--- title: "SK쉴더스, 불규칙 공격 패턴 잡는 AI 연구로 ICML 2026 논문 채택" published: 2026-05-22T08:06:01.613Z canonical: https://jeff.news/article/3151 --- # SK쉴더스, 불규칙 공격 패턴 잡는 AI 연구로 ICML 2026 논문 채택 SK쉴더스 사이버보안AI랩스 연구 논문이 세계 3대 AI 학회 중 하나인 ICML 2026에 채택됐다. 논문은 실제 사이버 공격처럼 발생 시점과 간격이 들쭉날쭉한 불규칙 시계열 데이터를 더 잘 다루는 QuITE 기법을 제안했고, 공개 벤치마크에서 기존 방식 대비 최대 45.9% 성능 개선을 보였다. ## 불규칙한 공격 패턴을 정면으로 다룬 연구 - SK쉴더스의 사이버보안 AI 연구 논문이 ICML 2026에 채택됨 - 연구자는 사내 사이버보안 AI 조직인 사이버보안AI랩스 소속 임정훈 선임임 - ICML은 NeurIPS, ICLR과 함께 글로벌 3대 AI 학회로 꼽히는 머신러닝 학회임 - 발표는 7월 6일부터 서울 코엑스에서 열리는 ICML 2026에서 진행될 예정임 - 이번 논문의 핵심 문제의식은 “사이버 공격은 일정한 간격으로 오지 않는다”임 - 기존 정보보안 탐지 기술은 이벤트가 비교적 일정한 흐름으로 이어진다는 가정에 기대는 경우가 많았음 - 그런데 실제 공격은 짧은 시간에 몰아치기도 하고, 장기간에 걸쳐 느리게 나타나기도 함 - 발생 시점과 간격이 들쭉날쭉한데, 이걸 기존 시계열 방식으로 처리하면 중요한 패턴을 놓칠 수 있음 > [!IMPORTANT] > QuITE는 공개 벤치마크에서 기존 시계열 분석 방식 대비 최대 45.9% 성능 개선을 보였다고 함. 보안 탐지에서 이 정도 차이면 “논문 수치”를 넘어 운영 현장에서도 꽤 민감한 숫자임. - SK쉴더스가 제안한 기술은 QuITE(Query-based Irregular Time-series Embedding)임 - 불규칙하게 이어지는 공격 흐름을 억지로 일정 간격 데이터처럼 맞추지 않고, 그 불규칙성을 반영해 표현하는 분석 기법임 - 시간 간격이 서로 다른 데이터를 더 효과적으로 표현하도록 설계됨 - 기존 AI 모델과 유연하게 결합할 수 있어, 여러 보안 탐지 시스템에 붙일 수 있다는 확장성을 강조함 ```mermaid sequenceDiagram participant 공격자 participant 보안로그 participant QuITE participant 탐지모델 participant 관제센터 공격자->>보안로그: 불규칙한 시점에 공격 이벤트 발생 보안로그->>QuITE: 시간 간격이 다른 이벤트 전달 QuITE->>QuITE: 공격 흐름을 임베딩으로 변환 QuITE->>탐지모델: 불규칙성을 반영한 표현 입력 탐지모델->>관제센터: 이상 징후 탐지 결과 전달 관제센터->>공격자: 분석·대응 절차 수행 ``` ## 실제 서비스 적용까지 보는 중 - SK쉴더스는 이 연구를 자사 보안 서비스에 적용하는 방안을 검토 중임 - 후보로 언급된 서비스는 사이버보안 관제센터 시큐디움(Secudium)과 MDR(Managed Detection & Response)임 - 적용되면 위협 탐지, 분석, 대응까지 전 과정의 정밀도를 높이는 데 쓰일 수 있음 - 기존 방식으로 포착하기 어려웠던 이상 징후까지 식별할 수 있을 것으로 기대한다고 밝힘 - 이 연구는 “AI 보안”이라는 키워드가 아니라, 실제 보안 로그의 지저분함을 다룬다는 점에서 더 중요함 - 보안 데이터는 결측, 지연, 불규칙한 이벤트, 공격자의 우회 행동이 섞여서 현실성이 떨어지는 벤치마크와 차이가 큼 - 임정훈 선임도 실제 환경의 불완전한 데이터를 어떻게 다룰지가 AI 학계의 중요한 과제라고 설명함 - QuITE는 기존 AI 모델이 불규칙한 공격 패턴까지 더 정밀하게 학습하도록 만든 데 의미가 있음 - SK쉴더스는 사이버보안 특화 소형언어모델(sLLM)과 자율형 보안운영센터(Autonomous SOC) 연구도 계속 확대하겠다고 밝힘 - 신·변종 공격 대응 역량을 키우고, AI·자동화 기반 실시간 탐지·대응 체계를 고도화하겠다는 방향임 - 보안 운영에서 사람이 모든 이벤트를 직접 해석하는 방식은 이미 한계가 뚜렷해서, 이런 연구는 관제 자동화와 바로 연결됨 --- ## 기술 맥락 - 이 연구가 보는 문제는 보안 이벤트가 일정한 간격으로 쌓이지 않는다는 점이에요. 일반적인 시계열 모델은 데이터를 정해진 시간 간격으로 놓고 다루는 경우가 많은데, 공격자는 그런 식으로 예쁘게 움직여주지 않거든요. - QuITE는 불규칙한 시간 간격 자체를 버리지 않고 모델이 이해할 수 있는 표현으로 바꾸려는 선택이에요. 짧은 시간에 몰린 이벤트와 며칠에 걸쳐 드문드문 나타난 이벤트는 같은 횟수라도 의미가 다를 수 있어서, 시간 간격을 제대로 반영하는 게 중요해요. - SK쉴더스가 이걸 시큐디움이나 MDR에 적용하려는 이유도 명확해요. 관제 현장에서는 경보가 너무 많고, 공격 패턴도 계속 바뀌기 때문에 사람이 규칙을 계속 손보는 방식만으로는 대응 속도를 맞추기 어렵거든요. - 개발자나 보안 엔지니어 입장에서는 “성능 45.9% 개선” 숫자만 보기보다 어떤 데이터 분포에서 좋아졌는지를 봐야 해요. 불규칙 이벤트가 많은 환경이라면 이런 임베딩 방식이 탐지 모델 앞단에서 꽤 큰 차이를 만들 수 있어요. ## 핵심 포인트 - ICML 2026에 SK쉴더스 사이버보안AI랩스 논문 채택 - 불규칙 시계열 공격 흐름을 분석하는 QuITE 제안 - 글로벌 공개 벤치마크에서 기존 시계열 분석 방식 대비 최대 45.9% 성능 개선 - 시큐디움, MDR, 자율형 보안운영센터 등 실제 보안 서비스 적용 검토 ## 인사이트 보안 탐지는 현실 데이터가 예쁘게 정렬돼 있지 않다는 문제와 늘 싸운다. QuITE의 의미는 “공격은 일정한 간격으로 오지 않는다”는 너무 당연하지만 모델링하기 까다로운 현실을 정면으로 다뤘다는 데 있다.