MITRE ATT&CK 및 D3FEND AI 에이전트를 이용한 위협 탐지

MITRE ATT&CK 및 D3FEND AI 에이전트를 이용한 위협 탐지

제가 보안 책임자들이 충분히 묻지 않는 질문이 하나 있습니다. 우리가 현재 보유하고 있는 도구 중 어떤 것이 매일 마주하는 위협에 효과적으로 대응할 수 있는지 실제로 알고 있을까요?

대부분의 보안팀은 다음과 같은 방식을 채택했습니다. 미트레 어택앤크 어떤 형태로든 말이죠. 공격자들이 어떻게 작전을 수행하는지에 대한 공통된 언어가 되었고, 이는 매우 고무적인 일입니다. 하지만 ATT&CK는 절반의 이야기만 들려줍니다. 공격자가 무엇을 했는지 알려줄 뿐, 공격을 막기 위해 이미 어떤 조치를 취하고 있는지는 알려주지 않습니다. 바로 그 부분이 중요한 부분입니다. 미트레 디펜드 바로 이 부분이 중요한데, 제 생각에는 대부분의 조직들이 상당한 가치를 놓치고 있는 지점입니다.

문제는 ATT&CK 기법에 대한 경고를 수동으로 매핑하는 것은 물론, D3FEND 대응책을 상호 참조하는 것조차 확장성이 떨어진다는 점입니다. 이는 지루하고 일관성이 없으며, 솔직히 말해서 대기열이 길어지면 대부분의 분석가는 이 작업을 건너뛰게 됩니다. 결국 불완전한 매핑과 방어적 맥락 부재로 이어지고, CISO는 자사의 보안 스택이 실제로 무엇을 포괄하는지 명확하게 설명할 수 없게 됩니다.

이런 문제는 특수 제작된 장비가 해결해야 할 유형의 문제입니다. AI 에이전트 문제를 잘 해결합니다. 모든 것을 해결하려는 거대한 모델이 아니라, 분석가 수준 이상으로 한 가지 일에 집중하는 에이전트입니다. 이 경우, 전문가 에이전트의 핵심 역량은 알림을 표준화된 프레임워크에 매핑하고 이미 보유하고 있는 방어 기능을 드러내는 것입니다. 바로 그것이 핵심입니다. Swimlane의 영웅 AI MITRE ATT&CK 및 D3FEND 에이전트 내부에서 스윔레인 터빈, 그리고 이는 점점 확장되고 있는 함대의 초기 요원 중 하나입니다.

AI SOC에는 단 하나의 두뇌가 아니라 함대가 필요합니다.

저는 이미 오래전부터 이 말을 해왔고, 업계도 이제 그 흐름을 따라잡고 있습니다. AI 기반 SOC로 가는 길은 전체 분석가를 대체하려는 하나의 거대 에이전트가 아니라, 분석가 워크플로의 특정 단계(정보 보강, 중복 제거, 맥락 수집, 가설 설정, 권고, 결과 도출)에 각각 대응하는 작고 전문적인 에이전트들의 집합체입니다. 각 에이전트는 분석가가 수행했을 작업과 같거나 그 이상의 성능을 입증함으로써 독립적으로 신뢰를 얻습니다.

최초의 히어로 AI 전문가 에이전트를 소개합니다

스윔레인의 히어로 AI 이 접근 방식은 네 가지 핵심 요소를 기반으로 합니다. 평결 대리인 사건 처리와 관련하여, 위협 인텔리전스 에이전트 소스 간 TI 상관 관계의 경우, 수사관 종합적인 조사 계획을 위한 도구와 프레임워크 매핑을 위한 MITRE ATT&CK 및 D3FEND 에이전트가 포함됩니다. 이는 향후 확장될 제품군의 첫 번째 제품입니다. 스윔레인 마켓플레이스 또한 팀에서 자체 에이전트를 만들 수 있는 에이전트 빌더도 제공합니다.

이러한 아키텍처가 중요한 이유는 단순히 기술적인 측면뿐만 아니라 운영적인 측면에서도 중요합니다. 각 에이전트의 역할 범위가 좁으면 벤치마킹, 측정, 그리고 점진적인 신뢰 구축이 가능합니다. "AI"를 맹목적으로 신뢰할 필요가 없습니다. 필요한 것은 바로 이것입니다. 이 특정 에이전트 피싱 경고를 ATT&CK 기법과 연관시켜 분석하고, 2단계 분석 담당자에게도 전달합니다. 이는 훨씬 더 다루기 쉬운 문제입니다.

