AI

[NSIS 2024] 검색엔진 강자 엘라스틱 “생성형AI로 빠른 보안문제 해결”

이안나 기자
김문식 엘라스틱 보안 컨설턴트가 28일 서울 소공동 롯데호텔에서 열린 디지털데일리 주최 제1회 NSIS 2024에서 ‘생성형 AI로 보다 빠른 보안문제 해결’을 주제로 발표에 나서고 있다.
김문식 엘라스틱 보안 컨설턴트가 28일 서울 소공동 롯데호텔에서 열린 디지털데일리 주최 제1회 NSIS 2024에서 ‘생성형 AI로 보다 빠른 보안문제 해결’을 주제로 발표에 나서고 있다.

[디지털데일리 이안나기자] 생성형 인공지능(AI)이 일상에 큰 변화를 줄 수 있었던 건 자연어 처리가 가능하다는 점 때문이다. 전문용어가 아니어도 AI를 활용할 수 있어 기술 진입장벽을 낮췄고 기술을 활용한 문제 해결 과정 시간도 짧아졌다. 생성형AI 이러한 장점은 보안 분야에서도 그대로 적용되고 있다. 엘라스틱이 보안에 AI를 적극 활용하는 이유다.

김문식 엘라스틱 보안 컨설턴트는 28일 서울 중구 롯데호텔에서 <디지털데일리>가 개최한 ‘NSIS 2024’ 무대에 올라 “생성형AI 등장 후 검색은 키워드가 아닌 실생활 용어로 가능하게 됐다”며 “이를 통해 MTTR(Mean Time To Response) 시간을 단축했고, 주니어부터 시니어까지 모두 쉽게 쓰면서 보안 분석 역량을 상향 평준화했다”고 설명했다.

그럼에도 불구 생성형AI를 현업에서 사용하는 데 우려가 있는 건 사실이다. 가령 회사 정보가 거대언어모델(LLM)에 학습돼 유출되진 않을지, 폐쇄망을 쓰던 기업들은 인터넷망을 허용ㅎ야하는지 등을 우려한다. 또한 LLM이 사전 학습된 정보만 제공하다 보니 최신 데이터를 답변에 포함하고 싶어하는 수요도 있다.

엘라스틱은 이런 기업들의 고민을 파악하고 생성형AI 활용도를 넓힐 수 있는 방안을 연구한 결과 ‘엘라스틱 AI 어시스턴트’를 출시했다. 엘라스틱은 ‘엘라스틱서치’라는 검색엔진을 핵심기술로 갖고 있다. 검색 속도가 빠르고, 다양한 로그를 엘라스틱서치에 저장해 로그 기반 룰을 만들고 트리거를 할 수 있다는 점이 특징이다.

엘라스틱 AI 어시스턴트는 이런 검색엔진 기술과 시너지를 십분 활용했다. 데이터 수집·알림·분석 시점 등 각각 워크플로우에 AI를 내장해 챗봇 형태로 쉽게 사용할 수 있다. 회사 정보가 유출될 우려를 해결하기 위해 익명화 처리 기능, 역할에 따라 일부 정보를 익명화할 수 있는 역할 기반 접근제어(RBAC) 기능도 도입했다. 사용량에 따라 비용을 추적관리할 수 있도록 대시보드에서 정보를 제공한다.

특히 생성형AI는 질문을 어떻게 던지는지에 따라 답변 품질이 달라진다. 엘라스틱은 먼저 프롬프트 엔지니어링을 기본으로 지원한다. 어떻게 질문을 던져야 가장 적합한 답변을 얻을 수 있는지 기본으로 제공한다는 의미다. 여기에 검색엔진 기술을 활용, 검색증강생성(RAG) 기술을 도입했다.

김 컨설턴트는 “ESRE(Elasticsearch Relivity Engine)를 이용해 사용자 데이터를 학습하면 자연어로 검색할 수 있는 시멘틱 형태로 엘라스틱서치에 저장이되고, 사용자는 여기서 프롬프트를 이용해 질문을 하면 된다”고 전했다. 이를 통해 사전 학습된 데이터뿐 아니라 최근 데이터까지 맥락을 통해 답을 얻을 수 있다.

엘라스틱은 자체 LLM 모델을 갖고 있지 않다. 대신 외부 다양한 LLM 모델을 선택해 각 회사에 맞게 사용할 수 있도록 제공한다. 현재 지원하고 있는 것은 아마존 베드록과 오픈AI다. 다른 LLM도 엘라스틱 AI 어시스턴트와 연결은 가능하지만 프롬프트 엔지니어링만 지원하고, RAG 이용은 제한된다.

김문식 엘라스틱 보안 컨설턴트가 28일 서울 소공동 롯데호텔에서 열린 디지털데일리 주최 제1회 NSIS 2024에서 ‘생성형 AI로 보다 빠른 보안문제 해결’을 주제로 발표에 나서고 있다.
김문식 엘라스틱 보안 컨설턴트가 28일 서울 소공동 롯데호텔에서 열린 디지털데일리 주최 제1회 NSIS 2024에서 ‘생성형 AI로 보다 빠른 보안문제 해결’을 주제로 발표에 나서고 있다.

각 기업 보안 담당자들은 이제 LLM에서 “ES·QL(엘라스틱에서 제공하는 쿼리언어)로 보안 위협을 탐지하기 위한 룰을 짜줘”라고 요청할 수 있게 되는 것이다. 일반 LLM은 ES·QL이 무엇인지 몰라 적절한 답을 못 주지만, RAG를 적용하면 배경지식이 저장된 데이터를 학습해 맥락을 보고 제공하는 게 가능하다.

엘라스틱은 하루 몇백개의 경고(Alerts)를 전부 확인할 필요 없이, 핵심만 살펴볼 수 있는 ‘어택 디스커버리(Attack Discovery)’도 새롭게 출시했다. 가령 당일에 발생한 Alerts가 30개일 때, 이중 일부는 크리티컬 레벨일 수 있기 때문에 모두 조사할 필요가 있다. 여기서 어택 디스커버리는 현재 환경에서 발생하는 공격에 대한 지점들을 생성형AI로 분석한다. 그 결과 n번의 공격 중 뿌리에 해당하는 부분만 3개만 도출해준다.

김 컨설턴트는 “엘라스틱 AI 어시스턴트로 몇 개 alert와 위협이 탐지가 됐고, 이 위협을 분석하기 위해서 해야할 조치들을 하나의 케이스로 관리할 수 있다”며 “여기에 시각화 도구라던지 쿼리 등 다양한 것들을 포함할 수 있어 추가 분석 보고서를 쓰지 않고 이것으로 갈음할 수 있도록 만들 수도 있다”고 말했다.

이어 “어택 디스커버리는 엘라스틱이 특허출원을 해 진행 중이고, 추후 게임체인저처럼 강력하게 활용할 수 있을 것”이라고 덧붙였다.

이안나 기자
anna@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널