Security for AX
이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.
AI 사용을 막는 대신, 사용·입력·실행 전 과정을 관측
AX 환경에서는 생성형 AI, SaaS AI, AI Agent, 업무 자동화가 동시에 늘어납니다. 이 작업은 사용량만 보는 대시보드가 아니라, SWG와 EDR, AI 컴플라이언스 로그, 감사로그를 연결해 누가 어떤 AI를 쓰는지, 무엇을 입력하는지, 실행성 행위가 발생하는지를 상시 모니터링하는 운영 체계입니다.
탐지 결과는 사용자 확인, 삭제 조치, 전사 계도와 탐지 기준 개선으로 이어집니다.
Security for AX 통제 지도
AI 활용을 막는 보안이 아니라, 활용 현황과 입력 데이터, 실행 행위를 분리해 관찰하고 조치하는 체계입니다.
AI 사용은 지원하되, 조직이 설명 가능한 기준으로 위험 입력과 실행 행위를 통제
서비스별 사용량, 트래픽, 사용자 수, 조직별 편중, 시간대별 패턴을 지속 추적
프롬프트와 첨부 입력에 포함되는 키, 시크릿, 토큰, 세션, JWT, 개인정보 탐지
EDR 커맨드라인 행위 기반 커스텀 룰로 AI Agent와 자동화 도구의 실행성 행위 탐지
상시 모니터링 운영 보드
사용 현황, 민감정보 입력, 능동형 AI 실행 의심 행위를 한 화면의 현황판으로 모으고, 이벤트를 사용자·조직·서비스·위험도 기준으로 추적할 수 있게 구성했습니다.
SWG, EDR, AI 컴플라이언스 로그, 감사로그를 기준으로 AI 사용과 실행 흔적 수집
운영 중서비스, 사용자, 조직, 시간대, 입력 유형, 실행 행위를 분리해 모니터링 축 구성
구조화키, 시크릿, API 토큰, 세션, JWT, 개인정보 등 민감 입력을 위험도별 탐지
탐지탐지 이벤트의 사용자, 조직, 입력 맥락, 반복 여부를 확인해 실제 위험 여부 검토
분석사용자 DM으로 사유를 확인하고 필요 시 삭제 조치, 전사 공지로 재발 방지 기준 안내
조치탐지에서 끝나지 않고 사용자 확인과 삭제 조치, 전사 계도, 룰 튜닝까지 이어지는 닫힌 운영 루프로 설계했습니다.
운영 루프
AI 서비스 접속량, 사용자 수, 조직별 사용량, 시간대별 패턴을 상시 관찰
프롬프트와 첨부 입력 안의 키, 시크릿, 토큰, 세션, JWT, 개인정보 탐지
EDR 커맨드라인 행위 기반 커스텀 룰로 능동형 AI 실행 의심 행위 식별
사용자에게 DM으로 사유를 확인하고 업무 목적, 반복성, 실제 노출 가능성 검토
필요 시 삭제 조치 후 전사 공지와 탐지 룰 튜닝으로 기준을 환류
모니터링 설계
AI 서비스 총 사용량, 트래픽, 사용자 수, 조직별 사용량, 시간대별 추이를 기준으로 AI 활용 패턴을 파악합니다.
키, 시크릿, 토큰, 세션, JWT, 전화번호, 식별 가능 개인정보 등 AI 입력 과정에서 노출될 수 있는 민감정보를 탐지합니다.
EDR 커맨드라인 행위 기반 커스텀 룰로 AI Agent와 자동화 도구의 파일 접근, 명령 실행, API 호출성 행위를 식별합니다.
탐지 이벤트는 DM 확인, 삭제 조치, 전사 공지, 탐지 룰 튜닝으로 연결해 일회성 점검이 아닌 운영 기준으로 남깁니다.
민감정보 탐지 범위
클라우드 접근키, 시크릿 키, 장기 유효 인증정보처럼 즉시 회수나 폐기가 필요한 입력을 최우선으로 봅니다.
API 토큰, 협업도구 토큰, 세션성 인증정보처럼 외부 접근이나 권한 오남용으로 이어질 수 있는 값을 분리합니다.
JWT, 전화번호, 식별 가능 개인정보처럼 입력 맥락에 따라 노출 리스크가 달라지는 항목을 추적합니다.
탐지값만 보지 않고 사용자, 조직, 서비스, 입력 위치, 반복 여부를 함께 확인해 오탐과 실제 조치 대상을 구분합니다.
탐지와 조치 기준
민감정보 탐지는 값 하나가 잡혔다고 바로 사고로 단정하지 않고, 위험도와 입력 맥락, 반복성, 실제 삭제 필요성을 함께 판단했습니다.
인증정보나 세션성 정보가 탐지되면 사용자 확인과 삭제 필요성을 우선 검토합니다.
협업 DM으로 입력 사유와 실제 업무 목적, 재현 가능성을 확인합니다.
노출 가능성이 있거나 불필요하게 남은 입력은 삭제 조치로 연결합니다.
반복되는 유형은 전사 공지로 계도하고 입력 기준과 금지 사례를 명확히 합니다.
AI 활용을 막지 않으면서도 사용 현황, 입력 데이터, 실행 행위를 분리해 관측하고, 탐지 이후 사용자 확인과 삭제 조치, 전사 계도까지 이어지는 AX 보안 운영 기준을 만들었습니다.