AI를 활용한 전 과정 조사 기획 가이드

AI를 활용한 전 과정 조사 기획 가이드

이 시리즈를 꾸준히 따라오셨다면, 스윔레인(Swimlane)의 에이전트 두 명을 다뤘다는 것을 아실 겁니다. 히어로 AI 지금까지 보유한 함대: MITRE ATT&CK & D3FEND 에이전트 공격과 방어를 설명하는 방식을 표준화하는 것, 그리고 위협 인텔리전스 에이전트 다양한 출처의 정보를 종합하여 단일하고 설명 가능한 평가를 도출합니다. 

두 가지 요소 모두 실제 문제를 해결하지만, 그것들은 입력값일 뿐입니다. 그것들은 맥락을 만들어냅니다. 그 맥락을 바탕으로 다음에 어떤 일이 벌어지느냐에 따라 조사가 성공하거나 실패하게 됩니다.

여기가 바로 그곳입니다 수사관 이 부분이 바로 제가 가장 기대하는 부분인데, 함대 개념이 이론적인 단계를 넘어 실질적인 결과물을 만들어내기 시작하는 지점이기 때문입니다. 

또한, 점진적 신뢰가 진정으로 중요해지는 지점이기도 합니다. 상담원이 지표를 보강하거나 공격 및 대응 기법을 분석할 때는 실수의 파급 효과가 미미합니다. 하지만 상담원이 조사 계획을 수립하고, 타임라인을 생성하고, 차단 조치를 권고하는 경우에는 상황이 완전히 달라집니다. 

기준은 더 높아졌고, 위험 부담도 더 커졌으며, 신뢰를 얻는 방식도 달라졌습니다.

하지만 중요한 점은, 이 에이전트가 모든 SOC 리더가 실제로 원하는 결과를 달성하도록 도와준다는 것입니다. 명백한 문제들은 자동으로 해결해 주기 때문에 팀은 중요한 일에 집중할 수 있습니다.

컨텍스트 전환세

본론으로 들어가기 전에, 히어로 AI Investigation Agent는 효과가 있습니다. 이 도구가 해결하는 문제에 대해 이야기해 봅시다. 보안 운영에서 생산성을 저해하는 가장 과소평가된 요소 중 하나라고 생각하기 때문입니다.

경보가 발생하고 분석가가 조사에 착수할 때, 그들은 단 한 가지 일만 하는 것이 아닙니다. 

• 그들은 SIEM에서 경고 컨텍스트를 가져오고 있습니다. 또한 위협 인텔리전스(TI) 플랫폼에서 지표의 평판을 확인하고 있습니다. 
• 그들은 과거 티켓 기록을 확인하여 해당 호스트 또는 사용자가 이전에 나타난 적이 있는지 살펴보고 있습니다. 
• 그들은 공격 패턴을 이해하기 위해 MITRE 프레임워크를 참조하고 있습니다. 
• 그들은 공식 대응 절차가 어떻게 되어 있는지 확인하기 위해 작전 매뉴얼을 참조하고 있습니다.
• 그들은 진행하면서 메모를 작성합니다. 그리고 나서 그 모든 작업을 바탕으로 권고안을 제시하고, 문제를 상위 부서에 보고하고, 조치를 취하고, 종결합니다.

각 단계는 서로 다른 도구, 탭 또는 워크플로에 존재합니다. 분석가는 통합 계층 역할을 하며, 이러한 통합의 비용은 컨텍스트 전환에 있습니다. 분석가는 도구를 전환할 때마다 추진력을 잃게 됩니다. 다시 방향을 잡고, 다시 읽고, 다시 맥락을 파악해야 합니다. 

스위칭 작업은 20~40%에 달하는 생산적인 시간을 소모할 수 있으며, SOC 팀을 운영해 본 제 경험에 비추어 볼 때 조사 작업의 경우 이는 보수적인 추정치입니다.

조사 에이전트는 선임 분석가가 하는 일을 단일 인터페이스에서 수행함으로써, 여러 도구를 오가며 작업해야 하는 인지적 부담을 없애줍니다.

수사관의 업무 방식

수사관은 팀의 "두뇌" 역할을 합니다. AI SOC, 그리고 그러한 관점은 실제로 작동 방식을 살펴보면 타당합니다. 그것은 독립적으로 작동하는 것이 아니라, 함대에 속한 다른 세 요원의 고품질 출력물을 수집하여 완전한 조사로 종합합니다.

조사 및 대응 요원 워크플로

에이전트는 먼저 원시 경고 데이터, 추가 정보 및 컨텍스트를 포함하여 사용 가능한 모든 사례 입력을 가져옵니다. 그런 다음 TI 에이전트의 통합된 교차 소스 분석, MITRE 에이전트의 기술 및 대응책 매핑, Verdict 에이전트의 예비 평가를 계층화합니다. 

