AI를 활용하여 명확하고 논리적인 SOC 판결을 내리는 방법

AI를 활용하여 명확하고 논리적인 SOC 판결을 내리는 방법

이번 글은 스윔레인 함대에 대한 시리즈의 네 번째이자 마지막 글입니다. 히어로 AI 에이전트. 저희는 이미 다뤘습니다. MITRE ATT&CK & D3FEND 에이전트, 공격과 방어 용어를 표준화하는 것; 위협 인텔리전스 에이전트, 여러 출처의 정보를 종합하여 단일 평가를 제공하는 에이전트와, 엔드투엔드 조사를 조율하고 자동 종료 경로를 열어주는 조사 에이전트가 있습니다. 이 두 에이전트는 각각 컨텍스트, 보강 정보 및 분석 결과를 제공합니다. 하지만 그 어느 에이전트도 모든 경고의 궁극적인 질문인 "무엇에 대한 답이냐?"에 대한 답을 제시하지 못합니다.

그럼 이걸로 뭘 해야 할까요?

그게 바로 결론입니다. 악의적, 양성, 보고, 종료. 바로 이 순간이 결정의 순간이며, 대부분의 SOC에서 병목 현상이 발생하는 지점입니다. 분석가들이 결정을 내릴 수 없어서가 아니라, 대기열이 계속 늘어나는 상황에서 많은 양의 데이터에 대해 일관되게 정확한 판단을 내리고 관련 문서를 작성하는 것은 대부분의 팀이 운영하는 규모에서는 지속 불가능한 요구이기 때문입니다.

판결 에이전트는 상호 연결된 AI 추론이 수렴하는 곳입니다. 다른 에이전트들이 생성한 모든 결과, 즉 TI 합성, MITRE 매핑, 조사 계획, 과거 사례 맥락, 지식 기반 문서 및 분석가 메모를 종합하여 정보에 정통한 분석가가 내릴 결론과 유사한 설명 가능한 결론을 생성합니다. 판결은 신뢰를 얻거나 잃는 곳입니다. 바로 그곳에서 AI SOC 현실이 되거나, 이론에 머물거나.

Hero AI 에이전트에 대해 자세히 알아보세요.

판결의 분석: "악의적" 또는 "양성적"이라는 구분 그 이상“

AI 보안 마케팅에서 흔히 볼 수 있는 한 가지 관점에 대해 반박하고 싶습니다. 바로 판단을 이분법적으로 보는 것입니다. 악성 또는 양성, 찬성 또는 반대. 이러한 방식은 스팸 필터에는 적합할지 몰라도, 경험 많은 분석가들이 실제로 사건을 분석하는 방식과는 거리가 멉니다.

진정한 판결은 일련의 추론 과정을 통해 이루어집니다. 분석가는 이렇게 말하는 것입니다. "경고 데이터를 살펴봤는데, 추가 정보에 따르면 이 지표는 출처에 따라 평판이 엇갈립니다. 지난 한 달 동안 이 사용자로부터 동일한 패턴이 세 번 발생했고, 그때마다 무해한 것으로 판단하여 종결했습니다. MITRE 매핑에서는 T1566.002로 표시되지만, D3FEND 대응책을 통해 저희 이메일 게이트웨이가 이미 이 기법을 차단하고 있음을 확인했습니다. 또한 연결된 사례 기록을 보면 이 탐지 규칙의 해당 경고 유형에 대한 오탐률이 94%에 달합니다. 따라서 판결은 무해하며, 종결하고 추가 조치가 필요하지 않습니다."“

그건 이분법적인 판단이 아닙니다. 종합적인 과정입니다. 여러 입력값을 고려하고, 제도적 맥락을 적용하고, 선례를 참조하여 설명 가능하고 옹호할 수 있는 판단을 내립니다. 평결 에이전트의 핵심은 결과뿐 아니라 그 이유까지 포함하여 그러한 추론 과정을 재현하는 것입니다.

이것은 두 가지 이유 때문에 중요합니다. 

