핵심 POINT
AI기반 사이버보안 기술력은 생성형 AI 악용, 자동화 공격, 불규칙한 공격 흐름에 대응하기 위한 기업 보안의 핵심 경쟁력으로 부상하고 있습니다.
SK쉴더스 사이버보안AI랩스 임정훈 선임의 QuITE 연구 논문이 ICML 2026에 채택되며 글로벌 수준의 AI 기반 사이버보안 연구 역량을 입증했습니다.
이번 연구는 위협 탐지, MDR, 자율형 SOC 고도화에 적용 가능한 기반 기술로서 기업 보안 운영의 정밀도 향상에 기여할 수 있습니다.
생성형 AI와 자동화 기술은 기업의 업무 생산성을 높이는 핵심 도구가 되었지만, 사이버보안 영역에서는 공격자의 역량까지 함께 끌어올리는 변수로 작용하고 있습니다. 공격자는 AI를 활용해 피싱 문구를 더 자연스럽게 만들고, 취약점 탐색과 공격 시나리오 설계를 자동화하며, 보안 솔루션을 우회하기 위한 변형 공격을 더 빠르게 시도할 수 있습니다. 국내 사이버 위협 전망에서도 생성형 AI 악용, 맞춤형 스피어피싱, 공격 도구 개발 자동화, 기업 내부 시스템과 연동된 AI 서비스의 데이터 유출 가능성이 주요 이슈로 제시되고 있습니다. 이제 기업의 보안은 단순히 AI 사용을 통제하는 관리 영역을 넘어, AI로 고도화되는 공격을 AI 기반으로 탐지하고 대응하는 기술 경쟁력의 문제로 확장되고 있습니다.
■ AI 기반 위협 탐지 트렌드, 이벤트 개별 단위가 아니라 연속적 흐름을 봐야 하는 이유
이미지 출처 : freepik
최근 사이버 공격은 하나의 침입 이벤트로 끝나지 않습니다. 초기 접근, 권한 상승, 내부 정찰, 데이터 탈취, 랜섬웨어 실행까지 여러 단계가 시간차를 두고 이어지며, 공격자는 정상 행위와 유사한 흔적을 남기거나 장기간 잠복하며 탐지를 회피합니다. 이 때문에 위협 탐지는 특정 파일, IP, 계정처럼 개별 지표만 확인하는 방식에서 벗어나 이벤트 사이의 시간 간격과 순서, 반복 패턴, 관계성을 함께 해석하는 방향으로 고도화되고 있습니다. 특히 클라우드, 엔드포인트, 네트워크, 계정, 애플리케이션 로그가 여러 환경에 흩어지는 기업 보안 운영에서는 불규칙하게 발생하는 이벤트 속 숨겨진 공격 흐름을 정확히 읽어내는 AI 기반 위협 탐지 기술이 더욱 중요합니다.
기업 입장에서는 보안 알림이 많아지는 것보다 숨겨진 공격 흐름을 빠르게 식별하는 것이 더 중요합니다. 공격자가 낮은 강도의 행위를 반복하거나 탐지 기준에 걸리지 않는 간격으로 공격 단계를 분산하면, 기존 규칙 기반 방식만으로는 이상 징후를 놓칠 가능성이 커집니다. 따라서 AI 기반 위협 탐지의 핵심은 더 많은 데이터를 수집하는 데서 그치지 않고, 방대한 로그 속에서 의미 있는 공격 흐름을 찾아내는 위협 탐지 역량에 있습니다.
■ SK쉴더스 연구 논문, ICML 2026 채택과 QuITE 기술의 의미
SK쉴더스 사이버보안 AI 연구 조직인 사이버보안AI랩스 소속 임정훈 선임의 연구 논문이 글로벌 AI 학회 ICML 2026에 채택됐습니다. ICML은 International Conference on Machine Learning의 약자로, 머신러닝 분야를 대표하는 국제 학술 무대입니다. ICML 2026은 2026년 7월 6일부터 11일까지 서울 코엑스에서 개최되며, 공식 홈페이지는 ICML을 머신러닝 발전을 위한 전문가들의 대표적 모임으로 소개하고 있습니다. 또한 ICML 2026 Call for Papers에 따르면 제출 논문은 머신러닝 커뮤니티에 의미 있는 독창적이고 엄밀한 연구를 대상으로 하며, 이중 블라인드 심사 과정을 거칩니다.
