디지털 전환이 가속화되면서 기업은 매일 수백 건의 취약점 정보와 보안 권고문을 처리해야 합니다. CVE, CISA, NVD, PSIRT, Vendor Security Bulletin 등 다양한 출처에서 생성되는 위협 인텔리전스는 기업 보안 운영에 필수적이지만, 대부분의 분석은 여전히 보안 전문가의 수작업에 의존하고 있습니다.
이러한 방식은 분석 시간 증가, 대응 지연, 운영 비용 상승이라는 문제를 초래합니다. 이에 따라 글로벌 제조·물류·금융 기업들은 RAG AI(Retrieval-Augmented Generation) 와 대규모 언어 모델(LLM) 을 결합한 AI 플랫폼을 도입하여 위협 인텔리전스 분석을 자동화하고 있습니다.
기업이 직면한 과제
대규모 기업은 다양한 보안 정보와 내부 데이터를 동시에 관리해야 합니다.
주요 문제는 다음과 같습니다.
– CVE, CISA, PSIRT 등 다양한 위협 정보의 지속적인 증가
– 자산관리 시스템과 취약점 데이터가 서로 분산되어 있는 환경
– 보안 전문가의 반복적인 문서 분석 업무
– 취약점 대응 속도 저하
– 보안 보고서 작성에 많은 시간 소요
결과적으로 보안팀은 단순 분석 업무에 많은 시간을 소비하고, 실제 위협 대응이나 보안 전략 수립에 집중하기 어려운 상황이 발생합니다.

RAG AI 기반 솔루션
이 문제를 해결하기 위해 구축된 플랫폼은 RAG AI 기반 위협 인텔리전스 분석 시스템입니다.
기존 AI 챗봇과 달리 RAG AI는 먼저 기업 내부 지식과 최신 보안 문서를 검색한 후, 해당 정보를 기반으로 LLM이 답변을 생성합니다.
플랫폼은 다음과 같은 기능을 자동 수행합니다.
– 위협 인텔리전스 데이터 자동 수집
– 보안 문서 표준화 및 통합
– 벡터 검색(Vector Search)
– 기술 문서 자동 요약
– 영향받는 시스템 식별
– 위험도 자동 평가
– 대응(Mitigation) 방안 제안
– 보안 보고서 자동 생성
이를 통해 분석 속도와 정확성을 동시에 향상시킬 수 있습니다.
시스템 아키텍처
플랫폼은 클라우드 기반 엔터프라이즈 AI 아키텍처로 구성됩니다.
① Data Collection
다음과 같은 외부 및 내부 시스템에서 데이터를 수집합니다.
– CVE
– CISA
– PSIRT
– Vendor Security Bulletin
– Threat Intelligence Feed
– Enterprise Asset Database
② AI Processing Layer
AI Engine은 OpenAI GPT, Gemma, Ollama 등을 지원하며 FastAPI 기반으로 동작합니다.
사용자의 질문이 입력되면 RAG 엔진이 먼저 관련 문서를 검색하고, 이후 LLM이 검색된 정보를 기반으로 분석 결과를 생성합니다.
③ Enterprise Knowledge Base
문서는 벡터 임베딩으로 변환되어 PostgreSQL + PGVector에 저장되며, 원본 데이터는 MongoDB에서 관리됩니다.
이를 통해 자연어 기반의 의미 검색(Semantic Search)이 가능합니다.
④ Enterprise Integration
REST API와 STIX 2.1을 통해 SOC, SIEM, PSIRT 및 기존 보안 시스템과 연동되어 지속적인 데이터 동기화를 지원합니다.