• 첫째, 설명 가능성은 분석가가 처음부터 다시 조사할 필요 없이 신속하게 결론을 검증할 수 있도록 해줍니다. 담당자가 분석 과정을 보여준다면, TI 평가, MITRE 매핑, 과거 사례, 참조한 기술 자료 문서 등을 확인할 수 있으며, 분석가는 몇 초 만에 결론을 확정하거나 수정할 수 있습니다. 
• 둘째, 문서화된 추론 과정이 바로 자율적인 종결의 정당성을 확보하는 핵심입니다. 감사팀이나 규정 준수팀이 "왜 이 사건은 사람의 검토 없이 종결되었습니까?"라고 물을 때, "AI가 그렇게 말했습니다"라는 답변이 아니라, 분석가들이 적용했을 판단과 동일한 완전하고 추적 가능한 추론 과정을 제시할 수 있습니다.

확장성 역설 해결하기

대부분의 SOC 책임자들이 직면하는 역설은 바로 이것입니다. 분석가의 가장 많은 관심이 필요한 사례들이 오히려 가장 적은 관심을 받는다는 것입니다. 왜냐하면 일상적인 사례들이 너무 많아 가용한 인력을 모두 소진해 버리기 때문입니다.

일반적인 SOC의 대기열이 어떤 모습일지 생각해 보세요. 아마도 60~701건의 TP3T 사례는 단순한 오탐, 무해한 패턴, 노이즈가 많은 규칙으로 인한 반복 경고, 피싱 시뮬레이션일 것입니다. 

숙련된 분석가는 이러한 정보를 살펴보고 5분 이내에 결정을 내릴 수 있지만, 여전히 케이스를 열고, 추가 정보를 검토하고, 이력을 확인하고, 결정을 문서화하고, 티켓을 닫아야 합니다. 하루에 수백 건의 케이스가 발생한다고 가정하면, 선임 분석가들은 자신의 전문 지식이 필요하지 않은 업무에 대부분의 시간을 허비하게 됩니다.

한편, 심층 조사가 필요한 사례, 새로운 패턴, 모호한 지표, 실제 문제의 초기 단계일 수 있는 경고는 팀이 일상적인 업무를 처리하는 동안 처리되지 않고 쌓여만 갑니다. MTTD와 MTTR이 저하되는 이유는 팀의 속도가 느려서가 아니라 팀이 업무에 파묻혀 있기 때문입니다.

히어로 AI 판결 에이전트를 소개합니다

판결 대리인 인간 수준의 추론으로 기계적인 속도로 일상적인 판결을 처리함으로써 이러한 악순환을 끊습니다. AI 에이전트 Verdict Agent는 사례를 풍부하게 만들고 과거 맥락, 지식 기반(KB) 문서 및 분석가 선례를 기반으로 평가하여 명백한 사항에 대해서는 자신 있게 처리하고, 피로감이나 편법 없이 매번 완벽한 문서화를 통해 작업을 수행합니다. 이를 통해 분석가들은 모호한 사례, 새롭게 나타나는 패턴, 실제로 인간의 두뇌가 필요한 조사와 같이 중요한 부분에 시간을 집중할 수 있습니다.

이는 대부분의 AI 마케팅이 약속하지만 좀처럼 실현하지 못하는 확장성 확보의 핵심입니다. 왜냐하면 대부분의 접근 방식은 모든 것을 처리하는 단일 모델로 문제를 해결하려고 하기 때문입니다. 스윔레인 터빈 에이전트 기반 AI 아키텍처가 바로 이 시스템의 핵심입니다. TI 에이전트는 이미 정보를 종합했고, MITRE 에이전트는 이미 기술과 대응책을 파악했으며, 조사 에이전트는 이미 계획을 수립했습니다. 최종 판결 에이전트는 모든 추론 과정을 한 번에 처리하는 대신, 세 개의 전문 에이전트가 미리 처리한 고품질의 맥락 정보를 활용하여 최종 결정을 내립니다.

스윔레인 터빈에 대해 자세히 알아보세요

인간의 참여를 유지하는 AI 거버넌스를 위한 4단계

저는 거버넌스 문제를 직접적으로 다루고 싶습니다. CISO와 컴플라이언스 팀에게 있어 이 부분이 가장 중요한 논의 주제라는 것을 잘 알고 있기 때문입니다. AI 에이전트가 사람의 검토 없이 사건을 종결하는 것은 효율성 측면에서는 좋아 보이지만, 거버넌스 측면에서는 결코 가볍게 볼 수 없는 문제입니다. 에이전트가 잘못된 판단을 내리면 어떻게 될까요? 감사자가 방법론에 의문을 제기하면 어떻게 될까요? 규제 기관이 의사 결정 과정을 이해하고 싶어 한다면 어떻게 해야 할까요?

