Microsoft Defender의 AI 에이전트를 사용하여 피싱 검사 자동화

Microsoft Defender의 AI 에이전트를 사용하여 피싱 검사 자동화

2026년 3월 10일

서문: AI 시대의 피싱 퇴치

피싱은 가장 지속적이고 효과적인 사이버 위협 중 하나로 정교함과 규모가 지속적으로 발전하고 있습니다. 2026년에는 생성적 AI 도구가 등장하면서 공격자는 전례 없는 규모로 매우 설득력 있고 개인화된 피싱 이메일을 생성할 수 있게 되어 SOC(보안 및 운영) 팀의 수동 탐지 및 분류가 사실상 불가능한 작업이 됩니다. 사용자가 접수하는 피싱 보고서의 양은 분석가를 빠르게 압도하여 대응이 지연되고 손상 위험이 증가할 수 있습니다[1].

전통적으로 피싱 검사 프로세스에는 여러 수동 단계가 포함되었습니다. 사용자가 의심스러운 이메일을 보고하고, 보안 분석가가 이메일 헤더를 검토하고, 링크와 첨부 파일을 분석하고(주로 격리된 환경에서), 보낸 사람의 평판을 확인하고, 최종적으로 위협의 성격과 교정 조치를 결정했습니다. 이 프로세스는 소규모에서는 효과적이지만 속도가 느리고 인적 오류가 발생하기 쉬우며 대규모 현대 공격으로 확장할 수 없습니다[2].

이 문제를 해결하기 위해 Microsoft는 Office 365용 Microsoft Defender의 혁신적인 독립 실행형 구성 요소인 Phishing Triage Agent를 출시했습니다. 고급 인공 지능으로 구동되는 이 에이전트는 피싱으로 의심되는 이메일을 몇 초 만에 분석, 조사 및 해결하도록 설계되어 SOC 팀이 보다 복잡하고 전략적인 위협에 집중할 수 있도록 해줍니다. Phishing Triage Agent는 조직이 피싱 공격에 대응하는 방식을 변화시켜 보안 자동화의 중요한 도약을 나타냅니다[3].

이 기술 및 교육 문서의 목적은 피싱 분류 에이전트, 해당 운영 원리, 이점 및 Office 365용 Microsoft Defender 환경에서 이를 활성화하고 구성하기 위한 단계별 가이드에 대해 자세히 살펴보는 것입니다. 우리는 이 기술이 2026년과 그 이후의 피싱 위협에 맞서 조직의 보안 태세를 어떻게 강화할 수 있는지에 중점을 둘 것입니다.

피싱 스크리닝 챌린지와 AI 에이전트 솔루션

피싱의 효과는 인간의 본성과 신뢰를 이용하는 능력에 있습니다. AI를 사용하면 공격자는 다음을 수행할 수 있습니다.

  • 대량 개인화: 은행, 공급업체, 심지어 동료의 합법적인 통신을 모방하는 고도로 개인화된 피싱 이메일을 생성하여 성공 가능성을 높입니다.

  • 탐지 회피: 난독화 및 다형성 기술을 사용하여 기존 이메일 필터를 우회하는 피싱 이메일 변종을 만듭니다.

  • 고급 사회 공학: 피해자를 속이기 위해 현재 사건이나 추세를 활용하여 더욱 복잡하고 믿을 수 있는 내러티브를 개발합니다.

이런 시나리오에 직면하면 인간의 대응은 불충분해진다. 피싱 심사 에이전트(Phishing Triage Agent)가 작동하는 곳입니다. AI 및 기계 학습 원리를 기반으로 작동하여 다음을 수행할 수 있습니다.

  • 심층 상황 분석: 상담원은 의심스러운 키워드나 링크를 확인할 뿐만 아니라 고급 언어 모델을 사용하여 이메일의 상황, 어조, 의도를 이해합니다. 규칙 기반 필터나 압박을 받는 인간 분석가가 눈치채지 못할 미묘한 이상 현상을 식별할 수 있습니다.

