AI가 취약점을 스스로 찾아내고 익스플로잇을 개발하는 시대가 왔습니다. 공격자는 빨라지고 있는데, 기업의 대응 속도는 따라가지 못하고 있습니다. Qualys는 이 간극을 좁히기 위해 하이퍼 우선순위화와 자율 조치의 운영화를 제시합니다.

☑️Mythos가 바꾼 위협 환경

Anthropic이 공개한 Claude Mythos는 취약점을 자율적으로 발견하고 익스플로잇을 개발하는 프론티어 AI 모델입니다. Mythos만의 이야기가 아닙니다. 다른 모델들도 빠르게 추격하고 있습니다. Project Glasswing은 광범위하게 배포된 소프트웨어의 취약점을 식별하고 수정하는 프로젝트로, Glasswing 출시 파트너사에서 CISA KEV의 43%가 발견되었습니다.

Qualys TRU Research에 따르면 지난 4년간 취약점은 6.5배 증가했습니다. 공개 후 익스플로잇까지 걸리는 시간은 평균 18일이지만, AI의 등장으로 이 시간은 수 시간 내로 단축되고 있습니다. 반면 기업의 평균 복구 시간(MTTR)은 여전히 67일입니다.

그렇다고 쏟아지는 취약점을 모두 동일한 우선순위로 대응할 수는 없습니다. 같은 연구에 따르면 2025년 공개된 CVE 48,172건 중 실제로 무기화된 것은 357건, 비율로는 0.74%에 불과합니다. 문제는 수만 건의 취약점 중 어느 것이 그 0.74%에 해당하는지, 그리고 그것이 지금 우리 환경에서 실제로 악용 가능한지를 판단하는 일입니다.

☑️Qualys의 자율 조치 운영화 : 3가지 핵심 전략

Qualys는 포스트-Mythos 시대의 위협 급증에 대응하기 위해 Hyper-Prioritization, Zero-day Remediation, AI-Speed Detection 세 가지 전략을 중심으로 자율 조치를 운영화합니다. 각 전략은 ETM, TruRisk Eliminate, VMDR 세 가지 솔루션으로 구현됩니다.

1. Hyper-Prioritization: 실제로 위험한 것에만 집중하기

실제 고객 데이터를 기반으로 한 사례입니다. 전체 6,250만 건의 보안 발견 사항이 단계별로 어떻게 줄어드는지 확인할 수 있습니다.

위협 인텔리전스를 적용하면 다크웹 트렌딩, 실제 위협 행위자의 무기화 여부, 랜섬웨어·악성코드 연관성을 기준으로 216만 건(4%)으로 96% 감소합니다. 자산 컨텍스트를 추가하면 PCI 범위, 인터넷 노출, DB, 매출 관련 앱 등 비즈니스 핵심 자산 기준으로 30만 4천 건(1% 미만)으로 99.5% 감소합니다. 여기에 TruConfirm으로 실제 악용 가능성을 검증하면 6만 건(0.1% 미만)으로 99.9% 감소하며, 조치 비용은 312만 달러에서 3만 1천 달러로 줄어듭니다.

🔹Qualys ETM🔹

Qualys ETM(Enterprise TruRisk Management)은 하이퍼 우선순위화의 핵심 플랫폼입니다. 노출 노이즈를 98% 감소시켜 공격자보다 먼저 가장 위험한 노출에 대응할 수 있으며, 보안 태세를 3배 향상시킵니다. ETM은 아래 여섯 가지 핵심 기능으로 구성됩니다.

