Google unleashes Gemini AI agents on the dark web

Context

기존 다크웹 모니터링 도구는 정규식 기반 키워드 매칭 방식을 사용하며, 이로 인해 80~90% 수준의 높은 거짓양성율을 생성해 위협 인텔리전스 팀에 노이즈만 증가시키고 있었다.

Technical Solution

• Gemini 모델을 이용한 다크웹 포스트 분석: 일일 800~1000만 개 이벤트를 처리하며 각 포스트를 자동으로 태그하고 분류
• 조직 프로필 자동 생성: 고객 확인 후 수 분 내에 공개 정보를 기반으로 조직의 환경, 비즈니스 운영, VIP, 브랜드, 기술 정보를 담은 프로필 구성
• 벡터 비교를 통한 위협 탐지: 다크웹 데이터와 조직 프로필 간 벡터 비교로 탈취된 데이터나 악의적 활동 감지
• 관련성 기반 경고 우선순위 지정: 위협 행위자의 주장이 조직 프로필의 요소와 명시적으로 일치하는지, 또는 모호하게 관련되어 있는지 판단해 심각도 분류
• Google Threat Intelligence Group의 인간 분석가 통합: 627개 추적 위협 그룹에 대한 컨텍스트를 Gemini가 읽고 경고 생성
• Google Security Operations에 AI 에이전트 추가: 자동 위협 대응, 경고 자동 조사, 증거 수집, 판정 및 추론 설명 제공
• 원격 모델 컨텍스트 프로토콜(MCP) 서버 지원: 고객이 자체 보안 운영 MCP 서버를 호스팅할 필요 없이 엔터프라이즈 보안 에이전트 구축 가능

Impact

• 거짓양성율: 기존 80~90% 대비 98% 정확도 달성
• 처리 규모: 일일 800~1000만 개 이벤트를 짧은 처리 시간 내 처리
• 경고 생성 시간: 지난 7일 데이터에 대한 경고가 수 분 내 생성 및 우선순위 지정

Key Takeaway

LLM 기반 벡터 비교와 조직 프로필 기반 상관 관계 분석을 결합하면 규칙 기반 매칭의 높은 거짓양성율 문제를 해결할 수 있으며, 이는 보안 운영 센터(SOC) 팀이 실제 위협에만 집중하도록 하는 핵심 설계 원칙이다.