글로벌 사이버보안 전문 기업인 팔로알토 네트웍스(Palo Alto Networks)가 서울 강남구 조선팰리스 강남에서 연례 최대 사이버보안 컨퍼런스 ‘이그나이트 온 투어 서울’을 개최했다.
14일 진행된 이번 행사에서 팔로알토 네트웍스는 AI 시대를 맞아 새롭게 부상하는 사이버보안 트렌드와 전략을 논의하고, 다양한 산업군의 국내 파트너 기업이 참여해 성공사례를 공유했다.
‘이그나이트 온 투어’는 팔로알토 네트웍스가 주최하는 플래그십 글로벌 로드쇼로 일본, 중국, 인도 등 국가에서 시작해 한국을 거쳐 호주, 태국, 싱가포르 등에서 진행된다. 서울에서 열린 이번 컨퍼런스는 업계 전문가와 파트너가 모여 최신 사이버보안과 특히 AI가 사이버 위협의 양상을 어떻게 변화시키고 디지털 환경에서의 보안을 혁신하는지에 대한 논의의 장이 됐다.
이날 컨퍼런스 발표를 위해 방한한 사이먼 그린(Simon Green) 팔로알토 네트웍스 아태지역(JAPAC) 총괄 사장은 발표 직후 기자들과 만나 AI 시대를 맞이하는 2025년 최신 사이버 보안 트렌드와 팔로알토 네트웍스의 전략을 설명했다.
그린 사장은 “3개월 뒤면 팔로알토가 한국과 함께한지 20년이 되는 기념비적인 순간”이라며 “한국을 비롯해 전 세계 9만여 고객을 대상으로 반복적인 노출 리스크, 침해 방지 등 사이버 보안 리스크를 줄이는데 노력하고 있다”고 운을 뗐다.
AI 도입으로 인해 사이버 공격 복잡성, 다양화 진행돼
“저희는 고객 관점의 AI의 복잡성을 줄이기 위해 플랫폼을 통한 접근을 진행하고 있습니다. 2024년에 한국 역시 다양한 사이버 공격이 시도됐는데요. 최근 특징은 다양한 방식의 공격이 행해지고 있다는 점입니다. 어디서나 업무가 가능한 환경과 기업 별 50~60개에 달하는 보안관련 툴을 사용하다보니 복잡성도 가중되고 있죠. 또 AI가 기술 전 분야에 통합되며 데이터의 양도 급증하고 있고요. 이로 인해 국가마다 규제 역시 강화하고 있습니다.”
이어 그린 사장은 “예전에는 금융 기관과 중요 인프라를 대상으로 사이버 공격이 이뤄진다는 인식이 일반적이었지만, 요즘에는 대학을 비롯해 보건, 통신 등 기술이 적용되는 모든 분야가 타겟이 되고 있다”며 각 기업들이 마주한 사이버 보안 관련 쟁점을 짚기도 했다.
그러면서도 그는 “사이버 보안 관련 여러 난관과 어려움에도 불구하고 긍정적이고 낙관적인 관점을 보고 있다”며 파트너십을 통한 혁신을 언급한데 이어, AI 관련 보안의 중요성이 대두되고 있음을 강조했다.
"AI는 사실 내일의 문제가 아닌 오늘을 조명하고 있는 문제라고 해도 과언이 아니예요. 그래서 저희는 AI와 관련된 보안 문제를 해결하는데 책임감을 가지고 있습니다. 대부분의 기업이 AI를 도입하고 활용하는 것에 집중한 나머지 AI 관련 보안은 우선순위에 두고 있지 않죠. 그 사이 AI를 활용하는 기업 비율은 약 96%에 이르게 할 만큼 확산됐습니다. ROI(투자대비수익) 관점에서 AI 도입 압력이 커진 것도 이유라고 할 수 있죠. 이러한 상황에서 만약 LLM(거대언어모델)의 잘못된 해석이 발생하면 큰 위협으로 이어질 수 있습니다. 실제 해킹을 시도하는 해커들 역시 AI를 활용하고 있죠. 2022년 기준 저희 연구 결과 해커들이 AI를 활용해 취약점을 활용한 무기화가 진행되는 기간을 9일 정도로 봤지만, 2023년에는 2일 정도로 줄었습니다. 앞으로는 거의 몇 시간 내로 공격이 가능할 것이라 보고 있습니다.”
특히 그린 사장은 2024년을 ‘메가 브리치(Mega breach, 대량 침해)의 해’라고 규정하며 헬스케어부터 시작해 자동차, 리테일 분야 등에서 짧은 시간 내에 광범위하게 발생한 여러가지 침해 사례를 언급하는 한편, 팔로알토 네트웍스의 대응 역량을 소개하기도 했다.