이번 연구의 핵심은 QuITE(Query-based Irregular Time-series Embedding)입니다. QuITE는 불규칙한 시간 간격으로 발생하는 데이터를 효과적으로 표현하기 위한 AI 분석 기법으로, 실제 사이버 공격의 흐름을 더 효과적으로 분석할 수 있습니다. 기존 보안 탐지 모델은 공격 이벤트가 비교적 일정한 흐름으로 이어진다는 가정 아래 데이터를 분석하는 경우가 많았습니다. 그러나 실제 공격은 짧은 시간에 집중적으로 발생하기도 하고, 며칠 또는 몇 주에 걸쳐 산발적으로 나타나기도 합니다. 예를 들어 공격자가 계정 탈취 후 일정 시간 동안 움직임을 멈췄다가 내부 시스템 접근을 재개하거나, 여러 장비에서 낮은 강도의 신호를 남기며 탐지를 회피하는 경우가 이에 해당합니다.
QuITE는 글로벌 공개 벤치마크 데이터셋에서 기존 시계열 분석 방식 대비 최대 45.9%의 성능 개선을 보였습니다. 또한 기존 AI 모델과 유연하게 결합할 수 있어 다양한 보안 탐지 시스템에 적용 가능한 확장성을 갖춘 것이 특징입니다. 기업 보안 환경은 산업군, 인프라 구성, 로그 형식, 보안 정책이 모두 다르기 때문에 특정 환경에만 맞는 기술은 활용 범위가 제한됩니다. 반면 확장성 있는 QuITE는 MDR, 관제 플랫폼, 이상행위 탐지, 계정 위협 분석 등 여러 영역에 접목될 수 있습니다.
■ MDR과 자율형 SOC 고도화의 출발점
이미지 출처 : freepik
이번 ICML 2026 논문 채택은 SK쉴더스의 연구가 실제 보안 운영에서 마주하는 데이터의 불규칙성 문제를 효과적으로 분석하고, 이를 AI 기반 위협 탐지 기술로 연결했다는 점에서 큰 의미가 있습니다. 사이버보안 데이터는 정제된 실험 데이터와 다릅니다. 노이즈가 많고, 공격과 정상 행위의 경계가 모호하며, 시간 간격도 일정하지 않습니다. 이러한 불규칙한 데이터를 어떻게 분석하고 학습할 것인지는 AI 기반 위협 탐지의 중요한 난제입니다. QuITE의 채택은 SK쉴더스가 이 흐름 속에서 AI 기반 위협 탐지 기술력 및 연구 역량이 글로벌 수준으로 축적하고 있음을 보여줍니다.
기업이 주목해야 할 인사이트는 명확합니다. 첫째, 위협 탐지는 이벤트가 아니라 흐름을 봐야 합니다. 공격자는 정상 행위처럼 보이는 작은 신호를 시간차를 두고 연결하기 때문에 보안 시스템은 이벤트 사이의 간격과 맥락까지 학습해야 합니다. 둘째, MDR은 AI 기반 정밀 분석과 결합될수록 효과가 커집니다. MDR은 탐지, 분석, 대응을 통합적으로 제공하는 서비스이지만, 다양한 공격 이벤트가 급증하는 환경에서는 분석가의 경험만으로 모든 신호를 빠르게 판단하기 어렵습니다. AI 기반 위협 탐지가 MDR에 결합되면 방대한 이벤트 속에서 우선순위가 높은 징후를 선별하고, 불규칙하게 이어지는 공격 흐름을 더 빠르게 파악할 수 있습니다.
