 단기적인 판매 협력을 넘어 동반성장 기반을 공유하는 지속적인 파트너십이라고 설명할 수 있겠다.(스티븐 무어 부사장) 사이버범죄는 고도로 조직화되고 상업화된 생태계로 진화했지만 여전히 대부분 보안 도구는 내부 신호와 사후 대응에 집중하고 있다. 조직들은 사기, 계정 탈취, 내부자 남용과 같은 공격 결과는 인지하지만 정작 그 이전에 발생하는 범죄 활동을 조기에 파악하는 가시성은 부족한 경우가 많다. S2W는 이러한 공격 초기 단계 신뢰할 수 있는 외부 인텔리전스를 제공하며 엑사빔은 이를 실제 보안운영에 적용할 수 있는 플랫폼을 제공한다. 궁극적으로 이 파트너십은 TI를 비즈니스 운영으로 변모시켜 기업이 수익과 연속성, 신뢰를 보호하도록 돕는다는 공동 비전을 반영하고 있다.Q. 엑사빔 보안운영 플랫폼과 S2W TI를 결합했을 때 어떤 효과를 기대할 수 있나.A. (스티븐 무어 부사장) 엑사빔 보안운영 플랫폼이 S2W 사이버위협인텔리전스(CTI)와 결합되면 조직은 기존 보안운영에서 부족했던 요소인 내외부를 아우르는 위협 가시성 맥락을 확보할 수 있게 된다. S2W는 어떤 계정 정보가 판매되고 있는지, 어떤 랜섬웨어 그룹이 활동 중인지, 범죄 시장에서 캠페인이 어떻게 형성되고 있는지 등 공격자 의도에 대한 조기 인사이트를 제공한다. 엑사빔은 기업 내부에서 사용자·시스템·프로세스가 평소 어떻게 작동하는지 파악한다. 이 두 관점을 하나로 통합해 조직들은 개별적인 신호에서 벗어나 리스크에 대한 전체적인 그림을 그릴 수 있다.진정한 이점은 이러한 인텔리전스가 실행되는 방식에 있다. 분석가가 외부 인텔리전스와 내부 이상 징후를 수동으로 연계하는 대신 엑사빔은 행동 분석, 리스크 스코어링(Risk Scoring), 조사 워크플로우를 활용해 이 점들을 자동으로 연결한다. 그 결과 탐지는 더욱 정밀해지고 대응 신뢰도 역시 향상된다. 특히 계정 정보와 신뢰 기반 접근을 악용하는 AI 기반 자동화된 캠페인과 같은 새로운 공격 트렌드가 등장함에 따라 이제 조직들은 고정된 규칙에 의존하지 않고도 효과적으로 적응할 수 있는 능력을 갖추게 된다. 이상 징후를 조기에 탐지하고 이를 실제 공격자 활동과 대조해 검증해 공격이 사기·운영 중단·평판 훼손 등으로 확산되기 전에 대응할 수 있다.Q. 글로벌 보안 시장에서 '통합'은 이미 트렌드다. 양사는 어떤 차별점을 가지고 있나.A. (스티븐 무어 부사장) 첫 번째 차별점은 인텔리전스 유형에서 시작된다. S2W는 랜섬웨어 유출 사이트, 폐쇄형 포럼, 텔레그램 채널, 사이버범죄 생태계 등 범죄 시장 전반에 대한 신뢰할 수 있는 가시성을 제공한다. 이 인텔리전스는 일반적인 침해지표(IoC) 데이터가 아니다. 사기 조직, 신원 브로커, 국가 간 위협 행위자 등을 포함해 사이버범죄가 지하 경제로서 어떻게 작동하는지를 그대로 반영한다. 두 번째는 엑사빔이 해당 인텔리전스를 단순히 소비하는 데 그치지 않고 이를 실제 보안운영에 즉각 활용할 수 있도록 구현한다는 점이다. 엑사빔은 외부 위협 신호를 사용자 및 엔티티 행위와 자동으로 연계하고 리스크 스코어링을 적용하며 탐지된 항목들을 명확한 조사 단위로 그룹화해 경보 노이즈와 조사 시간을 단축한다. 세 번째는 이번 파트너십이 단순한 보안 대응을 넘어 비즈니스 관점 대응까지 가능하게 한다는 점이다. 엑사빔은 기술적인 격리 조치에서 그치지 않고 신뢰도 높은 인텔리전스를 적절한 사업 부서로 전달해 수익과 운영을 보호하기 위한 조치를 취할 수 있도록 지원한다.Q. 