“이와 같은 애량 침해에 대응해 저희는 머신러닝, 딥러닝 등 AI 기반 위협 탐지를 해법으로 제시하고 있습니다. AI 정확성을 높이고자 회사는 지난 10년간 2500여개 AI 모델을 연구했으며, 한 달의 약 76페타바이트(PB, 10만 메가바이트) 해킹 데이터를 오퍼레이션하고 몇 분 내에 침해 관련 어드바이저를 주고 있습니다. 하루에 약 7.6 페타바이트인 셈이죠. 이는 업계 최고 수준입니다.”
AI 시대의 사이버 공격, 해결 가능한 문제다
그린 사장은 막강한 팔로알토 네트웍스의 데이터 처리 속도와 규모를 재차 강조하며 “복잡하고 빨라지는 사이버 공격은 해결 가능한 문제”라고 언급했다. 그러한 팔로알토 네트웍스의 사이버 보안은 네트워크, 클라우드, 보안 관제센터 등 보안의 엔드 투 엔드(end to end)를 커버한다는 것이 그린 사장의 설명이다.
“저희는 공격 표면 관리 솔루션인 익스펜스(Xpanse) 솔루션, 자동 보안관제 플랫폼 엑스아이엠(XSIAM), 먀 기반 통합 보안 운영 플랫폼 코어텍스(Cortex) 등 3개의 서비스를 저희 인텔리전스 팀과 함께 운영하고 있습니다. 수백 건의 연구 개발을 통해 새로운 공격을 방지하기 위해 노력하고 있죠. 특히 AI는 약 10년이 넘는 기간 동안 연구하고 기술을 개발해 온 주제 입니다. 지금까지 약 2500개가 넘는 AI 모델을 연구해 왔고, 이를 바탕으로 저희 AI 모델은 아주 고도화된 트레이닝을 거쳤습니다. 앞서 언급한 ‘실시간 대응이 가능하다’고 한 부분도 바로 이 때문이죠.”
이러한 팔로알토 네트웍스의 독자적인 기술력은 ‘‘프리시전 AI(Precision AI)’로 설명되고 있다. 이는 머신러닝(ML) 및 딥러닝(DL)의 장점과 실시간 생성형 AI의 접근성을 결합한 것으로, 그린 사장의 표현에 따르면 ‘팔로알토 네트웍스의 모든 역량을 결집해 만든 기술’이다.
다음은 이어진 질의응답을 통해 그린 사장이 답변한 내용이다.
Q : 분석에 따르면, 고객사들이 50개에서 60개 이상의 보안 솔루션을 사용하는 경우가 많으며 AI 분석 기능을 활용하면 보안 솔루션의 수를 줄이고, 성능을 최적화할 수 있다고 설명했다. 그러나 국내 보안 산업에서는 AI를 이용해 이상 징후를 분석하거나 관제에 활용할 때 오탐, 즉 잘못된 위협 탐지로 인한 문제가 발생할 수 있다. 팔로알토 네트웍스는 이러한 오탐에 대해 어떤 입장을 가지고 있는지?
A : 대부분의 회사들의 보안 AI가 미스디텍션, 즉 오탐을 하는 이유는 제대로 된 문제를 보지 못하고 있기 때문이다. 대부분의 기업들이 코파일럿 형태로 AI를 활용하고 있는데, 이러한 형태는 가시성이 부족하다는 한계가 있다. 반면 우리의 AI 기술은 확실한 가시성을 바탕으로 이러한 문제들을 탐지하고 해결하는 데 큰 활용도를 보여주고 있다.
팔로알토 네트웍스는 전 제품에 AI 기술을 적용하여 자동화를 구현했으며, 그 중심에는 'XSIAM'이라는 자동 보안 관제 플랫폼이 있다. 기존의 보안 관제가 많은 인력이 직접 문제를 찾아내고 정리하고 해결하는 방식이었다면, XSIAM 엔진은 이 모든 과정을 완전 자동화하여 사람의 개입을 최소화했다. 이를 통해 모든 알럿을 표준화하고 자동으로 해결할 뿐만 아니라, 사람의 추가 개입이 필요한 부분을 자동으로 감지해 분류까지 해주는 통합 플랫폼으로 발전했다. XSIAM의 도입으로 오탐률이 획기적으로 감소했으며, 이는 많은 인력과 비용이 필요했던 기존의 보안 관제 방식을 개선하여 보안 능력은 향상시키고 비용은 절감하는 우리의 핵심 전략이 되었다.
Q : 프리시전 AI와 같은 첨단 보안 솔루션을 모든 기업이 동일하게 도입하기는 어려울 텐데, 어떤 기업들을 주요 타겟으로 삼고 계신지, 그리고 OWASP에서 발표한 프롬프트 인젝션, 트레이닝 데이터 포이즈닝 등 AI/LLM 관련 주요 보안 위협들에 대해 팔로알토 네트웍스는 어떻게 대응하고 있나?