• 1. 통합 자산 인벤토리(CSAM)는 외부와 내부의 모든 공격 표면에 걸쳐 포괄적인 가시성을 제공합니다. 각 자산이 어떤 비즈니스 조직에 속하는지, 중요도는 어떠한지를 자동으로 연결해 리스크 맥락을 부여합니다.
• 2. 노출 집계는 Qualys 자체 데이터뿐 아니라 서드파티 보안 툴의 데이터를 하나로 모아 정규화하고 중복을 제거해 전체 리스크를 한눈에 볼 수 있는 통합 뷰를 생성합니다.
• 3. TruRisk는 파편화된 노이즈를 비즈니스 가치(점수)로 환산해 리스크를 측정하고 시각화합니다. 환경적 요인이나 기존에 적용된 완화 조치를 반영해 리스크 점수를 사용자 환경에 맞게 조정하고 SLA를 추적할 수 있습니다.
• 4. TruLens는 해당 산업 분야에서 새롭게 떠오르는 위협이나 유행하는 공격 트렌드를 실시간으로 파악합니다. TruLens 모바일 앱을 통해 이동 중에도 리스크 우선순위와 감소 계획을 확인할 수 있습니다.
• 5. 네이티브 에이전틱 AI는 TruRisk 인사이트를 기반으로 작동하는 Cyber Risk Agents와 Cyber Risk Assistant를 제공합니다. 보안팀이 수동 작업을 넘어 AI를 통해 전략적인 오케스트레이터로서 보안 체계를 지휘할 수 있도록 합니다.
• 6. TruConfirm은 실제 자산에서, 실제 통제 대비, 실제 구성 환경에서 악용 가능성을 검증합니다. 세 가지 판정 결과를 제공합니다. Exploitable(공격 가능)은 방어막을 뚫고 공격이 성공하는 상태로 즉시 조치가 필요합니다. Blocked by control(통제에 의해 차단됨)은 취약점은 존재하지만 방화벽이나 보안 설정이 공격을 막아내는 상태입니다. Unreachable(접근 불가)은 네트워크 경로상 공격자가 해당 취약점에 도달할 수 없는 상태입니다.

예를 들어 EternalBlue의 경우 단순히 패치가 되지 않았다고 경고하는 것이 아니라, 실제 SMBv1이 활성화되어 있어 공격이 가능한 상태일 때만 Exploitable로 분류합니다. Log4Shell의 경우 취약한 라이브러리가 존재하더라도 실제 공격 경로인 JNDI 경로가 활성화되어 있어 침투가 가능할 때만 위험으로 판정합니다. TruConfirm은 지난 12개월간 800만 건 이상의 검증을 수행했으며, 운영 환경에 영향을 주지 않는 Safety-First 아키텍처로 설계되어 있습니다.

Agent Val은 업계 최초의 공격 검증 AI 에이전트입니다. 다음에 검증해야 할 위험한 타겟을 스스로 선정하고, TruConfirm을 안전하게 구동하며, 패치가 완료되면 실제로 리스크가 사라졌는지 재검증합니다.

2. Zero-day Remediation: 패치가 없어도 대응한다

포스트-Mythos 시대에는 공개 후 익스플로잇까지의 시간이 수 시간으로 단축되기 때문에, 패치가 나오기를 기다리는 방식으로는 대응이 어렵습니다. Qualys TruRisk Eliminate는 패치 유무와 관계없이 취약점을 조치할 수 있는 제로데이 조치 솔루션입니다.

🔹Qualys TruRisk Eliminate🔹

AI 기반 추천 엔진이 취약점에 가장 적합한 조치 방식을 자동으로 매핑하며, 다섯 가지 대응 방식을 제공합니다. 

Patch는 Windows, MacOS, Linux 및 서드파티 앱에 대해 무접촉 패치 자동화를 지원합니다. Fix는 패치가 없는 경우에도 취약점을 조치합니다. Mitigate는 패치가 불가능하거나 위험할 때 노출을 감소시킵니다. Custom은 복잡한 케이스를 위한 사전 구축 스크립트와 자사 앱을 위한 커스텀 스크립트를 제공합니다. Isolate는 최후 수단으로 원격 패치 적용 중 고위험 장치를 격리합니다.

자율 조치에 대한 신뢰를 쌓는 것도 중요합니다. TruRisk Eliminate는 패치 신뢰도 점수로 패치가 제대로 작동할지 사전에 파악할 수 있으며, 배포 웨이브(1→4단계 인텔리전트 롤아웃)를 통해 덜 중요한 시스템부터 단계적으로 배포할 수 있습니다. 비정상적인 동작 발생 시 롤백 기능으로 조치를 되돌릴 수 있으며, Zscaler, SCCM/Intune, CrowdStrike, ServiceNow 등 멀티벤더 환경도 지원합니다.

실제 도입 사례를 보면, 9만 2천 개의 개별 설치된 Zoom 인스턴스를 삭제하고 관리자가 제어하는 보안 환경으로 이전했습니다. WinVerifyTrust 취약점 2만 7천 건은 단 3일 만에 수정 완료했습니다. .NET 수명 종료 취약점 4만 건은 16일 만에 해결했으며, 생일 공격 관련 취약점 1만 건은 6일 만에 대응했습니다.

