나루씨큐리티 김혁준 대표가 서울 잠실 롯데호텔월드에서 열린 ‘2026 사이버보안 기술 전략 컨퍼런스’에서 AI가 사이버 공격 환경을 근본적으로 바꾸고 있다고 진단했다. 그는 앤트로픽의 미토스(Mithros)와 같은 고성능 프런티어 AI 모델이 취약점 분석과 공격 도구 제작을 자동화하면서 공격자 한 명이 조직 하나를 공격하는 비용이 낮아졌다고 설명했다. 기술이 부족했던 공격자도 AI의 도움을 받아 공격을 실행할 가능성이 높아지는 이른바 ‘위협의 평탄화’ 현상이다. 기업 규모와 관계없이 더 많은 조직이 공격 대상에 포함되는 환경에서, 특정 조직은 공격받지 않을 것이라는 확률에 기대는 기존 방어 방식은 유효하지 않다는 것이 그의 주장이다.
김 대표가 제시하는 대안은 ‘결정론적 통제’다. 공격자가 침입하지 않기를 기대하는 대신, 공격자가 내부망에서 이동할 때 반드시 거쳐야 하는 경로를 파악하고 그 지점을 관찰·차단하는 접근 방식이다. 공격자의 의도와 기술 역량은 통제할 수 없지만, 내부 네트워크 구조와 계정 권한, 시스템 간 연결 관계는 방어자가 바꿀 수 있는 변수라는 논리다. 결정론적 통제는 모든 공격을 진입 단계에서 차단하는 것을 목표로 하지 않는다. 침해 이후 공격자가 권한을 높이고 횡이동(lateral movement)하며 핵심 업무 시스템에 도달하는 과정을 좁히는 데 초점을 맞춘다. 평소와 다른 시스템 간 통신, 특정 시간대의 외부 접속, 정상 계정의 비정상적인 내부 탐색 패턴을 관계·시간·행위 차원에서 복합 분석해 공격 경로를 추적한다.
나루씨큐리티는 이 분석 방법론에 다이아몬드 모델(Diamond Model)·사이버 킬체인(Cyber Kill Chain)·마이터 어택(MITRE ATT&CK) 세 가지 분석 틀을 결합한다. 올해 상반기에만 272억 건이 넘는 방화벽·네트워크 로그를 분석했으며, 단순 분류에 그치지 않고 고객별 정상 업무 흐름을 기준점으로 삼아 이상 변화를 탐지한다. 이 분석 과정을 자동화하기 위해 에이전틱 AI(Agentic AI)를 접목했다. AI가 가설을 세우고 로그·관계망을 분석한 뒤 조사 범위를 스스로 조정하는 반복 탐색을 수행한다. 다만 LLM(대규모 언어 모델)은 같은 질문에도 매번 다른 답을 낼 수 있어, AI의 확률적 판단을 시스템 격리나 통신 차단 같은 보안 조치에 직접 연결하기에는 재현성 문제가 있다. 나루씨큐리티는 이를 온톨로지(ontology) 기반 지식 구조로 해결한다. AI가 세 가지 분석 틀을 벗어나 임의 결론을 내리지 않도록 판단 기준을 고정하고, 분석 결과가 보안 정책을 통과하지 못하면 격리·차단 권한을 부여하지 않는 이중 안전장치를 적용한다.
나루씨큐리티는 이 분석 체계를 자사 구독형 침해평가 서비스 ‘제로티카(ZeroTiCA)’에 탑재했으며, ‘프로젝트 나루 AI(Project Naru AI)’로 개발한 자율형 침해 분석 기능을 결합했다. 로컬 AI가 방화벽 로그와 내부 식별 정보를 고객 환경 안에서 직접 처리해 외부 AI 서비스로의 데이터 전송 없이 공격 경로를 재구성하는 구조다. 최종 결과는 최초 침투부터 내부 이동, 권한 상승, 정보 유출 가능성까지 시간순으로 정리된 공격 경로 형태로 보안 담당자에게 제시된다. 향후에는 분석 결과를 지능형 마이크로세그멘테이션(microsegmentation)과 연동해, 이상 행위가 탐지된 구간만 선택적으로 격리하고 전체 네트워크 운영은 유지하는 방향으로 발전시킬 계획이다.
