[보안칼럼]RSAC 2025 방문기

올해 4월 28일부터 5월 1일까지 미국 샌프란시스코 모스콘 센터에서 'RSA 콘퍼런스2025'(RSAC 2025)가 개최됐다. 사이버 보안 업계에서 가장 규모가 크고 트렌디한 행사로, 매년 최신 보안 기술이 이곳을 통해 처음 공개되는 만큼 새로운 기술이 선보일 때마다 주목받는 무대라고 할 수 있다.

먼저 구글, 마이크로소프트(MS), 트렐릭스, IBM, 크라우드스트라이크 등 글로벌 대기업이 막강하게 업그레이드된 인공지능(AI)을 공통적으로 선보였다. 전년도까진 'AI로 탐지기능을 강화해준다'는 수준의 AI 보조(AI Assisted) 기능에 그쳤다면, 올해는 거대언어모델(LLM) 발전에 힘입어 대부분의 회사가 AI가 직접적인 보안 운영까지 확장, 사람의 역할을 상당수 대체하는 정도까지 강화됐다. 예를 들어 “홍길동이라는 사람에게 A에서 B로 접근할 수 있도록 접근제어목록(ACL)을 설정해줘” “아마존웹서비스(AWS) S3 AAA 버킷의 권한을 가진 사람을 모두 나열해줘”라는 식으로 평소 운영지침 내에서 보안운영 업무나 체크리스트 기반의 업무까지도 AI가 대체하는 모습을 확인할 수 있었다.

이전엔 보안정보·이벤트관리(SIEM), 보안오케스트레이션·자동화·대응(SOAR)으로 규칙 기반에 의해 단지 1차원적으로만 자동화됐던 것이, 이제는 확장형탐지·대응(XDR)과 AI가 결합돼 다차원적으로 자동화가 가능해졌다. 이는 보안관제센터(SOC)와 고객맞춤형탐지·대응(MDR)의 영역을 좀더 강력하게 만들어주는 계기가 되고 있다. 즉 이전까지의 SOC와 MDR는 전통적인 자동화는 그대로 유지하되, AI가 정확한 탐지를 위해 알람의 개수를 줄여주는 정도로 보조 역할을 했다면, 이제부턴 AI가 탐지는 물론 운영도 담당해 일손을 좀 더 확실히 줄여주는 단계까지 발전됐다고 볼 수 있다.

보안관제서비스는 해외에는 없는 말이지만, 한국의 보안관제서비스는 SOC와 MDR가 결합된 형태라고 볼 수 있다. 이번 RSAC에서 SOC·MDR를 관통하는 이슈가 자산의 노출(exposure)이었다. 이전의 SOC·MDR에선 침입이 발생한 후 탐지되는 것을 중점적으로 보았다면, 클라우드 시대로 들어오며 관리되지 않는 자산이 전 세계에 흩어지게 되고 공격표면관리(ASM)가 SOC와 MDR에 필수 요소가 됐다. 이전 RSAC에선 ASM 솔루션이 개별적으로 소개되고 별도의 보안 장치 정도로 인지됐다면, 올해엔 SOC·MDR에서 ASM은 필수 컴퍼넌트로 소개했다. 한국의 보안관제 서비스에서도 조만간 이러한 흐름으로 이어지지 않을까 싶다.

AI 발전을 위해선 결국 데이터 핸들링을 어떻게 할 것이냐는 원론적인 질문에 늘 부딪히게 된다. 사실 RSAC의 여러 AI 솔루션이나 기능을 보면, 해외는 데이터를 클라우드에 넣는 것과 서비스형소프트웨어(SaaS)를 사용하는 것에 대해 큰 반감이 없다. 반면 한국은 상대적으로 그에 대한 심적 부담을 크게 느끼는 편이다. 특히 SOC·MDR에서 많은 보안 운영까지 직접 AI가 할 수 있게 하려면, AI에 많은 내부 보안 데이터를 제공해 학습시키거나 수많은 외부 응응프로그램인터페이스(API)를 검색증강생성(RAG)으로 연결해야만 한다. 문제는 수많은 규제에 부딪히는 대한민국 환경에선 여기서부터 큰 장벽이 될 수 있다는 점이다.

또 자산의 노출(exposure)을 가장 심각하게 보는 해외에선 ASM이나 클라우드네이티브애플리케이션보호플랫폼(CNAPP)을 보안관제(SOC·MDR)에 있어 정말 중요한 요소로 생각한다. 하지만 한국은 아직도 내부망에서의 탐지만 우선적으로 생각하는 경향이 있다. 가장 큰 일례로 이번 SK텔레콤 해킹 사건에서도 외부 노출 자산에 대한 위험도도 언급되고 있는 상황이지만, 보안 커뮤니티나 보안 관계자들을 보면, 엔드포인트탐지·대응(EDR)이나 서버백신에만 포커스를 맞추고 있다는 것도 큰 아쉬운 점이다. 자산의 노출 문제를 잘 관리해야 요즘 글로벌 보안 업계에서 중요시하는 선제적(procative) 보안 문제를 비로소 해결할 수 있다.

강병탁 AI스페라 대표이사 window31@aispera.com