AI SOC 내부 이야기: 스윔레인이 평균 복구 시간(MTTR)을 절반으로 줄인 방법

AI SOC 내부 이야기: 스윔레인이 평균 복구 시간(MTTR)을 절반으로 줄인 방법

스윔레인에서는, 저희는 보안 운영 센터(SOC) 이곳은 단순한 방어선이 아니라, 실시간 혁신 연구소입니다. 우리는 이 환경을 활용하여 보안 운영의 한계를 뛰어넘고자 합니다.보안 운영), 글로벌 클라우드 운영, 엔터프라이즈 IT, 위험 및 취약성 관리를 단일 중앙 집중식 프로그램으로 통합합니다. 스윔레인 터빈 에이전트 기반 AI 자동화 플랫폼.

저희 팀의 운영 과정에서 모든 경고, 조사 및 해결은 프로세스를 개선할 수 있는 기회입니다. 모든 보안 워크플로우가 Turbine에 통합되어 있기 때문에 분석가들은 긴밀하게 협력하여 새로운 프로세스를 실험하고 AI 기능을 최대한 활용합니다. 저희는 끊임없이 "Turbine 내에서 이 프로세스를 어떻게 더 빠르고, 더 스마트하고, 더 자율적으로 만들 수 있을까?"라는 질문을 던집니다.“ 

AI 이전: 수동 작업 및 반복적인 조사

터빈에 운영을 집중화하기 전에는, 저희는 평균 해결 시간(MTTR) 소요 시간은 대략 6시간 정도였습니다. 자동화 및 오케스트레이션 기능이 발전했음에도 불구하고, 저희 팀은 여전히 수동 분류 작업, 반복적인 조사, 그리고 서로 다른 도구 간의 컨텍스트 전환으로 인한 마찰에 직면했습니다. 우리는 극복해야 할 한계가 있음을 알고 있었습니다.

보다 자율적인 SOC를 향한 우리의 여정

2021년에서 2025년 사이에 당사의 SOC는 점진적으로 자동화되었습니다. 경고 분류 그리고 사례 관리 워크플로를 줄여서 MTTR 6시간에서 30분으로 단축되었습니다. 그 다음 단계이자 진정한 판도를 바꾼 것은 바로 도입이었습니다. 히어로 AI, Turbine 내에서 사용할 수 있는 에이전트형 및 생성형 AI 기능 모음입니다.

분석가 보고서: 자율형 SOC 구현을 위한 안내서

우리가 최초로 이를 도입했습니다. 히어로 AI 에이전트 터빈(Turbine) 내에서 직접 구현되었습니다. 마치 자율적인 전문가를 팀에 추가한 것 같은 느낌이었고, 사건 발생 주기 전반에 걸쳐 실시간으로 상황 인식 추론을 제공하여 문제 분류 속도를 획기적으로 높이고 일상적인 수동 작업을 없앴습니다.

우리는 자율 운영을 추진하기 위해 네 가지 주요 요소에 의존합니다.

• 판결 대리인: 이 에이전트는 저희가 가장 많이 활용하는 에이전트일 것입니다. 이 에이전트는 지식 기반 문서, 연결된 사례 기록, 위협 인텔리전스, 분석가 메모를 포함하여 현재, 연결된, 과거 사례의 모든 컨텍스트를 활용하여 분석가의 판단을 반영하는 결론을 자율적으로 생성합니다.
• 위협 인텔리전스 에이전트: 이 에이전트는 위협 인텔리전스 분야에 혁신을 가져올 것입니다. VirusTotal, Cisco Umbrella, RecordedFuture 등 당사가 활용하는 모든 소스의 데이터를 통합 및 분석하도록 설계되었으며, 통합된 소스 간 분석 결과를 사례 파일에 직접 제공합니다.
• MITRE ATT&CK & D3FEND 에이전트: 이 시스템은 운영상의 명확성을 위해 매우 중요합니다. 공급업체의 보안 경고를 표준화된 공격 및 대응 기법에 자동으로 매핑하도록 학습되어 있어, 우리 팀이 전술 및 방어에 대해 보편적으로 이해할 수 있는 언어를 제공합니다. 이러한 표준화는 일관된 대응을 위해 매우 중요합니다.
• 수사관: 이것이 바로 우리 효율성의 핵심입니다. 이 시스템은 자동으로 전체 조사 계획을 수립하고 실행하며, 단일 통합 인터페이스에서 엔드 투 엔드 분석을 제공합니다. 이를 통해 불필요한 컨텍스트 전환을 없애고, AI가 생성한 유용한 요약, 타임라인, 권장 조치를 통해 문제 해결 속도를 높일 수 있습니다.

히어로 AI의 측정 가능한 영향

Turbine에 Hero AI 에이전트를 배포한 이후, 당사 내부 SOC는 상당한 운영 효율성 향상과 비용 절감을 경험했습니다.

• 30일 동안 다음과 같은 사항을 관찰했습니다.
  • 51% 덕분에 MTTR이 18분에서 8.75분으로 크게 단축되었습니다.
    
• 주간:
  • 우리는 약 60시간의 "인간 시간"을 절약했습니다.“
    
  • 운영 비용 절감액은 1,402,600페소에 달했으며, 이는 1급 분석가 한 명의 연간 인건비와 맞먹는 수치입니다.
    
• 현재의:
  • 저희는 자체적으로 매주 약 350건의 사례를 종결 처리합니다.

AI 지원 보안 운영에서 AI 보안 운영으로

Hero AI는 문제 해결 속도를 높일 뿐만 아니라 일관성과 설명 가능성을 통해 신뢰를 구축합니다. Swimlane SOC 팀은 약 35,000건의 인간 조사 데이터를 활용하여 Hero AI 기반 프롬프트를 벤치마킹, 검증 및 최적화했습니다. 현재 10개의 사용 사례에서 완전 자율 운영이 가능합니다. 토큰 효율성 향상과 컨텍스트 범위 확장 덕분에 신뢰도, 정확성 및 비용 최적화 측면에서 상당한 개선을 확인했습니다.

확장을 위한 준비가 되셨나요? AI SOC 청사진이 여기 있습니다.

터빈(Turbine)에서 AI와 고급 자동화 기술이 융합되면서 당사 SOC는 평균 응답 시간(MTTR)을 15분 미만으로 단축하고, 자율적인 사례 종결을 대규모로 구현하는 데 박차를 가할 수 있었습니다. 수작업을 줄이기 위한 집중적인 노력으로 시작된 이 프로젝트는 이제 명확한 청사진으로 발전했습니다. AI SOC, AI 에이전트가 통합 인터페이스를 통해 실시간 분류, 설명 가능한 결과, 원클릭 응답을 제공하는 곳입니다.

우리가 이뤄낸 놀라운 성과들을 되돌아보며 클라우드 운영 책임자인 케빈 마타에게 의견을 물어보았습니다. 그는 "히어로 AI는 우리 SOC 운영 방식을 혁신적으로 변화시켰고, 지속적으로 학습하고 개선하면서 운영 속도를 향상시켰습니다. 우리가 해결하는 모든 사례는 다음 사례를 더욱 빠르고, 스마트하고, 자율적으로 만들어 줍니다."라고 말했습니다.“

만약 우리 팀이 내부적으로 이러한 결과를 달성할 수 있다면, 보안 운영 규모 확장을 원하는 모든 조직은 Turbine을 활용하여 성공할 수 있을 것입니다. 이 모델은 검증된 미래 보안 운영 방식입니다.