[디지털데일리 황대영 기자] “보안은 이제 데이터 기반 자동화와 인공지능의 시대로 진입했습니다.”

엘라스틱의 송대근 상무는 20일 서울 소공동 롯데호텔에서 <디지털데일리>가 개최한 '차세대 보안혁신 서밋(Next Security Innovation Summit)'에서 자사 보안 플랫폼의 인공지능(AI) 연계 전략을 소개하며 이같이 강조했다. 엘라스틱은 검색 기반 데이터 분석 기업으로 출발해, 최근에는 AI 기반 확장 탐지 대응(XDR) 플랫폼을 전면에 내세우며 보안 분야 혁신을 주도하고 있다.

이날 발표에서 송 상무는 엘라스틱의 보안 솔루션이 단순한 통합보안관제(SIEM)이 아니라, 실시간 탐지, 예방, 사후 대응까지 아우르는 종합 XDR 플랫폼으로 진화하고 있다는 점을 분명히 했다. 특히 AI 기반 자동 분석 및 대응 기능은 기존 보안팀의 한계를 뛰어넘는 결정적 차별점으로 제시됐다.

엘라스틱은 원래 ‘검색’ 기술로 유명한 기업이다. 그러나 최근 몇 년간 보안 영역으로 제품군을 확장하며, SIEM 및 엔드포인트 탐지 및 대응(EDR) 기능을 통합한 엘라스틱 시큐리티(Elastic Security)를 선보였다. 특히 미국 국방과 정보기관 납품 경력을 지닌 엔드게임을 2018년 인수해 EDR 모듈을 흡수하면서 보안 플랫폼으로의 전환이 본격화됐다.

송 상무는 “엘라스틱은 단순한 이벤트 수집을 넘어, 클라우드 환경과 다양한 보안 도구의 로그까지 수집·분석하고, AI 기반 규칙(Rule)과 머신러닝 모델로 실시간 위협 탐지를 수행할 수 있다”고 설명했다.

가장 주목할 만한 부분은 AI 어시스턴트(AI Assistant)와 어택 디스커버리(Attack Discovery) 기능이다. 이는 보안 분석가들이 반복적으로 수행하던 경고 분석, 위협 연관성 추적, 대응 플랜 수립 등을 AI가 자동화해 지원하는 역할을 한다.

송 상무는 실시간 데모를 통해 “기존에는 숙련된 보안 담당자가 경고 1건을 분석하는 데 최소 10~15분이 걸렸다”며 “하지만 AI 어시스턴트를 활용하면 이 과정을 몇 초 내 자동 분석해, 문서화된 보고서와 대응 지침까지 생성할 수 있다”고 밝혔다.

엘라스틱은 이러한 AI 기능을 대규모언어모델(LLM)과 벡터 데이터베이스 기반으로 구현했으며, 특히 한국 내 망분리 환경에서도 자체 LLM을 로컬에 배치해 사용할 수 있는 프라이빗 AI 프레임워크를 지원하고 있다는 점에서 국내 수요와도 맞닿는다.

보안 로그의 폭발적 증가에 따라, 저장 비용은 SIEM 도입의 주요 장벽 중 하나다. 엘라스틱은 이에 대한 해법으로 핫(Hot)-웜(Warm)-콜드(Cold)-프로즌(Frozen) 티어링 아키텍처를 제안했다. 이를 통해 자주 검색하지 않는 장기 데이터는 저비용의 ‘프로즌 티어’에 저장하고도 실시간 검색이 가능하다.

송 상무는 “프리즈 티어에 저장된 1년치 데이터를 특정 키워드로 검색했을 때, 10~20초 안에 결과가 출력되는 수준”이라며 “데이터 보존과 검색 속도 사이의 절묘한 균형을 제공한다”고 강조했다.

엘라스틱은 단순 분석을 넘어 슬랙(Slack), 팀스(Teams) 등 협업툴과 연계한 자동 알림, 웹후크(WebHook) 기반 외부 시스템 통합, 원격 포렌식 및 격리 조치 기능도 지원한다. 이 같은 기능은 실제 보안 현장에서 경보 누락, 분석 지연, 대응 실패 등을 최소화하는 데 큰 기여를 한다.

특히 어택 디스커버리는 마이터어택(MITRE ATT&CK) 프레임워크 기반의 위협 분류 및 연계 분석을 자동화하는 특허 기술로, 엘라스틱만의 차별화된 경쟁력으로 소개됐다. 이 기술은 미국에서 특허 출원 절차를 밟고 있다.

발표의 마지막에서 송 상무는 “AI는 단순한 유행이 아니라 보안 운영의 생산성을 획기적으로 끌어올리는 핵심 도구”라며 “엘라스틱은 분석가가 실제 위협 탐지와 사고 대응에 집중할 수 있도록 반복 작업은 자동화하고, 인사이트는 AI로 강화하는 방향으로 발전 중”이라고 밝혔다.