A : 공격 행위자들은 어떠한 규제나 규정, 혹은 산업에 한계를 두고 있지 않다. 이전에는 금융 산업에만 치중되어 있었던 이런 사이버 공격들, 그리고 대규모 은행에만 치중되어 있었던 사이버 공격이 이제는 산업을 가리지 않는 것처럼, 모든 기업과 모든 기관들이 보안에 있어서 중요함을 인식을 해야 하고 그렇기 때문에 프리시전 AI가 이 모든 기관에서 사용될 수 있을 것이라고 믿고 있다.
그러나 현실적으로 모든 기관이 이러한 기술의 이점을 누리기는 어렵다. 자금적 역량이 각기 다르기 때문에 모든 기술을 도입하는 데 한계가 있기 때문이다. 이러한 문제를 해결하기 위해 팔로알토 네트웍스는 대형 기관들과의 파트너십을 추진하고 있다. 이들과의 협력을 통해 우리의 기술을 활용하고, 이를 다시 서비스 형태로 작은 기관들에게 제공함으로써 규모가 작은 기관들도 우리의 보안 서비스를 이용할 수 있게 하고자 한다.
현재 많은 기업과 고객들이 LLM 활용을 통한 긍정적 결과 도출에 집중하고 있다. LLM 개발과 그 성과에만 몰두하다 보니 보안 문제를 뒤로 미루는 경향이 있는데, 우리는 이러한 고객들의 사고방식을 전환하여 LLM에서 발생할 수 있는 포이즈닝과 같은 보안 위협들을 사전에 방지하고자 한다.
사실 우리는 이전에는 AI 보안에 있어서 보수적인 입장을 취해 왔었다. 하지만 시간이 흐르면서 AI 기술 활용에 대한 요구가 증가했고, 이에 따라 우리도 AI에 대한 깊은 이해와 학습을 지속해왔다. 이는 공격자들이 기관을 대상으로 정교한 공격을 수행하는 만큼, 우리도 100% 완벽한 방어가 가능한 AI 기술을 확보해야 한다는 필요성 때문이었다.
AI와 LLM 관련 사이버 해킹의 현황을 보면, 과거에는 해커들이 전문가 집단이었다. 악성 코드 생성과 해킹에 깊은 기술적 지식과 경험이 필요했지만, 생성형 AI의 등장으로 이제는 일반인도 쉽게 악성 코드를 만들어 해킹할 수 있는 시대가 되었다. 이는 기업들의 해킹 위험이 과거보다 크게 증가했음을 의미한다. 또한 팔로알토 네트웍스 코리아가 랜섬웨어 피해 기업들을 지원하면서 얻은 경험에 따르면, 최근의 랜섬웨어 해킹은 데이터 페이로드 레이어에서 VPN을 통해 침투하는 방식을 사용하고 있다. 그런데 국내 대부분의 기업이 사용하는 레이어4 방화벽으로는 이러한 공격을 탐지할 수 없다. 이로 인해 랜섬웨어를 통한 해킹 공격이 급격히 증가하고 있으며, 해커들은 악성 코드 생성과 전송 과정에서 다양한 AI 기술, 특히 생성형 AI 기술을 적극 활용하고 있다.
Q : 최근 고금리, 경기 침체가 가중되는 상황에서 기업들이 보안 관련 매출을 줄이고 있다. 팔로알토 네트웍스는 올해 연 매출 90억 달러 정도로 가이던스를 상향한 것으로 알고 있다. 그 배경이과 한국 시장 전략은 무엇인가?
A : 불행히도 공격자들은 경제적 위기에 신경 쓰지 않는다. 팔로알토가 작년에 약 90억 달러의 수익을 달성하며 큰 성장을 이루었는데, 이는 고객들이 보안 관련 지출을 줄이기보다는 자금 활용 방식을 전환하고 있음을 보여준다. 통합과 자동화가 되지 않고 원하는 결과를 내지 못하는 레거시 툴들을 우리의 플랫폼화된 기술로 대체하면서, 보다 효율적인 자금 운용 방식을 채택하고 있는 것이다.
일반적으로 기업들은 보안 기술 제품을 3~5년 단위의 구독 서비스나 지원 서비스 형태로 구입한다. 즉 고객들이 이 3년이나 5년 이내에는 다른 기술로 갈아타고 싶어하지 않는다는 것이다. 그렇기 때문에 우리가 반대로 된 이런 접근법을 통해서 이런 시장을 타겟을 하고자 했는데, 예를 들어서 1년 정도 남은 구독 기간이 있다면 1년 남은 기간을 구매를 하고 우리의 플랫폼으로 바꿀 수 있도록 하는 전략을 채택을 하였다.
