AI 에이전트를 활용한 다중 소스 인텔리전스 마스터하기

AI 에이전트를 활용한 다중 소스 인텔리전스 마스터하기

만약 당신이 어떤 곳에서 시간을 보낸 적이 있다면 보안 운영 센터(SOC), 여러분도 이런 상황을 경험해 보셨을 겁니다. 경보가 발생하면 분석가는 본능적으로 정보를 보강하기 시작합니다. VirusTotal에서 해시값을 확인하고, Recorded Future에서 캠페인 맥락을 파악하고, Cisco Umbrella에서 DNS 기록을 확인합니다. 어쩌면 내부 TI 피드나 ISAC 회원 자격으로 얻은 정보까지 활용할 수도 있습니다. 각 소스는 저마다 다른 점수, 형식, 결론을 제공하며, 절반은 서로 모순됩니다.

그래서 분석가는 늘 하던 대로 합니다. 탭을 여섯 개나 열고, 경험과 직감을 바탕으로 결과를 머릿속으로 분석한 다음 판단을 내립니다. 이 과정은 지표 하나당 15분에서 30분 정도 걸리고, 결론에 도달하는 "방법론"은 전적으로 분석가의 머릿속에만 존재합니다. 퇴근하거나 회사를 떠날 때, 그 추론 과정도 함께 사라집니다.

이것은 위협 정보 (TI) 상관관계 문제는 제가 보안 분야에 종사해 온 기간 내내 존재해 왔습니다. 진정한 어려움은 위협 인텔리전스에 접근하는 것이 아니라, 그 정보를 신속하고 대규모로 해석하는 것이었습니다. 바로 그것이 핵심입니다. 히어로 AI 위협 인텔리전스 에이전트 스윔레인의 AI 에이전트 군단 내에서 가장 실용적으로 유용한 전문가 에이전트 중 하나입니다. 터빈 플랫폼. 단순히 TI 소스를 조회하는 데 그치지 않습니다. 소스들을 상호 연관시키고 종합하여 사례 분석에 필요한 통합 분석을 직접 제공하므로, 분석가는 여러 탭을 뒤지고 결과를 기다리는 대신 하나의 명확하고 설명 가능한 평가 보고서를 얻을 수 있습니다.

다중 소스 위협 인텔리전스의 추론 문제

여러 소스에서 수집된 TI 데이터를 사람이 상관 분석하기 어려운 이유는 단순히 데이터 문제만이 아니라 추론 문제이기 때문입니다. VirusTotal에서 3/72의 탐지율을 보이는 파일이 표시되고, Recorded Future에서 해당 IP 주소가 알려진 APT 캠페인과 연관되어 있다고 표시되고, Umbrella에서는 해당 도메인이 이틀 전에 등록되었다고 표시된다면 어떻게 해야 할까요? 각 데이터는 단편적인 정보일 뿐입니다. 중요한 것은 이러한 데이터들을 어떻게 연결하고 가중치를 부여하느냐입니다.

귀사의 선임 분석가들은 이 일을 아주 잘 해냅니다. 그들은 수년간 어떤 지표 유형에 대해 어떤 정보원이 더 신뢰할 만한지, 상충되는 점수 사이의 차이를 어떻게 해석해야 하는지, 그리고 탐지 건수가 낮은 것이 오히려 높은 것보다 더 우려스러운 경우는 언제인지에 대한 직관을 쌓아왔습니다. 이러한 추론 능력은 매우 귀중하지만, 거의 문서화되지 않습니다.

자율적 상관관계의 힘

이것이 바로 전문가급 AI 에이전트가 탁월하게 처리하는 패턴입니다. 에이전트가 최고의 분석가보다 똑똑해서가 아니라, 모든 지표에 걸쳐 일관된 추론을 기계적인 속도로 적용할 수 있기 때문입니다. 새벽 2시에 지치지도 않고, 알림이 200개나 쌓여 있다고 해서 추가 분석 단계를 건너뛰지도 않습니다. 그리고 무엇보다 중요한 것은, 에이전트가 자신의 작업 과정을 투명하게 보여준다는 점입니다. 분석가는 결과를 검토할 때 에이전트가 각 소스를 어떻게 평가하고 결론에 도달했는지 정확하게 확인할 수 있습니다.

그만큼 히어로 AI 위협 인텔리전스 에이전트는 구성된 모든 위협 인텔리전스 소스(VirusTotal, Cisco Umbrella, Recorded Future 등)의 데이터를 통합하여 사례 파일에 바로 통합된 소스 간 분석 결과를 생성합니다. 탭 전환이나 복잡한 분석 과정 없이, 모든 정보가 하나의 통합된 화면에 명확하게 제시됩니다.