셋째, 자율형 SOC는 신뢰 가능한 판단 모델에서 출발해야 합니다. 자율형 SOC는 보안 운영센터가 위협을 자동으로 분석하고 대응하는 미래형 운영 모델을 의미하지만, 자동화가 많아진다고 곧바로 보안 수준이 높아지는 것은 아닙니다. 잘못된 탐지와 과도한 알림은 오히려 대응 품질을 떨어뜨릴 수 있습니다. 자율형 SOC가 성공하려면 공격 흐름을 정확히 이해하고, 대응 근거를 설명할 수 있으며, 기업 환경에 맞게 판단을 조정하는 AI 기반 위협탐지 및 대응 역량이 필요합니다.
■ SK쉴더스가 제안하는 AI 기반 사이버보안 전략, 기술개발에서 서비스 고도화까지
SK쉴더스의 강점은 AI 연구 성과를 실제 보안 서비스와 연결할 수 있는 운영 기반에 있습니다. 시큐디움(Secudium)을 중심으로 축적한 관제 경험, MDR 운영 역량, 위협 인텔리전스, 침해 대응 노하우는 AI 모델이 현장성 있는 문제를 학습하고 개선하는 데 중요한 기반이 됩니다. 이번 QuITE 연구 역시 실제 사이버 공격의 불규칙성에 적용할 수 있다는 점에서 연구와 현장의 접점이 분명합니다. SK쉴더스는 이번 연구 성과를 자사 사이버보안 관제센터 시큐디움과 MDR 등 주요 보안 서비스에 적용하는 방안을 검토하고 있으며, 적용 시 위협 탐지부터 분석·대응까지 전 과정의 정밀도를 높이는 데 기여할 것으로 기대됩니다.
또한 SK쉴더스는 당사 자체기술력으로 구현한 사이버보안 특화 소형언어모델(sLLM)과 연계한 Agentic AI연구도 활발하게 진행하고 있습니다. AI가 공격자의 도구가 되는 속도만큼 기업의 방어 체계도 AI 중심으로 진화해야 합니다. 앞으로의 보안은 더 많은 알림을 보는 것이 아니라, 수많은 이벤트 중 숨겨진 공격 흐름을 정확하게 포착하는 방향으로 나아가야 합니다. SK쉴더스는 검증된 연구 역량과 보안 서비스 운영 경험을 바탕으로 기업의 위협 탐지, MDR, 자율형 SOC 전환을 지원하겠습니다. AI 시대의 사이버 위협 대응을 고민하고 있다면, SK쉴더스와 함께 더 정교하고 신뢰할 수 있는 AI기반 위협탐지 및 대응(AI Detection & Response) 체계를 준비하시기 바랍니다.
자주 묻는 질문 (FAQ)
Q. AI 기반 위협 탐지란?
A. AI 기반 위협 탐지는 보안 이벤트 간의 관계와 시간 흐름을 함께 분석해, 기존 규칙 기반 탐지로 발견하기 어려운 이상 행위와 숨겨진 공격 흐름을 탐지하는 기술입니다.
Q. MDR에 AI 기반 분석이 중요한 이유는?
A. MDR은 위협 탐지·분석·대응을 통합 제공하는 보안 서비스입니다. 여기에 AI 기반 분석 기술이 결합되면 방대한 이벤트 속에서 우선순위가 높은 위협 징후를 선별하고, 불규칙하게 이어지는 공격 흐름을 더 빠르게 분석할 수 있습니다.
Q. 자율형 SOC란 무엇인가요?
A. 자율형 SOC(Security Operations Center)는 AI를 활용해 위협 탐지와 분석, 대응 과정을 자동화하는 차세대 보안 운영 모델입니다. 최근에는 단순 자동화를 넘어, 공격 흐름을 이해하고 대응 근거까지 설명할 수 있는 AI 기반 분석 역량이 중요해지고 있습니다.
[콘텐츠 출처]
SK쉴더스, 「AI 보안 기술력, 글로벌 무대서 주목」