TruRisk Eliminate는 GigaOm 1위 랭킹을 기록했으며, 지난 12개월간 1억 5천만 건 이상의 패치를 배포했습니다. 자율 패치 4천만 건 이상이 적용되었으며, 롤백 비율은 0.1% 미만, 첫 번째 시도 성공률은 98.2%입니다. 고객 영향 지표를 보면, 평균 조치 시간이 80% 단축되었고, 제로데이 평균 조치 소요 시간은 1일 미만입니다.

3. AI-Speed Detection: 공격자보다 먼저 탐지한다

탐지 속도가 곧 대응 속도입니다. 

🔹Qualys VMDR🔹

Qualys VMDR은 크리티컬·제로데이 취약점에 대한 중간 대응 시간이 12시간이며, 고우선순위 벤더의 경우 6시간입니다. 130K+ CVE 커버리지 1위, 99.4% CISA KEV 커버리지를 제공하며, 10년 이상 Six Sigma 수준의 탐지 정확도를 유지하고 있습니다. 경쟁 스캐너가 시그니처를 추가하는 데 수일에서 수 주가 걸리는 것과 비교됩니다.

탐지 속도와 커버리지 확대는 세 단계로 이루어집니다.

• · 1단계는 분 단위의 신속한 탐지입니다. 취약점 공격 지표(Exploitation Indicators)를 기반으로 알려지지 않은 제로데이 위협까지 분 단위로 탐지하고, Graph DB로 데이터 간 상관관계를 빠르게 분석합니다. 
• · 2단계는 고정밀 탐지를 위한 AI 모델 적용입니다. 여러 AI 모델을 동시에 활용해 노이즈를 걸러내고 실제 위협에만 집중하는 고정밀 탐지를 제공합니다. 
• · 3단계는 검증 및 대응 가속화입니다. TruConfirm의 적용 범위를 모든 자산과 모든 노출 지점으로 확대하고, Agentic AI를 통해 탐지부터 검증, 조치에 이르는 전 과정을 자동화합니다.

VMDR은 취약점 탐지 외에도 디지털 인증서 평가, CIS 통제 기반 구성 평가, 자산 인벤토리, 위협 인텔 기반 우선순위화(TruRisk), 랜섬웨어 노출 100% 커버리지를 하나의 라이선스 안에서 제공합니다.

☑️AI 주도의 노출 급증 관리를 위한 Qualys 플랫폼 솔루션

Qualys는 VMDR, ETM, TruRisk Eliminate 세 솔루션 모두에서 카테고리 리더로 인정받고 있습니다. 각 솔루션은 AI 속도 탐지, 하이퍼 우선순위화, 제로데이 조치라는 역할을 분담하면서도 하나의 플랫폼 안에서 통합 운영됩니다. 

세 솔루션의 핵심 가치와 주요 기능을 아래에서 확인할 수 있습니다.

☑️마무리

포스트-Mythos 시대에 보안팀에게 필요한 것은 더 많은 경고가 아닙니다. 실제로 위험한 것이 무엇인지 판단하고, 공격자보다 빠르게 조치할 수 있는 체계입니다.

Qualys는 하이퍼 우선순위화(Hyper-Prioritization), 제로데이 조치(Zero-day Remediation), AI 속도 탐지(AI-Speed Detection)를 하나의 플랫폼 안에서 통합해 이 전 과정을 자율화합니다. 수만 건의 취약점 노이즈를 걷어내 실제로 위험한 것에만 집중하고, 패치 유무와 관계없이 제로데이에 대응하며, 경쟁 솔루션보다 빠른 속도로 위협을 탐지합니다. 세 전략이 끊김 없이 연결될 때 비로소 공격자의 속도에 대응할 수 있는 보안 운영 체계가 완성됩니다.

AI가 위협의 판을 바꾸고 있는 만큼, 보안 운영의 방식도 그에 맞게 달라져야 합니다.

클라우드네트웍스는 Qualys 공식 파트너로서 고객사의 사이버 리스크 관리를 함께 고민합니다. 제품에 대한 상세 정보와 문의사항은 아래 링크를 통해 확인 부탁드립니다. 

▶ 퀄리스(Qualys) 자세히보기