본문으로 건너뛰기
J
피드

SK쉴더스, 불규칙 공격 패턴 잡는 AI 연구로 ICML 2026 논문 채택

security 약 6분
tags
#time-series#ml#threat-detection#soc#sllm
vote
0
댓글
북마크

SK쉴더스 사이버보안AI랩스 연구 논문이 세계 3대 AI 학회 중 하나인 ICML 2026에 채택됐다. 논문은 실제 사이버 공격처럼 발생 시점과 간격이 들쭉날쭉한 불규칙 시계열 데이터를 더 잘 다루는 QuITE 기법을 제안했고, 공개 벤치마크에서 기존 방식 대비 최대 45.9% 성능 개선을 보였다.

  • 1

    ICML 2026에 SK쉴더스 사이버보안AI랩스 논문 채택

  • 2

    불규칙 시계열 공격 흐름을 분석하는 QuITE 제안

  • 3

    글로벌 공개 벤치마크에서 기존 시계열 분석 방식 대비 최대 45.9% 성능 개선

  • 4

    시큐디움, MDR, 자율형 보안운영센터 등 실제 보안 서비스 적용 검토

불규칙한 공격 패턴을 정면으로 다룬 연구

  • SK쉴더스의 사이버보안 AI 연구 논문이 ICML 2026에 채택됨

    • 연구자는 사내 사이버보안 AI 조직인 사이버보안AI랩스 소속 임정훈 선임임
    • ICML은 NeurIPS, ICLR과 함께 글로벌 3대 AI 학회로 꼽히는 머신러닝 학회임
    • 발표는 7월 6일부터 서울 코엑스에서 열리는 ICML 2026에서 진행될 예정임

  • 이번 논문의 핵심 문제의식은 “사이버 공격은 일정한 간격으로 오지 않는다”임

    • 기존 정보보안 탐지 기술은 이벤트가 비교적 일정한 흐름으로 이어진다는 가정에 기대는 경우가 많았음
    • 그런데 실제 공격은 짧은 시간에 몰아치기도 하고, 장기간에 걸쳐 느리게 나타나기도 함
    • 발생 시점과 간격이 들쭉날쭉한데, 이걸 기존 시계열 방식으로 처리하면 중요한 패턴을 놓칠 수 있음

중요

> QuITE는 공개 벤치마크에서 기존 시계열 분석 방식 대비 최대 45.9% 성능 개선을 보였다고 함. 보안 탐지에서 이 정도 차이면 “논문 수치”를 넘어 운영 현장에서도 꽤 민감한 숫자임.

  • SK쉴더스가 제안한 기술은 QuITE(Query-based Irregular Time-series Embedding)임
    • 불규칙하게 이어지는 공격 흐름을 억지로 일정 간격 데이터처럼 맞추지 않고, 그 불규칙성을 반영해 표현하는 분석 기법임
    • 시간 간격이 서로 다른 데이터를 더 효과적으로 표현하도록 설계됨
    • 기존 AI 모델과 유연하게 결합할 수 있어, 여러 보안 탐지 시스템에 붙일 수 있다는 확장성을 강조함
sequenceDiagram
    participant 공격자
    participant 보안로그
    participant QuITE
    participant 탐지모델
    participant 관제센터
    공격자->>보안로그: 불규칙한 시점에 공격 이벤트 발생
    보안로그->>QuITE: 시간 간격이 다른 이벤트 전달
    QuITE->>QuITE: 공격 흐름을 임베딩으로 변환
    QuITE->>탐지모델: 불규칙성을 반영한 표현 입력
    탐지모델->>관제센터: 이상 징후 탐지 결과 전달
    관제센터->>공격자: 분석·대응 절차 수행

실제 서비스 적용까지 보는 중

  • SK쉴더스는 이 연구를 자사 보안 서비스에 적용하는 방안을 검토 중임

    • 후보로 언급된 서비스는 사이버보안 관제센터 시큐디움(Secudium)과 MDR(Managed Detection & Response)임
    • 적용되면 위협 탐지, 분석, 대응까지 전 과정의 정밀도를 높이는 데 쓰일 수 있음
    • 기존 방식으로 포착하기 어려웠던 이상 징후까지 식별할 수 있을 것으로 기대한다고 밝힘

  • 이 연구는 “AI 보안”이라는 키워드가 아니라, 실제 보안 로그의 지저분함을 다룬다는 점에서 더 중요함

    • 보안 데이터는 결측, 지연, 불규칙한 이벤트, 공격자의 우회 행동이 섞여서 현실성이 떨어지는 벤치마크와 차이가 큼
    • 임정훈 선임도 실제 환경의 불완전한 데이터를 어떻게 다룰지가 AI 학계의 중요한 과제라고 설명함
    • QuITE는 기존 AI 모델이 불규칙한 공격 패턴까지 더 정밀하게 학습하도록 만든 데 의미가 있음

  • SK쉴더스는 사이버보안 특화 소형언어모델(sLLM)과 자율형 보안운영센터(Autonomous SOC) 연구도 계속 확대하겠다고 밝힘

    • 신·변종 공격 대응 역량을 키우고, AI·자동화 기반 실시간 탐지·대응 체계를 고도화하겠다는 방향임
    • 보안 운영에서 사람이 모든 이벤트를 직접 해석하는 방식은 이미 한계가 뚜렷해서, 이런 연구는 관제 자동화와 바로 연결됨

기술 맥락

  • 이 연구가 보는 문제는 보안 이벤트가 일정한 간격으로 쌓이지 않는다는 점이에요. 일반적인 시계열 모델은 데이터를 정해진 시간 간격으로 놓고 다루는 경우가 많은데, 공격자는 그런 식으로 예쁘게 움직여주지 않거든요.

  • QuITE는 불규칙한 시간 간격 자체를 버리지 않고 모델이 이해할 수 있는 표현으로 바꾸려는 선택이에요. 짧은 시간에 몰린 이벤트와 며칠에 걸쳐 드문드문 나타난 이벤트는 같은 횟수라도 의미가 다를 수 있어서, 시간 간격을 제대로 반영하는 게 중요해요.

  • SK쉴더스가 이걸 시큐디움이나 MDR에 적용하려는 이유도 명확해요. 관제 현장에서는 경보가 너무 많고, 공격 패턴도 계속 바뀌기 때문에 사람이 규칙을 계속 손보는 방식만으로는 대응 속도를 맞추기 어렵거든요.

  • 개발자나 보안 엔지니어 입장에서는 “성능 45.9% 개선” 숫자만 보기보다 어떤 데이터 분포에서 좋아졌는지를 봐야 해요. 불규칙 이벤트가 많은 환경이라면 이런 임베딩 방식이 탐지 모델 앞단에서 꽤 큰 차이를 만들 수 있어요.

보안 탐지는 현실 데이터가 예쁘게 정렬돼 있지 않다는 문제와 늘 싸운다. QuITE의 의미는 “공격은 일정한 간격으로 오지 않는다”는 너무 당연하지만 모델링하기 까다로운 현실을 정면으로 다뤘다는 데 있다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.