  • 샌드박스 시뮬레이션: 링크 및 첨부 파일의 경우 에이전트는 조직의 실제 네트워크를 노출하지 않고 링크 동작(리디렉션, 악성 코드 다운로드) 또는 첨부 파일(악성 스크립트 실행)을 관찰하면서 격리된 환경(샌드박스)에서 상호 작용을 시뮬레이션합니다. 이를 통해 정확하고 안전한 위험 평가가 가능합니다[4].

  • 자동 교정: 에이전트는 분석을 기반으로 이메일을 격리로 이동하거나, 사용자의 받은 편지함에서 영구적으로 삭제하거나, 게이트웨이 수준에서 보낸 사람을 차단하는 등 사전 정의된 교정 작업을 수행할 수 있습니다.

자율 분류의 혁신적인 이점

Phishing Triage Agent를 구현하면 보안 운영에 혁신적인 이점을 제공합니다.

  • 탁월한 속도: 피싱 이메일 검사 및 해결이 몇 시간 또는 몇 분에서 단 몇 초로 단축됩니다. 이렇게 하면 사용자가 악성 링크를 클릭하거나 위험한 첨부 파일을 열 기회가 최소화됩니다.공격의 확산을 담은 sos.

  • 정확도 향상: 상황별 분석 및 샌드박스 시뮬레이션 덕분에 에이전트는 더 높은 위협 탐지율을 달성하고, 결정적으로 오탐률을 크게 감소시킵니다. 이를 통해 SOC 팀의 경보 피로를 방지하고 실제 위협에 리소스를 할당할 수 있습니다.

  • 대규모 확장성: 에이전트는 인간 팀이 처리할 수 없는 양의 피싱 이메일을 처리할 수 있으므로 공격의 규모나 강도에 관계없이 조직 전체에서 일관적인 보호를 보장할 수 있습니다.

  • SOC 리소스 최적화: Phishing Triage Agent는 저위험 및 중간 위험 위협 분류를 자동화함으로써 보안 분석가가 보다 복잡한 조사, 사전 위협 사냥, 보안 전략 개발에 집중할 수 있도록 하여 전반적인 SOC 성숙도 수준을 높입니다.

  • 일관적인 대응: 자동화는 사전 정의된 보안 정책에 따라 각 피싱 사고를 일관되게 처리하여 사람의 개입으로 발생할 수 있는 변동성을 제거합니다.

구현을 위한 전제 조건

Phishing Triage Agent의 기능을 활용하려면 조직에 다음 요소가 필요합니다.

  • Office 365용 Microsoft Defender 라이선스: Phishing Triage Agent는 Office 365용 Microsoft Defender 계획 2 라이선스 또는 이 계획이 포함된 Microsoft 365 E5/A5/G5 패키지에서 사용할 수 있는 고급 기능입니다.

  • 관리 액세스: Microsoft Defender 포털(security.microsoft.com)에서 전역 관리자, 보안 관리자 또는 규정 준수 관리자 권한이 있는 계정입니다.

  • Office 365용 Defender 기본 구성: 기본 피싱 방지, 스팸 방지, 맬웨어 방지 정책이 이미 구성되어 작동할 것으로 예상됩니다.

  • 사용자 메시지 보고 정책: 에이전트가 작동하려면 사용자에게 피싱 이메일을 보고하기 위한 쉬운 메커니즘(예: Outlook의 메시지 보고 추가 기능)이 있어야 합니다.

단계별 가이드: 피싱 분류 에이전트 활성화 및 구성

피싱 심사 에이전트를 활성화하고 구성하는 것은 Office 365용 Microsoft Defender 환경과 원활하게 통합되도록 설계된 간단한 프로세스입니다.

1단계: Microsoft Defender 포털에서 피싱 심사 에이전트 활성화

이 초기 단계에는 보안 대시보드의 기능을 활성화하여 에이전트가 작동을 시작할 수 있도록 하는 작업이 포함됩니다.

