본 포스팅은 시스코의 Global CISO이자 SVP인 Jason Lish이 작성한 A new model for infrastructure security: How Cisco defends against AI threats 포스팅을 번역한 글입니다.
모든 CISO는 “우리는 AI 기반 공격에 대비되어 있는가?”라는 질문을 다양한 형태로 받고 있습니다. 시스코가 자사 네트워크를 연간 점검 방식이 아닌 지속적인 운영 모델로 재구축하고 있는 방식에 대해 자세히 알아보세요.
대부분의 기업은 과거 시대를 위해 구축된 위협 모델을 기반으로 위험을 관리하고 있습니다. 위험 임계값을 설정하고, 그 기준선 이상의 취약점, 즉 밤잠을 설치게 할 만큼 심각한 문제에만 집중해 왔습니다. 그 이하의 모든 것은 관리 가능한 범위로 여겼죠. 이는 합리적인 타협이었습니다.
AI 기반 사이버 보안 도구는 이러한 모델을 바꿔 놓았습니다. 이 도구들은 단순히 알려진 공격 수단을 가속화할 뿐만 아니라, 여러분이 긴급하지 않다고 판단했던 취약점이나 교체할 틈이 없었던 레거시 장치를 포함해, 기준선 아래에 있는 모든 요소를 찾아내 무기로 활용할 수 있습니다. 기준선이 단순히 높아진 것이 아닙니다. 아예 사라져 버린 것입니다. 이러한 인식은 시스코에서 자사 네트워크를 운영하고 방어하는 방식을 재편하고 있으며, 우리는 모든 기업이 사이버 보안에 대해 생각하는 방식도 재편해야 한다고 생각합니다.
“예전에는 신경 쓰지 않았던 것들 — 바로 그것이 이제 우리가 가장 걱정하는 부분이 되었습니다.
기준선이 사라졌으며, 우리는 전체 모델을 재고해야 합니다.”
우리가 직면한 현실
시스코의 기업 네트워크는 수백만 대의 기기, 수천 개의 애플리케이션, 그리고 급속히 증가하는 AI 에이전트의 트래픽을 처리합니다. 이는 우리 제품이 막기 위해 설계된 바로 그 공격자들의 주요 표적이기도 합니다.
수년 동안 우리는 오늘날 대부분의 기업이 여전히 사용하는 것과 동일한 취약점 패치 모델을 운영해 왔습니다. 취약점이 공개되면 패치를 개발하고, 변경 일정을 잡은 뒤, 수동 승인을 받아 수정 사항을 배포하는 방식입니다. 이 주기는 몇 주 단위로 측정되었는데, 공격자가 새로 공개된 결함을 무기로 만드는 데 몇 달이 걸리던 시절에는 합리적인 방식이었습니다. 하지만 이제 그 시간은 몇 시간으로 단축되었고, 앞으로는 몇 분 단위로 줄어들 전망입니다. 아무리 프로세스를 개선해도 이처럼 벌어지는 격차를 메울 수는 없습니다.
최신 AI 모델의 등장으로, 네트워크를 방어하는 기존의 접근 방식은 더 이상 충분하지 않습니다. 우리가 취약점을 더 빨리 찾아내고 수정하는 데 도움을 주는 바로 그 기술들이 공격자들의 손에 넘어가고 있으며, 이들은 이제 기계의 속도로 취약점을 스캔하고, 악용하며, 무기로 전환할 수 있습니다. 이러한 역학은 우리 자체 코드를 훨씬 넘어 확장됩니다. 우리의 광범위한 공급업체 생태계가 취약점을 패치하기 위해 분주히 움직이는 동안, 공격자들은 동일한 모델을 활용하여 이를 발견하고 악용하며, 종종 이 두 과정이 동시에 진행됩니다. 그 결과, 취약점 공개와 악용 사이의 시간이 급속히 단축되면서 우리 역시 그만큼 빠르게 진화해야만 하는 상황에 직면했습니다.
저희 팀은 취약점을 찾아 수정하는 데 주력하며, 계약 및 기술적 통제 하에 승인된 상용 AI 코딩 에이전트를 사용하여 수백만 줄의 코드로 구성된 복잡한 제품을 스캔합니다. 이를 통해 인간만으로는 놓칠 수 있는 취약점을 발견할 수 있습니다.
