윤한상 크래프톤 보안 엔지니어 “보안 대응 전 과정 자동화로 실효성 높였다”
Microsoft Defender XDR+Power Automate+Copilot 등 연계한 AI SecOps 자동화 체계 구축

[보안뉴스 원병철 기자] 글로벌 게임 기업 크래프톤이 마이크로소프트 시큐리티 서밋(Microsoft Security Summit)에서 AI 기반 보안 운영(SecOps) 자동화 구축 사례를 공개했다. 이날 윤한상 크래프톤 보안 엔지니어는 대규모 사용자와 실시간 서비스 환경에서 요구되는 고도화된 보안 대응 체계를 확보하기 위해, Microsoft Defender XDR과 AI·자동화 기술을 결합한 보안 운영 모델을 단계적으로 구현했다고 밝혔다.


크래프톤은 글로벌 서비스 운영 특성상 방대한 보안 이벤트와 경고를 상시 처리해야 하는 환경에 놓여 있다. 그러나 기존 SecOps 체계에서는 경고 분석과 조사, 보고가 대부분 수작업에 의존하면서 대응 속도와 운영 효율성에 한계가 있었다. 보안 경고 발생 시 Microsoft Defender 포털에서 직접 KQL 쿼리를 작성하고 결과를 분석해야 했고, 디바이스 타임라인·프로세스 트리·네트워크 이벤트를 개별적으로 확인하는 조사 과정에만 1~2시간이 소요되는 경우도 빈번했다.

이에 크래프톤 보안팀은 Microsoft Defender XDR 기반 보안 데이터를 중심으로 Power Automate, Microsoft Security Copilot 등을 연계한 AI SecOps 자동화 체계를 구축했다. 목표는 보안 이벤트 탐지부터 분석, 대응, 보고까지 전 과정을 자동화해 보안 운영의 실효성을 높이는 것이었다.

발표에 따르면, Defender XDR에서 경고가 발생하면 Power Automate가 이를 자동으로 트리거해 사내 메신저(Slack)에 즉시 알림을 전송한다. 보안 담당자는 별도의 포털 접속 없이 메신저 환경에서 얼럿 세부 정보를 확인하고, 버튼 기반 인터페이스를 통해 디바이스 격리(Device Isolation), 조사 패키지 수집, Indicator 등록, 전체 스캔 실행 등 주요 대응 조치를 바로 수행할 수 있다. 반복적으로 발생하는 이벤트에 대해서는 과거 얼럿 데이터를 기반으로 정·오탐 여부를 판단하는 자동 처리 기능도 적용됐다.

보안 분석 영역에는 AI 기반 다중 분석 구조가 도입됐다. 크래프톤은 여러 AI 모델을 활용해 보안 이벤트를 분석하고, 모델 간 교차 검증 방식을 적용해 분석 정확도를 높였다. 이를 통해 디바이스 행위, 프로세스 흐름, 네트워크 이벤트를 개별적으로 확인하던 기존 조사 방식에서 벗어나, 보다 종합적인 위협 분석이 가능해졌다는 설명이다.

특히 Microsoft Security Copilot과 NL2KQL 기능은 보안 조사 효율성을 크게 끌어올린 요소로 언급됐다. 자연어 기반 쿼리 생성 기능을 활용해 KQL 작성 부담을 줄이고, 로그 분석 과정의 자동화를 구현했다. 여기에 VirusTotal, URLScan 등 외부 보안 인텔리전스와의 연계를 AI 에이전트 기반으로 자동화해, 위협 정보 조회와 조사 흐름을 하나의 체계로 통합했다. 현재는 조사 이력과 위협 인텔리전스를 통합 관리하는 보안 운영 대시보드도 구축 중이다.

자동화 도입에 따른 성과도 구체적으로 제시됐다. 사내 메신저 기반 얼럿 체계를 통해 보안 이벤트 인지 시간은 기존 15~20분에서 1분 이내로 단축됐고, 1~2시간 이상 소요되던 조사 시간 역시 5~10분 수준으로 크게 줄었다. AI 기반 자동 보고 기능을 통해 조사 결과 정리와 보고서 작성에 소요되던 반복 업무 부담도 대폭 감소했다.

윤한상 보안 엔지니어는 “향후 Azure 환경에서 AI 에이전트를 본격 구현하고, Defender 데이터를 활용한 자체 MCP 기반 조사 에이전트 개발, 보안 모니터링 대시보드 고도화 등을 통해 AI 중심의 보안 운영 체계를 지속적으로 확장해 나갈 계획”이라고 밝혔다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>