한국 시장과 관련해서는, 현재 경기가 좋지 않은 상황에서도 사이버 보안에 대한 투자는 지속되어야 한다. 클라우드나 AI 등 다른 기술들이 기업의 생산성과 효율성 향상을 위한 것이라면, 사이버 보안은 기업의 생존과 직결된다. 실제로 한 기업이 사이버 공격을 받아 기업 운영과 공장 생산이 중단된 사례에서 볼 수 있듯이, 이는 단순히 경기 불황 시기의 비용 절감 차원에서 다룰 문제가 아니다. 팔로알토 네트웍스 한국은 글로벌 1위 사이버 보안 기업으로서, 단순한 영업 차원을 넘어 한국 기업들의 사이버 보안 태세를 강화하는 진정한 비즈니스 파트너가 되고자 한다. 우리는 한국 경제의 일원으로서 국내 기업들의 핵심 자산과 생존을 보장할 수 있는 진정한 파트너십을 구축하며 사이버 보안 솔루션을 제공하고자 한다.
Q : 팔로알토 네트웍스가 말하는 플랫폼 보안을 실현할 수 있는 기업은 마이크로소프트나 시스코 정도일 것 같다고 생각하는데, 그런 기업들과 비교했을 때 팔로알토의 주요 경쟁 우위는 무엇인지 궁금하다. 또한 IBM 큐레이더와 관련해 국내에서 고객들이 실제로 전환을 진행하고 있는지, 기존 온프레미스 기반의 큐레이더 고객들이 SaaS로의 전환을 긍정적으로 보고 있는지도 알고 싶다.
A : MS와 시스코는 훌륭한 기업이다. 하지만 오직 보안에 특화된 기업이라고 보기는 어렵다. 반면팔로알토 네트웍스는 약 20년간 보안 분야에만 집중하며 전문성을 쌓아왔고, 그만큼 독특한 입지를 가지고 있다고 생각한다.
큐레이더 인수는 팔로알토 네트웍스에게 매우 중요한 여정표 중 하나이다. IBM과 협력해 큐레이더를 온프레미스에서 SaaS로 전환하는 프로젝트를 성공적으로 진행했으며, 이를 통해 팔로알토 네트웍스의 코어텍스 XSIAM 솔루션을 다양한 산업에 배포할 수 있었다. 많은 기업들이 이 솔루션을 도입하여 큰 이점을 얻고 있다.
한국에서도 큐레이더를 사용하고 있는 많은 고객들이 있으며, 팔로알토 네트웍스와 IBM이 협력하여 이들 고객들이 XSIAM 으로 전환할 수 있도록 돕고 있다. 이미 여러 고객들이 XSIAM 으로의 마이그레이션에 대해 구체적인 문의를 주고 있으며, 고객들의 요구에 맞춰 전환을 지원하고 있다. 고객 이름은 공개할 수 없지만, 팔로알토 네트웍스가 직접 참여해 마이그레이션을 지원하고 있다는 점을 강조하고 싶다.
Q : 사이버 공격이 예측 불가능한 상황에서 구글 맨디언트와 마이크로소프트는 공격 표면관리 솔루션에 투자하고 있다. 팔로알토 네트웍스는 어떻게 대응하고 있나?
A : 팔로알토 네트웍스는 별도의 공격 표면 관리 솔루션인 익스펜스(Xpanse) 솔루션을 제공하고 있으며, 이 솔루션은 XSIAM과 함께 효율적으로 활용할 수 있다. 최근 온프레미스 고객들이 SaaS로의 전환을 긍정적으로 받아들이고 있으며, 일부 고객은 이미 익스펜스를 지난 12월에 도입한 상태이며, 올해 XSIAM을 추가로 도입할 계획도 갖고 있다.
팔로알토 네트웍스의 자동 보안 관제 플랫폼 XSIAM은 기존의 EDR, XDR, SIM, SOAR, 익스펜스 등을 포함한 통합 보안 솔루션이다. 고객들은 기존의 표면 관리 공격 솔루션에 대한 투자를 통합함으로써 비용 관리와 가시성을 개선할 수 있다. 현재 데모를 진행 중이며, 고객들은 상당히 만족하고 있다. 또한, IBM과의 협업을 통해 공격적으로 판매 활동을 진행하고 있다.
팔로알토 네트웍스의 AI 기반 통합 보안운영 플랫폼 코어텍스(Cortex)의 자동 보안 관제 엔진인 XSIAM은 익스펜스 모듈을 포함하고 있으며, 코어텍스 보안 자동 관제 그룹 안에 엔드포인트 보호 제품인 XDR이 있다. 이러한 구성은 SIM 엔진 하에서 엔드포인트 솔루션이 설치되고, 익스펜스가 운영되어 전체적인 자동화된 통합 보안 관제 오퍼레이션을 가능하게 한다.