스윔레인의 CISO인 마이클 라이보그는 자사 내부 SOC에서 이 에이전트를 어떻게 활용하는지 설명하면서 이 에이전트를 "위협 인텔리전스 분야의 판도를 바꾸는 게임 체인저"라고 불렀습니다. 실무자들이 이 에이전트에 그토록 큰 공감을 표하는 이유는 모두가 인식하고 있지만 명확한 해결책을 제시하지 못했던 문제를 해결해 주기 때문이라고 생각합니다. 기존에도 위협 인텔리전스 플랫폼, 피드, 애그리게이터는 있었지만, 상관관계 분석 및 종합 작업은 항상 분석가의 몫이었습니다. 이 에이전트는 바로 그 단계를 워크플로 자체에 포함시켜 줍니다.

스윔레인의 AI SOC 내부를 살짝 엿보세요

Hero AI 위협 인텔리전스 에이전트를 소개합니다

Hero AI 위협 인텔리전스 에이전트는 제가 자세히 살펴보고 싶은 두 번째 에이전트입니다(첫 번째 에이전트는 이미 다뤘습니다). MITRE ATT&CK & D3FEND 에이전트 (이 시리즈의 첫 번째 게시물에서 설명했듯이) MITRE 에이전트가 공격과 방어를 설명하는 방식을 표준화하는 것처럼, TI 에이전트는 정보를 종합하는 방식을 표준화합니다. 이 둘은 함께 모든 다른 결정이 의존하는 컨텍스트 레이어를 형성하기 시작합니다.

Hero AI에 대해 자세히 알아보세요

위협 인텔리전스 AI 에이전트 작동 방식

실제 작동 방식은 다음과 같습니다. 케이스가 생성되거나 지표에 대한 추가 정보가 필요할 때, TI 에이전트는 환경에 연결된 모든 위협 인텔리전스 소스를 자동으로 조회합니다. 평판 데이터, 캠페인 연관성, 과거 탐지 기록, 도메인 등록 정보, 행동 분석 등 각 소스에서 제공하는 모든 정보를 가져옵니다. 그런 다음 분석가가 분석해야 하는 여러 개의 원시 결과를 케이스에 출력하는 대신, 이 모든 정보를 하나의 통합 분석으로 종합합니다.

핵심은 바로 그 종합적인 분석입니다. 에이전트는 단순히 점수를 평균 내거나 가장 높은 점수를 선택하는 것이 아닙니다. 탐지율, 출처 신뢰도, 지표 유형, 시간적 맥락, 캠페인 연관성 등을 종합적으로 고려하여, 마치 모든 출처를 꼼꼼히 검토할 시간이 있는 전문가 분석가가 내릴 법한 결론과 같은 수준의 평가를 도출합니다. 가장 큰 차이점은 에이전트가 모든 지표에 대해 매번 단 몇 초 만에 이러한 분석을 수행한다는 것입니다.

이것은 다른 히어로 AI 에이전트들과 직접적인 연관이 있습니다. 평결 대리인 TI 에이전트의 출력과 과거 사례 맥락 및 지식 기반(KB) 문서를 활용하여 처리 방침을 생성합니다. 수사관 이 회사는 이를 활용하여 종합적인 조사 계획을 수립합니다. MITRE 에이전트 공격 기법을 분석합니다. 각 에이전트는 자신의 역할을 수행하고 출력을 전달하며, 그 결과는 대부분의 SOC에서 수동으로 생성하는 것보다 더 풍부하고 일관성 있는 케이스 파일입니다. 이는 AI가 마법 같아서가 아니라 단계를 건너뛰지 않기 때문입니다.

위협 인텔리전스 AI 에이전트의 1분 데모 영상을 확인하세요.

정량적 확실성: 히어로 AI 신뢰도 점수

제가 이야기할 때 항상 강조하는 것 중 하나는 바로 이것입니다. SOC에서의 AI 설명 가능성이 중요합니다. 에이전트가 "이것은 악의적입니다"라고 말하는 것만으로는 충분하지 않습니다. 이유를 알아야 합니다. 왜 그 결론에 도달하는 과정, 어떤 자료들이 기여했는지, 각 자료에 어떤 가중치가 부여되었는지, 그리고 의견 차이가 있었던 부분은 무엇인지까지 모두 기록해야 합니다. 그런 과정이 없으면, 단순히 하나의 블랙박스(분석가의 직감)를 다른 블랙박스(모델의 결과물)로 바꾸는 것에 불과합니다.

Hero AI 에이전트의 신뢰도 점수는 이러한 문제를 직접적으로 해결합니다. TI 에이전트는 단순히 좋음/나쁨이라는 이분법적인 판단이나 불투명한 단일 위험 수치를 반환하는 대신, 여러 출처 간의 일치 정도, 데이터의 품질 및 최신성, 그리고 결론에 이르는 구체적인 추론 과정을 반영하는 신뢰도 가중치 평가를 생성합니다.