대응 방안: 탐지. 검증. 차단. 교체.
운영 측면에서, Anthropic의 Project Glasswing 및 OpenAI의 Daybreak, 그리고 기타 최첨단 모델과의 협업 경험을 바탕으로, 우리는 내부 방어 체계를 네 가지 기둥을 중심으로 재편했습니다. 이는 외부에서 내부로 우선순위를 두어, 광범위한 공급업체 및 위협 환경을 시작으로 우리 자체 환경으로 점차 확대해 나가는 방식입니다.
이 모델에서 도구와 에이전트는 단순한 체크리스트가 아닌, 머신 속도로 서로를 강화하는 지속적인 루프로 작동합니다.
실시간 가시성을 최우선으로. 가시성은 우리가 무엇을 검증해야 할지 알려줍니다. 어떤 것도 가속화하기 전에, 우리는 모든 자산, 신원, 서비스 계정, 클라우드 권한, API를 아우르는 전체 공격 표면에 대한 중앙 집중식이며 지속적으로 업데이트되는 전체적인 그림을 확보해야 했습니다. 진정한 가시성은 단순한 자산 목록이 아닙니다. 그것은 각 자산의 소유자가 누구인지, 자산이 얼마나 중요한지, 그리고 해당 자산이 침해될 경우 상황이 얼마나 심각해질 수 있는지를 아는 것입니다. 이것이 모든 결정의 토대입니다.
주기적인 검토가 아닌 지속적인 노출 검증. 검증은 런타임 보호 기능을 어디에 배포할지 알려줍니다. AI를 활용하는 공격자들은 CVSS(Common Vulnerability Scoring System) 점수에 따라 우선순위를 정하지 않습니다. 그들은 주기적인 검토 주기로는 감지할 수 없을 만큼 빠르게, 심각도가 낮은 취약점들을 연결하여 작동하는 악성코드로 만듭니다. 우리는 더 이상 취약점 목록을 쫓지 않습니다. 이를 통해 이론적으로 위험할 수 있는 요소가 아닌, 실제로 악용 가능한 부분을 해결하기 위해 실제 공격을 머신 속도로 시뮬레이션할 수 있습니다. 공격 경로 분석은 무엇이 위험에 처해 있는지 알려주지만, 심각도 점수만으로는 알 수 없습니다.
목표가 아닌 연결고리로서의 런타임 보호. 런타임 텔레메트리는 가시성으로 다시 연결됩니다. 런타임 보호는 근본 원인을 해결하는 동안 위협을 억제합니다. 이는 실제 수정 조치가 준비될 때까지 시간을 벌어줍니다. 우리의 목표는 부분적인 침해 상황에서도 안전하게 운영을 지속할 수 있을 만큼 탄력적인 프로덕션 환경을 구축하는 것입니다.
전략적 보안 필수 과제로서의 현대화. 현대화는 변화를 위해 구축된 인프라 위에서 전체 루프가 원활하게 작동하도록 합니다. 우리의 초점은 기반을 강화하는 데 있습니다. 수명이 다한 시스템을 폐기하고, 보안이 취약한 레거시 서비스를 제거하며, 더 빠른 패치 적용과 더 높은 복원력을 위해 인프라를 정비하는 것입니다. 이러한 현대적인 기반이야말로 Hypershield급 세분화, Live Protect, 그리고 재부팅이나 바이너리 변경 없이 실시간 취약점 차단을 제공하는 eBPF 기반 Tetragon 에이전트와 같은 고급 런타임 방어 기능을 가능하게 합니다. 이러한 기능들은 레거시 환경에서는 절대 실행될 수 없습니다.
우선순위 설정 방식: 외부에서 내부로
우리가 이룬 가장 구체적인 변화 중 하나는 대응 순서를 정하는 방식입니다. 노출 범위가 넓고 모든 작업을 한 번에 처리할 수 없을 때, 기술적 역량만큼이나 우선순위 결정 구조가 중요합니다.
