AI가 30초 만에 탐지해도 증거가 없다면?
최근 보안뉴스 기사를 보면 AI SOC 에이전트 덕분에 위협 조사 시간이 수 시간에서 단 30초로 단축되었다고 합니다. 정말 놀라운 속도죠.
그런데 탐지가 30초 만에 끝난다고 해서 사고 수습까지 30초 만에 끝나는 건 아니거든요. 오히려 탐지 속도가 빨라진 지금, 공격자가 증거를 인멸하기 전에 '변조 불가능한 증거'를 확보하는 전략이 없으면 정교한 AI 탐지 결과도 법정에서는 아무 쓸모 없는 '단순 알람'이 될 가능성이 큽니다.
탐지는 30초, 그런데 증거는 안전한가요?
AI 기반 SOC가 위협을 눈 깜짝할 새 찾아내더라도, 분석가가 로그를 확인하러 갔을 때 데이터가 이미 삭제되었거나 수정되었다면 아무런 소용이 없습니다. 솔직히 이 부분이 가장 무섭거든요. 마이크로소프트가 공개한 Fox Tempest 사례만 봐도 알 수 있습니다. 정교한 맬웨어 서명 서비스 공격은 시스템 로그를 조작하거나 흔적을 지우는 능력이 탁월하니까요.
보안 담당자가 가장 당혹스러운 순간은 '공격 정황은 확실한데, 입증할 원본 데이터가 없을 때'입니다.
실시간 탐지 시스템이 "위협이 발견되었습니다"라고 알려주는 그 찰나에, 해당 시점의 모든 커뮤니케이션 기록과 파일 변경 이력을 즉시 동결시키는 리걸홀드(Legal Hold) 체계가 동시에 돌아가야 하는 이유입니다.
법적 효력을 갖추는 '불변의 저장소' 만드는 법
단순한 백업과 컴플라이언스 아카이빙은 완전히 다릅니다. 백업은 '복구'가 목적이지만, 아카이빙은 '증명'이 목적이거든요. 법정이나 감사 기관에서 인정하는 증거가 되려면 데이터가 저장된 후 단 한 글자도 수정되지 않았음을 입증해야 합니다.
실무에서는 Enterprise Vault(EV) 같은 플랫폼에서 지원하는 WORM 스토리지를 활용하는 게 현실적인 해법입니다. SEC 17a-4 같은 엄격한 금융 규제 수준의 보존 정책을 적용하면, 관리자라도 정해진 보존 기간 내에는 데이터를 임의로 삭제하거나 수정할 수 없어요. 이렇게 확보된 데이터라야 사고 후 징계위원회나 법적 분쟁에서 '조작되지 않은 원본'이라는 신뢰를 얻고, 실제로 법정에서 통하는 방어 수단이 됩니다.
Teams, OneDrive의 파편화된 기록을 묶어두려면?
요즘 업무는 이메일보다 Teams 채팅이나 SharePoint 공유 문서에서 더 많이 일어나죠. 하지만 이런 SaaS 데이터는 보존 설정이 제대로 안 되어 있으면 사용자가 메시지를 삭제하는 순간 증거 가치가 사라집니다. 탐지 시스템이 위협을 알린 뒤에 수동으로 데이터를 수집하기 시작하면 이미 늦은 거죠.
이런 사각지대를 없애려면 Merge1로 Microsoft Teams, SharePoint Online, OneDrive 데이터를 자동으로 수집해서 Enterprise Vault로 전달하는 체계를 갖춰야 합니다. 사용자가 메신저에서 대화 내용을 지워도 아카이브에는 이미 원본이 저장되어 있어 즉각적인 조사가 가능해지거든요. 사후 수집보다는 '사전 캡처'가 훨씬 안전합니다.
탐지된 위협을 '법적 증거'로 변환하는 마지막 단계
원본 데이터를 확보했다면, 이제 수만 건의 데이터 중 사고와 관련된 '핵심 증거'만 빠르게 추려내야 합니다. AI가 30초 만에 탐지한 위협의 맥락을 파악해 관련 참여자, 특정 키워드, 날짜 범위를 설정해 정밀하게 검색하는 과정이 필요하거든요.
이때 Discovery Accelerator(DA)를 쓰면 아카이브된 방대한 데이터 속에서 eDiscovery 케이스를 생성하고, 필요한 증거만 빠르게 리뷰해서 MSG나 EML 형식으로 내보낼 수 있습니다. 특히 MPIP 암호화가 적용된 이메일이라도 복호화 후 내보내기가 가능해, 기술적인 장벽 때문에 증거 제출이 늦어져 곤란해지는 리스크를 막을 수 있습니다.
자주 묻는 질문
-
Q: 일반적인 백업 솔루션이 있는데 왜 굳이 아카이빙 솔루션이 필요한가요?
A: 백업은 시스템 장애 시 '되돌리기' 위한 것이며, 보통 최신 버전으로 덮어쓰기가 일어납니다. 반면 아카이빙은 모든 변경 이력을 개별적으로 보존하며, WORM 기능을 통해 '수정 불가능'한 상태로 저장하므로 법적 증거력을 갖습니다. -
Q: AI SOC가 탐지한 로그만으로도 충분하지 않을까요?
A: 로그는 '어떤 일이 일어났다'는 기록일 뿐, '무슨 내용이 오갔는지'에 대한 실체적 진실을 담고 있지 않은 경우가 많습니다. 실제 이메일 본문, 채팅 내용, 송수신 파일 등 원본 데이터가 뒷받침되어야 완벽한 증빙이 됩니다. -
Q: 리걸홀드(Legal Hold)를 설정하면 스토리지 비용이 너무 많이 나오지 않을까요?
A: 모든 데이터를 무기한 보관하는 게 아니라, 특정 사건과 관련된 사용자나 키워드만 지정해 보존하는 방식입니다. 또한 Enterprise Vault의 중복 제거 기술로 용량을 줄이면 스토리지 비용 부담을 덜면서 보존 요건을 충족할 수 있습니다.
요약: AI로 탐지 속도가 30초로 빨라진 시대, 이제는 그 탐지 결과를 뒷받침할 '변조 불가능한 증거 보존 체계'가 진짜 경쟁력입니다. 사전 캡처 → WORM 저장 → 정밀 리뷰로 이어지는 파이프라인을 구축해 사고 대응의 완결성을 높이시기 바랍니다.
댓글
댓글 쓰기