심층 분석: MITRE 에이전트 작동 방식

에이전트는 겉보기에는 단순하지만 실제로는 매우 강력한 기능을 수행합니다. 로그 소스, 엔드포인트 및 네트워크 이벤트에서 보안 경고를 수집한 다음, 이를 ATT&CK 기법 및 D3FEND 방어 대책에 실시간으로 매핑합니다. 구체적인 작동 방식을 설명해 드리겠습니다.

예를 들어 보안운영센터(SOC)에서 직원이 이메일에 포함된 의심스러운 URL을 클릭했다는 알림을 받았다고 가정해 보겠습니다.

• ATT&CK 매핑: 에이전트는 경고를 T1566.002(스피어피싱 링크)에 매핑합니다. 하위 단계에서 페이로드가 실행되면 해당 체인을 T1059.001(PowerShell)까지 확장합니다.
• D3FEND 대응책 조회: 해당 피싱 기법에 대해 에이전트는 여러 범주에 걸쳐 방어 기술을 제시합니다. 탐지 측면에서는 이메일 검사를 위한 메시지 분석, 위협 인텔리전스를 기반으로 한 URL 평판 분석, 발신자 평판 분석, 유사 도메인 탐지를 위한 동형 문자 탐지 등이 있습니다. 격리 측면에서는 이메일 필터링 및 DNS 차단 목록 등록이 있습니다. 보안 강화 측면에서는 메시지 인증(SPF, DKIM, DMARC) 및 다단계 인증이 적용됩니다.
• 도구 적용 범위 평가 — 그리고 이 부분이 간과되기 쉬운 부분이라고 생각합니다. 에이전트는 D3FEND 기술을 사용자가 실제로 배포한 도구에 적용합니다. Proofpoint는 URL 평판 분석을 담당하고, Mimecast는 메시지 분석 및 이메일 필터링을 처리합니다. Cisco Umbrella는 DNS 차단 목록을 관리하고, CrowdStrike Falcon은 모든 T1059 활동에 대한 스크립트 실행 분석을 담당합니다.

ATT&CK는 공격자가 무엇을 했는지 알려줍니다. D3FEND는 공격을 막기 위해 이미 갖추고 있는 보안 조치와 부족한 부분을 알려줍니다.

두 번째 부분은 보안 책임자들에게 매우 중요한 정보입니다. 추상적인 위협 시나리오를 들고 이사회에 참석하는 대신, 실제 공격 패턴에 맞춰 구체적인 방어 체계를 보여줄 수 있습니다. D3FEND는 보안 투자에 대한 확신을 "이건 필요해, 믿어줘"에서 "이 투자가 정확히 어떤 위협을 막아주고, 어떤 격차를 해소하는지 보여드리겠습니다"로 바꿔줍니다. 단순히 다음 투자를 정당화하는 것이 아니라, 이미 투자한 부분에 대한 투자 수익률(ROI)을 입증하는 방법입니다.

Hero AI MITRE 에이전트의 1분 데모 영상을 시청하세요.

SOC에서 AI에 추론이 중요한 이유

이 부분은 나중에 블로그 시리즈에서 Verdict Agent에 대해 논의할 때 더 자세히 다룰 예정이므로 간략하게 설명하겠습니다. 간단히 말하자면, SOC에서 AI는 완벽하지 않아도 유용할 수 있습니다. 분석가가 AI가 내린 결정의 이유를 이해하고 신속하게 검증할 수 있을 만큼 충분히 설명 가능해야 합니다.

MITRE 에이전트는 단순히 기법 ID만 출력하는 것이 아닙니다. 추론 과정, 경고 데이터, 해당 데이터가 이 기법에 매핑되는 이유, 대응책, 적용 범위 등을 함께 보여줍니다. 분석가는 이러한 과정을 수동으로 30분씩 작업하는 대신 몇 초 만에 검증할 수 있습니다. 핵심은 완벽함이 아니라, 신속하게 확신을 얻을 수 있다는 점입니다.