제가 생각하는 방식은 다음과 같으며, 이는 제가 여러 AI 구현에서 사용해 온 프레임워크입니다.

1. 섀도우 모드 벤치마킹부터 시작하세요

우선, 처음부터 자율적인 결과 도출을 목표로 해서는 안 됩니다. 분석가와 함께 에이전트가 결과를 도출하는 섀도우 모드부터 시작해야 합니다. 에이전트가 자체적인 판단을 내리고, 분석가도 독립적으로 판단을 내린 후, 그 결과를 비교하는 것입니다. 이것이 바로 제가 이 시리즈에서 계속 강조해 온 벤치마킹 단계입니다. 스윔레인은 에이전트가 자율적인 결과를 신뢰하기 시작하기 전에 약 35,000건의 인간 조사 결과를 바탕으로 에이전트의 성능을 벤치마킹했습니다. 이 단계는 건너뛸 수 있는 지름길이 아닙니다.

2. 점진적 자율성 단계 정의

둘째, 자율 종료는 전면적인 방식이 아닙니다. 단계별로 설정할 수 있습니다. 특정 사례 유형에 대해 상담원이 분석가의 판단과 98% 이상 일치하는 경우 자동 종료 후보가 됩니다. 일치율이 90%인 경우에는 분석가가 원클릭으로 확인할 수 있도록 결과가 제시됩니다. 상담원이 확신도가 낮다고 표시하거나 해당 사례 유형에 대한 벤치마킹이 충분하지 않은 경우에는 담당자가 직접 조사합니다. 이는 스위치처럼 이분법적으로 작동하는 것이 아니라, 스펙트럼처럼 단계적으로 발전하는 방식입니다.

3. 전체 추론 과정을 기록하십시오. 

셋째, 모든 자율적 판결에는 사건 기록에 전체 추론 과정이 문서화됩니다. 보강 데이터, TI 합성, MITRE 매핑, 기존 선례, 참조된 기술 자료 문서, 그리고 판결로 이어진 구체적인 논리까지 모두 포함됩니다. 사건을 재개하거나 재검토해야 하는 경우에도 조사 기록이 완벽하게 보존됩니다. 감사자가 질문을 할 경우, 답변을 추적할 수 있습니다. 이것이 바로 AI 기반 판결이 현행 방식보다 더 방어력이 뛰어난 이유입니다. 현재 대부분의 보안 운영 센터(SOC)에서는 종결된 사건에 대한 "문서화"가 "위조 - 종결"이라는 한 줄짜리 분석가 메모에 불과하기 때문입니다. 판결 에이전트는 시간 압박 속에서 대부분의 사람이 작성하는 것보다 훨씬 더 철저한 기록을 생성합니다.

4. 지속적인 피드백 루프를 구현하십시오.

넷째, 그리고 이것이 가장 중요한데, 피드백 루프를 구축해야 합니다. 자동 종료된 사례가 다시 열리거나, 분석가가 판결을 번복하거나, 패턴이 변경될 때 해당 데이터가 시스템에 다시 반영됩니다. 이렇게 하면 조직의 지식이 지속적으로 수집되고 정제되어 분석가의 머릿속에만 갇혀 퇴사할 때 사라지는 것이 아니라, 시간이 지남에 따라 상담원들의 역량이 향상됩니다.

결론: 반응적 대응에서 전략적 자율성으로

이 시리즈는 다음과 같은 간단한 명제에서 시작되었습니다. AI SOC 하나의 거대한 마법 모델이 아닙니다. 분석가 워크플로의 각 단계에 대응하는 여러 AI 에이전트로 구성된 시스템이며, 시간이 지남에 따라 이러한 에이전트들이 모여 더 큰 비중을 차지하게 됩니다.

이 시리즈에서 다룬 네 가지 에이전트는 훨씬 더 큰 규모의 에이전트 생태계의 일부입니다. 스윔레인 마켓플레이스, 또한 자체 에이전트를 구축할 수 있는 기능도 제공합니다. 터빈 캔버스. 이 시리즈에서 다른 건 몰라도 이것 하나만은 기억해 두세요. AI SOC는 기존 팀을 대체하는 것이 아닙니다. 기존 팀이 일상적인 업무를 대신 처리하고 진정으로 중요한 업무에 집중할 수 있도록 상호 연결된 AI 에이전트 네트워크를 구축하는 것입니다.