  1. Microsoft Defender 포털에 액세스: 브라우저를 열고 security.microsoft.com으로 이동합니다. 필요한 관리 권한이 있는 계정으로 로그인하세요.

  2. 위협 정책으로 이동: 왼쪽 탐색 창에서 이메일 및 공동 작업을 확장하고 정책 및 규칙을 선택합니다. 그런 다음 위협 정책을 클릭합니다.

  3. 피싱 분류 에이전트 찾기: 위협 정책 내에서 AI 리소스 전용 섹션을 찾을 수 있습니다. 피싱 심사 에이전트(미리보기/GA)를 선택합니다. "미리 보기/GA" 지정은 해당 기능이 지역 및 Microsoft의 릴리스 일정에 따라 공개 미리 보기 상태이거나 이미 일반 공급에 도달했을 수 있음을 나타냅니다.

  4. 에이전트 활성화: 상태 스위치를 켜짐으로 전환합니다. 그러면 에이전트가 활성화됩니다. 다음으로 적용 범위를 정의해야 합니다. 전체 적용 범위를 보려면 전체 조직을 선택하세요. 단계적 구현을 ​​위해 특정 사용자 그룹이나 도메인을 선택할 수도 있습니다.

  5. 변경 사항 저장: 적용할 정책에 대한 모든 설정을 저장해야 합니다.

2단계: 자동화된 수정 작업 정의

활성화한 후에는 Phishing Triage Agent가 다양한 위협 수준에 대응하는 방법을 구성하는 것이 중요합니다. 이를 통해 에이전트가 교정에 얼마나 적극적이어야 하는지를 사용자 정의할 수 있습니다.

  1. 자동 에이전트 작업에 액세스: 동일한 피싱 심사 에이전트 구성 화면에서 자동 작업 섹션으로 이동합니다.

  2. 신뢰도가 높은 위협에 대해 구성: 피싱이라는 신뢰도로 분류된 이메일의 경우(즉, 에이전트가 악성 성격을 매우 확신함) 영구 삭제 작업을 선택합니다. 이 작업을 수행하면 사용자의 받은 편지함과 모든 폴더에서 이메일이 제거되어 더 이상 상호 작용할 수 없습니다.미래.

  3. 신뢰도 중간 위협에 대해 구성: 신뢰도 중간 이메일(피싱에 대한 강력하지만 결정적인 증거가 없는 경우)의 경우 격리소로 이동을 선택하고 관리자에게 알림을 선택합니다. 이 접근 방식을 사용하면 인간 분석가가 격리된 이메일을 영구 삭제하기 전에 검토할 수 있으므로 오탐의 위험은 줄어들지만 위협은 여전히 ​​포함됩니다.

  4. 기타 해결 옵션: 신뢰도가 낮은 위협의 경우 정크로 이동, 반복적인 피싱 발신자의 경우 발신자 차단과 같은 다른 옵션을 살펴보세요. 이러한 설정의 유연성을 통해 상담원 응답을 세부적으로 제어할 수 있습니다.

  5. 변경 사항 저장: 교정 설정을 확인합니다.

3단계: 결과 모니터링 및 분석

Phishing Triage Agent의 효율성을 평가하고 예상대로 작동하는지 확인하기 위해 Office 365용 Microsoft Defender는 전용 대시보드 및 보고서를 제공합니다.

  1. 이메일 및 공동 작업 보고서에 액세스: Microsoft Defender 포털 사이드 메뉴에서 보고서 > 이메일 및 공동 작업으로 이동합니다.

  2. "AI 에이전트 효율성" 보고서 보기: "AI 에이전트 효율성" 보고서(또는 유사한 이름, 약간 다를 수 있음)를 찾습니다. 이 보고서는 다음과 같은 주요 측정항목을 표시하도록 설계되었습니다.

  3. 회피된 공격 수: 사람의 개입 없이 에이전트가 탐지하고 해결한 피싱 이메일의 수입니다.