이는 운영상 몇 가지 중요한 의미를 갖습니다. 첫째, 분석가들이 특정 지표에 얼마나 많은 관심을 기울여야 하는지 신속하게 판단할 수 있도록 해줍니다.

• 확신도가 높고 악의적인 의도가 분명한 경우, Verdict Agent가 자동으로 해당 요청을 종료할 수 있습니다. 
• 출처가 서로 상충되어 확신도가 애매한가요? 분석가가 살펴봐야 합니다. 분석가는 그 근거가 명확하기 때문에 어디에 집중해야 할지 정확히 알고 있습니다. 
• 확신도가 낮나요? 상담원은 잘못된 판단을 내린 것이 아니라 추가 데이터가 필요하다고 표시하는 것입니다.

둘째, 그리고 제가 생각하기에 보안 책임자들이 과소평가하는 부분은 바로 신뢰도 점수 시스템이 TI 프로그램의 효과성을 측정할 수 있는 기준선을 제공한다는 점입니다. 시간이 지남에 따라 에이전트의 높은 신뢰도 평가가 실제 결과와 얼마나 자주 일치하는지 추적할 수 있습니다. 어떤 TI 소스가 지속적으로 유용한 정보를 제공하는지, 어떤 소스가 불필요한 정보를 제공하는지 파악할 수 있습니다. 어떤 피드를 갱신할 가치가 있는지, 어떤 피드가 가치 없이 양만 늘리는 것인지에 대해 데이터 기반 의사결정을 내릴 수 있습니다. 이것이 바로 벤더의 슬라이드 자료가 아닌, 증거에 기반한 TI 프로그램 관리입니다.

위협 인텔리전스의 역설과 지능형 에이전트가 판도를 바꾸는 이유

잠시 시야를 넓혀 보겠습니다. TI 에이전트는 더 넓은 관점에서 다음과 같은 점을 보여줍니다. AI 에이전트 SOC에서 그들의 자리를 쟁취한다.

기존의 위협 인텔리전스 접근 방식은 누적적입니다. 즉, 더 많은 피드를 구매하고, 더 많은 소스를 통합하고, 출력 결과를 검토할 분석가를 더 많이 고용하는 것입니다. 하지만 문제는 새로운 소스가 추가될 때마다 신호와 노이즈가 모두 발생하고, 상관관계 분석의 부담이 전적으로 사람에게 전가된다는 점입니다. 결국, 기존 팀이 이미 확보한 데이터조차 처리할 수 없게 되면서, 추가 피드의 한계 효용이 오히려 마이너스가 되는 시점이 도래합니다.

AI 에이전트는 그 공식을 뒤집습니다. 입력값이 많을수록 작업량이 늘어나는 것이 아니라, 입력값이 많을수록 더 나은 합성이 이루어집니다. 에이전트에 연결하는 모든 TI 소스는 상관관계를 강화하고 신뢰도 점수 계산의 정확도를 높입니다. 에이전트는 인텔리전스 프로그램이 성장함에 따라 함께 발전하는데, 이는 사람이 수동으로 상관관계를 분석할 때와는 정반대입니다.

점진적 신뢰를 위한 AI 에이전트 네트워크의 힘

이것이 바로 제가 시간이 지남에 따라 각 에이전트가 더 큰 비중을 차지할 자격을 얻는 에이전트들의 교향곡을 구축한다는 말의 의미입니다. TI 에이전트는 처음에 분석가들이 내린 결론과 함께 통합 분석 결과를 보여줍니다. 이를 통해 벤치마킹하고 비교하며 신뢰도를 높일 수 있습니다. 일관성이 입증되면 분석가가 모든 지표를 검토하지 않고도 사례를 보완할 수 있도록 TI 에이전트를 신뢰하게 됩니다. 궁극적으로 신뢰도가 높은 결과는 Verdict 에이전트를 통해 자동화된 처리로 직접 전달되고, 팀은 실제로 인간의 판단이 필요한 모호한 사례에 시간을 집중할 수 있게 됩니다.

이는 위협 인텔리전스에 적용된 점진적 신뢰입니다. 여기에 MITRE 에이전트가 공격 언어를 표준화하고 D3FEND 매핑이 도구가 이미 다루는 범위를 보여주는 기능을 결합하면, 단순히 더 빠르게 대응하는 것을 넘어 대부분의 팀이 수작업으로는 달성할 수 없는 수준의 일관성과 문서화를 갖춘 SOC를 구축할 수 있습니다.

다음 글에서는 판결 에이전트와 설명 가능한 AI 판결이 실제로 어떻게 작동하는지 자세히 살펴보겠습니다. 사건을 자율적으로 종결하는 것은 지표를 보강하는 것보다 훨씬 더 큰 위험을 수반하기 때문에, 바로 이 부분에서 점진적 신뢰 모델이 진정한 시험대가 됩니다. 기대해 주세요.