시간이 지남에 따라 에이전트가 분석가가 도출했을 결과와 일관되게 일치하게 되면, 사람이 모든 매핑을 검토하지 않고도 에이전트를 실행할 수 있게 됩니다. 이것이 바로 점진적 신뢰 구축이며, 모든 에이전트가 자율성을 획득해야 하는 방식입니다.

실질적인 영향: 평균 복구 시간(MTTR)을 절반으로 단축

스윔레인은 자체적으로 운영합니다. 보안 운영 센터(SOC) Turbine을 사용했다는 점이 마음에 듭니다. 자사 제품의 성능을 직접 확인하지 않는 업체만큼 실망스러운 것도 없으니까요. 점진적인 자동화를 통해 평균 처리 시간(MTTR)이 6시간에서 30분으로 단축되었고, Hero AI 에이전트를 배포한 후에는 51%가 추가되어 9분 미만으로 떨어졌습니다. 이는 분석가들이 매주 약 60시간을 절약하고, 약 350건의 사례를 자동으로 처리할 수 있게 해준다는 의미입니다.

Swimlane AI SOC 사례 연구를 읽어보세요.

TAG Cyber의 독립적인 분석에 따르면 Turbine을 사용하는 기업은 다음과 같은 성과를 달성합니다. 첫해 240% ROI, 또한 AI 기반 SecOps 자동화에 대한 연구에서는 특히 비공개 LLM 아키텍처, 환경 외부로의 데이터 유출 방지, 타사 모델 종속성 없음 등을 거버넌스 문제를 가진 팀에게 중요한 차별화 요소로 강조합니다.

TAG Cyber의 보안 운영에 AI를 활용하는 방법에 대한 보고서를 읽어보세요.

SOC 팀이 AI를 처음 도입할 때 유용한 팁

시작하는 단계는 생각보다 간단합니다. 과거 티켓과 담당자 메모를 통해 문제가 해결, 에스컬레이션 또는 정상으로 판정된 이유를 파악해야 합니다. 지식 기반(KB) 문서와 운영 매뉴얼이 있다면 좋지만, 없다면 AI를 활용하여 과거 사례를 기반으로 관련 문서를 생성하고 이를 초기 지식 기반으로 활용할 수 있습니다. 그 후 반복 작업을 통해 벤치마킹하고, 측정하고, 개선 과정을 거듭하면 됩니다.

미래: 점점 늘어나는 AI 에이전트 군단

MITRE ATT&CK & D3FEND 요원은 Swimlane 함대의 최초 4대 요원 중 하나입니다. 터빈 캔버스 팀이 자체 전문가 AI 에이전트를 구축하고, 에이전트를 플레이북에 직접 드래그 앤 드롭할 수 있도록 지원합니다. 이는 시작에 불과하며, 앞으로 더 많은 기능이 추가될 예정입니다. 스윔레인 마켓플레이스의 AI 에이전트 Swimlane 자체적으로도, 그리고 여러 팀들이 각자의 사용 사례에 맞춰 에이전트를 개발하면서 빠르게 확장되고 있습니다.

이것이 올바른 방향입니다. 모든 것을 지배하는 하나의 모델이 아니라, 각 에이전트가 한 가지 일을 잘 수행하고, 서로 정보를 공유하며, 분석가들을 지치게 하는 업무를 공동으로 처리하는 조정된 시스템입니다. MITRE 에이전트는 용어를 표준화하고, 위협 인텔리전스 에이전트는 맥락을 풍부하게 하며, 판단 에이전트는 결정을 내리고, 조사 에이전트는 계획을 수립합니다.

향후 게시물에서 각 에이전트에 대해 더 자세히 살펴보겠습니다. 특히 Verdict Agent가 설명 가능한 처분을 처리하는 방식과 Investigation Agent가 컨텍스트 전환을 줄이는 방식에 중점을 둘 것입니다. 지금 이 글에서 한 가지만 기억해 두시면 됩니다. AI SOC는 기존 팀을 대체하는 것이 아니라, 시간이 지남에 따라 더 큰 역할을 수행할 자격을 얻을 수 있는 도구들을 제공하는 것입니다. 그리고 MITRE 에이전트는 훌륭한 출발점입니다. 왜냐하면 이미 보유하고 있는 도구들이 어떤 기능을 제공하는지 아는 것은 보안 운영에서 가장 과소평가된 역량 중 하나이기 때문입니다.