올해 공통 비전과 주력할 산업군은.A. (서현민 이사) 양사는 신뢰할 수 있는 글로벌 파트너십을 기반으로 함께 성장하는 것을 목표하고 있다. 우선적으로는 금융, 공공 분야에 주력할 예정이며 이후 타 산업군으로 점진적 확장해 나갈 계획이다. 금융과 공공은 규제 환경이 강하고 침해사고 발생 시 파급력이 크기 때문에 SIEM 기반 보안운영 체계와 CTI 기반 외부 위협 탐지 역량을 결합하는 것이 특히나 중요한 영역이다. 양사는 이를 통해 규제 산업이 요구하는 수준 가시성과 대응 체계를 제공하겠다.Q. '기본을 놓쳤다'는 이유로 대형 보안사고가 이어지고 있다. 보안운영센터(SOC) 한계에 대한 이야기도 나오는데, 극복 방안은.A. (스티븐 무어 부사장) 우리가 목격하는 침해사고 대다수는 보안 기본 요소 결여, 계정 정보 탈취, 혹은 이 두 가지 모두가 원인이 돼 발생한다. 오늘날 다수 공격자들은 조직 자체 환경을 역이용하는 자급자족형 기술을 사용한다. 이러한 방식이 매우 효과적인 이유는 대다수 조직이 이를 이상 징후나 변화로 인식하지 못하며 시그니처 기반으론 이런 유형 공격을 식별해내기 어렵기 때문이다. 공격자들은 계속해 효과적인 수법을 사용할 것이다. 현재 범죄 시장에 가장 흔하게 거래되는 정보 중 하나가 바로 유효한 접속 계정 정보라는 점이 이를 방증한다.엑사빔은 SOC 속도를 늦추는 조사 및 생산성 병목 현상을 제거한다. 분석가가 여러 경보를 수동으로 짜맞추게 하는 대신 플랫폼이 관련 탐지 항목들을 자동으로 그룹화하고 명확한 위협 타임라인을 구축해 조사 시간을 최대 80%까지 단축하고 대응 속도를 높인다. 나아가 보안정보및이벤트관리(SIEM), 사용자및엔티티행위분석(UEBA), 자동화, AI 기능을 개방형 클라우드 네이티브 플랫폼에 통합하고 탐지 결과를 측정 가능한 성과와 연결해 SOC가 더욱 효율적으로 운영되고 비즈니스 영향력을 명확히 입증할 수 있도록 돕는다.Q. 한국에서는 자율보안과 동시에 정부 규제 강도가 높아지고 있다. 보안 담당자 업무가 가중될 텐데, 이에 대한 대응법과 조언은.A. (서현민 이사) 이런 환경에서는 무엇보다 신속하고 정확한 근거 기반 대응이 중요하다. 침해 가능성이 발견됐을 때 사람이 모든 것을 수동으로 판단하고 정리하는 방식은 한계가 있다. 분석을 자동화하고 이벤트 우선순위를 분류하며 대응 프로세스를 표준화하는 보안운영 체계를 상시 갖추고 있어야 한다. 업무 부담이 가중되는 환경 속에서 보안 담당자들이 본연 역할에 집중하려면 탐지 기술 고도화를 넘어선 대응 프로세스 자동화와 표준화로 운영 패러다임을 전환해야 한다.(스티븐 무어 부사장) 가장 효과적인 대응책은 경보가 발생한 후 대응을 시작하는 것이 아니라 처음부터 보고 체계가 보안운영 안에 내재화되도록 설계하는 것이다. 조사 워크플로우를 자동화하고 리스크와 맥락에 따라 사고 우선순위 설정하며 규제 기관과 경영진에 공유할 수 있는 명확하고 증거에 기반한 타임라인을 생성해야 한다. 자율 보안 목적은 인간 감독을 배제하는 것이 아니라 데이터 수집·연계·문서화와 같은 수동 작업 부담을 줄이는 데 있어야 한다. 이러한 절차를 표준화하고 자동화해 보안 조직은 이미 과중한 업무에 시달리고 있는 인력들에게 부담을 주지 않으면서도 더 빠르게 대응하고 오류를 줄이며 규제 요구사항을 충족할 수 있다. Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지