Automate your security whack-a-mole: Q&A with Exaforce

Context

보안 팀은 새로운 공격이 발생할 때마다 수동으로 대응하는 '무지개 채찍 게임(whack-a-mole)' 상황에 직면해 있다. 특히 GitHub, Snowflake, OpenAI 같은 핵심 SaaS 서비스에 대한 탐지 범위가 부족하며, 2~3명 규모의 초기 스타트업이나 대규모 엔터프라이즈 모두 충분한 탐지 엔지니어링 인력을 확보하기 어렵다.

Technical Solution

• 네 가지 SOC 핵심 작업을 AI로 자동화: 탐지(Detection), 분류(Triaging), 조사(Investigation), 대응(Response)을 하나의 플랫폼에서 처리
• 이상 탐지 방식 개선: 통계 모델링으로 정상 행동을 기준선 설정하고, 대규모 언어 모델(LLM)과 AI 에이전트로 탐지된 이상을 분류해 노이즈 감소
• API 기반 데이터 수집: GitHub, OpenAI, Snowflake 등 SaaS 서비스에 읽기 전용 API 접근으로 로그, 이벤트, 설정 데이터를 3~4시간 내 수집
• 자동 기준선 구성: 30~90일 간의 역사적 데이터를 자동으로 수집·분석해 첫 실행 시점부터 행동 모델 구축
• 기존 탐지 활용: CloudFlare 같은 기존 엔드포인트·이메일 탐지 기술에서 수집한 데이터를 강화(enrichment)에 활용하고, 범위 공백이 있는 SaaS 서비스에만 추가 탐지 커버리지 제공

Impact

아티클에서 정량적 수치가 명시되지 않았습니다.

Key Takeaway

소규모 보안 팀이 있거나 SaaS 서비스에 탐지 공백이 있는 조직이라면, API 기반의 역사적 데이터 수집과 LLM 기반 분류(Triaging)를 결합하면 탐지 엔지니어 고용 없이도 하루 내 운영 체계를 구축할 수 있다.