  4. 평균 응답 시간: 수동 분류와 비교하여 에이전트가 작업한 속도입니다.

  5. 오탐지/부정: 에이전트 정확도를 분석하여 교정 정책을 세부적으로 조정할 수 있습니다.

  6. 공격 동향: 가장 일반적인 피싱 유형과 공격자가 사용하는 전술에 대한 통찰력을 제공합니다.

  7. 위협 탐색기 사용: 더 자세한 조사를 위해 Defender for Office 365의 위협 탐색기를 사용하면 특정 전자 메일을 검색하고 행위자의 평결을 보고 위협의 경로를 이해할 수 있습니다.

  8. 사용자 지정 경고 구성: Microsoft Sentinel(통합된 경우)에서 대량의 에이전트 피싱 탐지 또는 사람의 주의가 필요한 매우 정교한 피싱 시도에 대해 알리도록 사용자 지정 경고를 구성할 수 있습니다.

추가 고려 사항 및 모범 사례

  • 사용자 교육: 에이전트가 선별을 자동화하더라도 의심스러운 이메일을 식별하고 보고하기 위한 사용자에 대한 지속적인 교육은 여전히 필수적입니다. 에이전트는 사용자 신고에 따라 조치를 취하며 강력한 보안 문화가 첫 번째 방어선입니다.

  • 정기적인 정책 검토: 위협 환경은 끊임없이 변화하고 있습니다. 피싱 분류 에이전트 구성 및 해결 정책을 정기적으로 검토하여 공격자의 최신 전술에 대해 효과적인 상태를 유지하는지 확인하세요.

  • SOC 통합: 피싱 심사 에이전트 결과 및 경고가 SIEM/SOAR 시스템(예: Microsoft Sentinel)과 통합되어 보안에 대한 통합 보기를 제공하고 더 광범위한 사고 대응을 조율합니다.

  • 초기 감사 모드: 보다 신중한 접근 방식을 원하는 조직의 경우 초기에 에이전트를 감사 모드로 구성하거나 좀 더 가벼운 수정 작업(예: 정크로 이동)으로 구성하여 보다 공격적인 작업을 구현하기 전에 성능을 모니터링하는 것이 좋습니다.

  • 지속적인 피드백: 보고서와 지표를 사용하여 AI 모델에 피드백을 제공함으로써 시간이 지남에 따라 정확성과 효율성을 향상시키는 데 도움이 됩니다.

결론

Office 365용 Microsoft Defender의 Phishing Triage Agent는 2026년 피싱 퇴치를 위한 중요한 발전을 나타냅니다. 피싱 이메일의 분류, 조사 및 수정을 자동화함으로써 응답 시간을 대폭 단축할 뿐만 아니라 검색 정확도를 향상하고 보안 팀이 보다 전략적인 문제에 집중할 수 있도록 해줍니다. 이 에이전트를 효과적으로 구현하는 것은 사이버 탄력성을 강화하고 점점 더 정교해지는 AI 시대의 위협으로부터 사용자를 보호하려는 모든 조직에게 중요한 단계입니다. 이 기술을 채택함으로써 기업은 피싱 방어를 수동적이고 대응적인 전투에서 다음으로 전환할 수 있습니다.적극적이고 지능적인 운영.

참고자료

[1] Microsoft 기술 커뮤니티. "Ignite 2025: Microsoft Defender의 새로운 기능은 무엇인가요?" 사용 가능: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/ignite-2025-whats-new-in-microsoft-defender/4469996 [2] Microsoft 기술 커뮤니티. "RSA 2026: Microsoft Defender의 새로운 기능은 무엇입니까?" 사용 가능: [https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046] (https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046) [3] 링크드인. "RSA 2026: Microsoft Defender의 새로운 기능 | Sami Lamppu." 이용 가능: [https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez] (https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez) [4] Microsoft 기술 커뮤니티. "월간 뉴스 - 2026년 4월." 사용 가능: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050