All Work

Security for AX 모니터링 체계

SWG, EDR, AI 컴플라이언스 로그, 감사로그를 기반으로 AI 사용 현황과 입력 데이터, 실행 행위를 상시 관측하고 위험도별 조치까지 연결한 AX 보안 운영 체계입니다.

Security for AXAI GovernanceMonitoring
Telemetry SWG · EDR · AI 컴플라이언스 로그 · 감사로그 기반 상시 모니터링
Input Risk 키 · 시크릿 · 토큰 · 세션 · JWT · 개인정보 입력 탐지
Action 사용자 DM 확인 · 삭제 조치 · 전사 공지를 통한 계도
Case Blueprint

Security for AX

이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.

01 AI 사용을 막는 대신, 사용·입력·실행 전 과정을 관측 lead
02 Security for AX 통제 지도 ax-control-map
03 상시 모니터링 운영 보드 product-console
04 운영 루프 flow
05 모니터링 설계 cards

AI 사용을 막는 대신, 사용·입력·실행 전 과정을 관측

AX 환경에서는 생성형 AI, SaaS AI, AI Agent, 업무 자동화가 동시에 늘어납니다. 이 작업은 사용량만 보는 대시보드가 아니라, SWG와 EDR, AI 컴플라이언스 로그, 감사로그를 연결해 누가 어떤 AI를 쓰는지, 무엇을 입력하는지, 실행성 행위가 발생하는지를 상시 모니터링하는 운영 체계입니다.

Operating Model 상시 모니터링

탐지 결과는 사용자 확인, 삭제 조치, 전사 계도와 탐지 기준 개선으로 이어집니다.

Security for AX 통제 지도

AI 활용을 막는 보안이 아니라, 활용 현황과 입력 데이터, 실행 행위를 분리해 관찰하고 조치하는 체계입니다.

Purpose 목적

AI 사용은 지원하되, 조직이 설명 가능한 기준으로 위험 입력과 실행 행위를 통제

사용입력실행조치
Use AI 사용 가시화

서비스별 사용량, 트래픽, 사용자 수, 조직별 편중, 시간대별 패턴을 지속 추적

사용자서비스조직트래픽
Input 입력 데이터 감사

프롬프트와 첨부 입력에 포함되는 키, 시크릿, 토큰, 세션, JWT, 개인정보 탐지

토큰세션개인정보
Execution 능동형 AI 실행 탐지

EDR 커맨드라인 행위 기반 커스텀 룰로 AI Agent와 자동화 도구의 실행성 행위 탐지

EDR커맨드라인파일 접근명령 실행
AI 활용은 확대하되, 사용 · 입력 · 실행 리스크는 운영 가능한 방식으로 통제

상시 모니터링 운영 보드

사용 현황, 민감정보 입력, 능동형 AI 실행 의심 행위를 한 화면의 현황판으로 모으고, 이벤트를 사용자·조직·서비스·위험도 기준으로 추적할 수 있게 구성했습니다.

Period 상시
Sources 4종 로그
Risk 3단계
analysis run
Collect

SWG, EDR, AI 컴플라이언스 로그, 감사로그를 기준으로 AI 사용과 실행 흔적 수집

운영 중
Classify

서비스, 사용자, 조직, 시간대, 입력 유형, 실행 행위를 분리해 모니터링 축 구성

구조화
Detect

키, 시크릿, API 토큰, 세션, JWT, 개인정보 등 민감 입력을 위험도별 탐지

탐지
Investigate

탐지 이벤트의 사용자, 조직, 입력 맥락, 반복 여부를 확인해 실제 위험 여부 검토

분석
Act

사용자 DM으로 사유를 확인하고 필요 시 삭제 조치, 전사 공지로 재발 방지 기준 안내

조치
Operating principle Detect → Confirm → Remove → Educate

탐지에서 끝나지 않고 사용자 확인과 삭제 조치, 전사 계도, 룰 튜닝까지 이어지는 닫힌 운영 루프로 설계했습니다.

운영 루프

01 Observe

AI 서비스 접속량, 사용자 수, 조직별 사용량, 시간대별 패턴을 상시 관찰

02 Inspect

프롬프트와 첨부 입력 안의 키, 시크릿, 토큰, 세션, JWT, 개인정보 탐지

03 Detect

EDR 커맨드라인 행위 기반 커스텀 룰로 능동형 AI 실행 의심 행위 식별

04 Confirm

사용자에게 DM으로 사유를 확인하고 업무 목적, 반복성, 실제 노출 가능성 검토

05 Govern

필요 시 삭제 조치 후 전사 공지와 탐지 룰 튜닝으로 기준을 환류

모니터링 설계

01 사용 현황

AI 서비스 총 사용량, 트래픽, 사용자 수, 조직별 사용량, 시간대별 추이를 기준으로 AI 활용 패턴을 파악합니다.

02 입력 데이터 감사

키, 시크릿, 토큰, 세션, JWT, 전화번호, 식별 가능 개인정보 등 AI 입력 과정에서 노출될 수 있는 민감정보를 탐지합니다.

03 능동형 AI 실행 탐지

EDR 커맨드라인 행위 기반 커스텀 룰로 AI Agent와 자동화 도구의 파일 접근, 명령 실행, API 호출성 행위를 식별합니다.

04 운영 환류

탐지 이벤트는 DM 확인, 삭제 조치, 전사 공지, 탐지 룰 튜닝으로 연결해 일회성 점검이 아닌 운영 기준으로 남깁니다.

민감정보 탐지 범위

01 Critical

클라우드 접근키, 시크릿 키, 장기 유효 인증정보처럼 즉시 회수나 폐기가 필요한 입력을 최우선으로 봅니다.

02 High

API 토큰, 협업도구 토큰, 세션성 인증정보처럼 외부 접근이나 권한 오남용으로 이어질 수 있는 값을 분리합니다.

03 Medium

JWT, 전화번호, 식별 가능 개인정보처럼 입력 맥락에 따라 노출 리스크가 달라지는 항목을 추적합니다.

04 Context

탐지값만 보지 않고 사용자, 조직, 서비스, 입력 위치, 반복 여부를 함께 확인해 오탐과 실제 조치 대상을 구분합니다.

탐지와 조치 기준

민감정보 탐지는 값 하나가 잡혔다고 바로 사고로 단정하지 않고, 위험도와 입력 맥락, 반복성, 실제 삭제 필요성을 함께 판단했습니다.

Severity 키·시크릿·토큰·세션·JWT·개인정보를 위험도별로 분류
Context 사용자, 조직, 서비스, 입력 위치, 반복 여부, 업무 목적을 함께 검토
Immediate Review

인증정보나 세션성 정보가 탐지되면 사용자 확인과 삭제 필요성을 우선 검토합니다.

User Confirmation

협업 DM으로 입력 사유와 실제 업무 목적, 재현 가능성을 확인합니다.

Delete Action

노출 가능성이 있거나 불필요하게 남은 입력은 삭제 조치로 연결합니다.

Company Guidance

반복되는 유형은 전사 공지로 계도하고 입력 기준과 금지 사례를 명확히 합니다.

AX 확산을 위한 운영 기준

AI 활용을 막지 않으면서도 사용 현황, 입력 데이터, 실행 행위를 분리해 관측하고, 탐지 이후 사용자 확인과 삭제 조치, 전사 계도까지 이어지는 AX 보안 운영 기준을 만들었습니다.