RAG AI 분석 프로세스
플랫폼은 다음과 같은 5단계로 위협 인텔리전스를 분석합니다.
1. 다양한 보안 정보 자동 수집
2. 문서 임베딩 및 지식베이스 구축
3. RAG 기반 관련 정보 검색
4. LLM을 통한 위험 분석 및 대응 전략 생성
5. Dashboard 및 자동 보고서 제공
이 과정은 기존 수작업 분석을 자동화하고, 최신 정보를 기반으로 신뢰성 높은 결과를 제공합니다.
도입 효과
RAG AI 플랫폼 도입 이후 고객사는 다음과 같은 성과를 달성했습니다.
– 문서 분석 시간 약 70% 단축
– 취약점 대응 속도 약 60% 향상
– AI Hallucination 감소 및 분석 정확도 향상
– 보안 보고서 자동 생성
– 보안 전문가의 반복 업무 감소
– 대규모 기업 환경에서도 안정적인 운영 지원
이를 통해 보안팀은 반복적인 문서 검토 대신 위협 헌팅, 보안 설계, 사고 대응과 같은 핵심 업무에 집중할 수 있게 되었습니다.

프로젝트 구축 일정
프로젝트는 총 4단계로 진행되었습니다.
1단계 (2~3주)
– 요구사항 분석
– AI 아키텍처 설계
2단계 (4~6주)
– AI Engine 구축
– RAG Pipeline 개발
– Vector Database 구축
– React Dashboard 개발
3단계 (약 2주)
– SOC
– SIEM
– PSIRT
– 자산관리 시스템 연동
4단계 (약 2주)
– 성능 검증
– 사용자 테스트
– 관리자 교육
– 운영 환경 배포
RAG AI가 기존 LLM보다 우수한 이유
일반적인 LLM은 학습된 데이터만 활용하지만, RAG AI는 최신 위협 정보와 기업 내부 데이터를 검색한 후 답변을 생성합니다.
주요 장점은 다음과 같습니다.
– 최신 보안 정보 활용
– 기업 내부 지식 기반 분석
– Hallucination 감소
– 근거 기반 의사결정 지원
– 지속적인 지식 업데이트
– 엔터프라이즈 보안 정책 지원
따라서 제조, 물류, 금융, 헬스케어와 같이 복잡한 IT 환경을 운영하는 기업에 더욱 적합합니다.
>>> 더 보기: RAG 챗봇으로 구축하는 기업 제품 지식 AI 고객지원 사례
FAQ
RAG AI란 무엇입니까?
RAG AI는 기업의 최신 데이터와 지식베이스를 검색한 후 LLM이 답변을 생성하는 AI 기술입니다.
기존 LLM과 어떤 차이가 있습니까?
기존 LLM은 사전 학습 데이터에 의존하지만, RAG AI는 최신 기업 문서와 위협 정보를 실시간으로 활용하여 더욱 정확한 결과를 제공합니다.
어떤 산업에 적합합니까?
제조, 물류, 금융, 의료, 공공기관, IT 서비스 등 대규모 보안 데이터를 관리하는 모든 산업에 적용할 수 있습니다.
기존 시스템과 연동할 수 있습니까?
예. REST API와 STIX 2.1을 통해 SOC, SIEM, PSIRT 및 다양한 엔터프라이즈 시스템과 쉽게 통합할 수 있습니다.

결론
사이버 위협이 지속적으로 증가하는 환경에서 기업은 더 이상 수작업 중심의 위협 분석만으로는 빠른 대응과 효율적인 보안 운영을 기대하기 어렵습니다.
RAG AI와 LLM을 결합한 엔터프라이즈 AI 플랫폼은 최신 위협 인텔리전스를 자동으로 분석하고, 기업 내부 지식을 함께 활용하여 정확한 위험 평가와 신속한 대응 전략을 제공합니다.
또한 문서 분석, 위험 평가, 대응 방안 제안, 보고서 생성까지 하나의 플랫폼에서 자동화함으로써 운영 비용을 절감하고 보안 생산성을 향상시킬 수 있습니다. 이는 제조, 물류, 금융, 공공기관 등 다양한 산업에서 AI 기반 사이버 보안 혁신을 실현하는 핵심 기술로 자리매김하고 있습니다.