우리의 접근 방식: 외부에서 내부로. 인터넷에 노출된 에지(edge)는 노출 위험이 가장 크고 변화 속도가 가장 빠르므로, 우리는 이곳에 패치 적용 속도와 보호 조치를 우선적으로 집중했습니다. 코어(core) 쪽으로 이동할수록 속도는 더 신중해집니다. 그곳의 경계는 가장 중요한 부분 중 하나이기 때문입니다. 가장 큰 보안 구역을 분리하는 세그먼트, 즉 가장 민감한 자산을 보호하는 방화벽은 최우선 순위를 부여받습니다. 이를 보호하면 횡방향 이동을 제한하고, 만일 침투가 발생하더라도 피해 범위를 억제할 수 있기 때문입니다.
이로부터 모든 결정은 동일한 위험 기반 논리를 따릅니다. 즉, 무엇이 가장 노출되어 있고 취약한지, 그리고 적절한 대응책이 무엇인지(네트워크에서 제거, 세그먼트화, 런타임 보호 적용, 패치 가속화)를 판단하는 것입니다. 라이프사이클이 종료되었거나 지원이 중단된 자산은 제거되거나 격리됩니다. 외부에서 악용 가능한 취약점은 우선적으로 해결됩니다. 운영 시간 내에 패치를 적용할 수 없는 자산은 수정 작업이 진행되는 동안 런타임 우선 보호를 받습니다.
더 큰 변화
이 모든 것은 단순한 패치 주기 단축보다 더 근본적인 무언가를 가리킵니다. 우리가 구축해 나가는 모델은 견고한 요새가 아닙니다. 이는 작업을 위해 시간을 할애하지 않고도 지속적으로 더 안전한 상태로 전환할 수 있는 민첩하고 적응력 있는 시스템입니다.
“핵심은 항상 새롭고 안전한 기술을 재배포할 준비가 되어 있는 것입니다.
잠시 멈춰서 패치 작업을 해야 한다는 생각은 이제 과거의 방식입니다.”
업계가 격렬한 인프라 진화의 시대로 접어들면서, 기업들은 복원력을 구축하고 유지하기 위해 보안 관행과 운영 모델을 조정해야 합니다. Project Glasswing 및 Daybreak와 같은 신뢰할 수 있는 이니셔티브에 참여함으로써, 우리는 이러한 변화를 헤쳐 나가기 위해 필요한 심층적인 통찰력을 얻었으며, 이를 통해 운영 방식에 즉각적인 변화를 가져왔습니다. 하지만 여기서 멈추지 않을 것입니다. 운영 모델을 지속적으로 성숙시켜 나가는 과정에서, 우리는 모든 역량을 내부적으로 — 대규모로, 실제 운영 환경에서 — 검증해 나갈 것이며, 이를 통해 고객이 자체 보안 운영을 발전시키는 데 도움이 되는 학습 내용과 모범 사례를 공유할 것입니다.
AI 위협에 선제적으로 대응할 기회는 여전히 열려 있습니다. 이러한 운영 역량을 구축하는 조직은 경쟁 우위를 더욱 공고히 할 것입니다. 기다리기만 하는 조직은 위험을 가중시킬 뿐입니다.
“우리는 단순히 네트워크를 판매하는 것이 아닙니다.
고객에게 제공하는 것과 동일한 도구로 매일 매 순간을 방어합니다.”
제이슨 리시(Jason Lish)는 시스코(Cisco)의 수석 부사장 겸 최고 정보 보안 책임자(CISO)로, 기업 정보 보안, 데이터 보호, 공격 표면 관리, 보안 운영을 포함한 시스코의 정보 보안 부문에 대한 전략적 리더십과 감독을 담당하고 있습니다. 또한 밸류 체인 보안과 보안 및 신뢰 조직(Security and Trust Organization)의 인수 합병(M&A) 업무를 총괄하고 있습니다.
웨비나 다시 보기
Glasswing: Mythos는 인프라를 위한 새로운 모델을 요구합니다
주최: Cisco Security
더 많은 관련자료 살펴보기
- How Cisco IT and Security Defend AI Threats
- The Glasswing Moment
- Rising to the era of AI-powered cyber defense
- Cisco Secure Networking
- Cisco Enhances Zero Trust
- Protecting Cisco’s Front Lines
- Cisco goes Passwordless
- Cisco reduces attack surface with ZTA
- More Cisco on Cisco
Authors