그것이 바로 지능의 기반입니다.

그런 다음 대부분의 자동화 도구가 하지 않는 작업을 수행합니다. 바로 고객이 정의한 운영 매뉴얼과 기술 자료 문서를 기준으로 모든 데이터를 평가하는 것입니다. 여기서 조직의 지식이 중요한 역할을 합니다. 문서화된 절차, 과거 사고에서 얻은 교훈, 그리고 팀이 오랜 시간 동안 축적해 온 암묵적인 지식이 모두 포함됩니다. 

이 에이전트는 NIST 사고 대응 프레임워크를 기반으로 하며, 보안 팀 전체에서 보편적으로 이해할 수 있는 구조의 출력을 제공합니다.

수사 결과: 4단계 대응 계획

그 결과, 네 단계로 구성된 우선순위 대응 계획이 수립되었습니다. 

1. 방지: 위협이 확산되는 것을 막으세요.
2. 근절: 근본 원인을 제거하세요
3. 회복: 정상 작동을 복원합니다.
4. 경화: 재발 방지

각 권장 사항은 "추가 조사를 고려해 보세요"와 같은 모호한 내용이 아니라, 분석가가 실행할 수 있는 구체적인 다음 단계이거나, 신뢰가 쌓이면 플랫폼이 자율적으로 실행할 수 있는 내용입니다.

조사 과정에서 담당자는 단일 통합 인터페이스를 통해 조사 요약, 타임라인 및 권장 조치를 생성합니다. 탭 전환이나 수동 상관 관계 분석, 도구 전환 시마다 컨텍스트를 재구성할 필요가 없습니다. 분석가는 전체적인 상황과 명확한 계획을 얻을 수 있습니다.

이것이 바로 AI SOC 벤치마킹의 진정한 실상입니다.

자, 이제 제가 정말로 시간을 들여 설명하고 싶은 부분입니다. 왜냐하면 이 시리즈 전체에서 가장 중요한 개념이고, 수사관이라는 인물을 통해 그 개념이 구체화되기 때문입니다.

저는 이전 게시글들을 통해 SOC에서 AI가 유용하기 위해 완벽할 필요는 없다고 말해왔습니다. AI는 인간 수준 또는 그 이상의 결과를 도출하고, 분석가가 추론 과정을 검증할 수 있도록 충분한 설명력을 갖추면 됩니다. 이를 입증하는 방법은 벤더의 데모나 마케팅 문구가 아니라, 자체 데이터를 기반으로 자체 분석가와 벤치마킹하는 것입니다.

스윔레인은 자체 SOC에서 바로 이러한 작업을 수행했습니다. 약 35,000건의 실제 사례, 실제 결정, 실제 분석가 메모를 데이터 세트로 활용하여 에이전트의 출력 결과를 벤치마킹, 검증 및 조정했습니다. 이는 실험실 수준의 작업이 아닙니다. AI가 권장하는 내용과 경험 많은 분석가가 실제로 내린 결정을 대규모로 사례별로 비교하는 것입니다.

스윔레인 AI SOC 사례 연구

AI SOC 팀을 위한 팁

이는 제가 AI 도입 관련 팀과 협업할 때마다 항상 강조하는 방법론입니다.

원자료부터 시작하세요. 과거 거래 내역과 이를 기록한 애널리스트 보고서가 필요합니다. 왜 어떤 사안이 종결되거나, 확대되거나, 혹은 무해한 것으로 판명되었습니다. 중요한 것은 결과뿐 아니라 그 과정, 즉 "왜" 그런 일이 일어났는지에 대한 추론입니다. 

분석 담당자들이 단 한 단어로 된 메모를 남기고 티켓을 마감한다면, AI 문제를 해결하기 전에 문서화 문제를 먼저 해결해야 합니다. 이미 지식 기반과 운영 매뉴얼이 있다면, 조사 에이전트가 이를 기반으로 사례를 평가할 수 있습니다. 없다면, AI를 사용하여 기존 사례를 기반으로 지식 기반과 운영 매뉴얼을 생성할 수 있습니다. 

저는 이 작업을 위해 Claude Sonnet을 사용했을 때 좋은 결과를 얻었습니다. 분석가 메모가 포함된 과거 티켓 데이터를 일괄적으로 입력하고, 패턴, 의사 결정 기준 및 대응 절차를 구조화된 기술 자료 문서로 추출하도록 하면 됩니다. 이를 시작 지식 기반으로 삼고 거기서부터 다듬어 나가면 됩니다.

그다음에는 반복 작업을 진행합니다. 분석가들과 함께 조사 에이전트를 실행하고, 에이전트가 제시하는 조사 계획, 일정, 권장 조치를 팀이 자체적으로 작성한 내용과 비교합니다. 일치하는 부분, 다른 부분, 그리고 그 이유를 추적합니다. 

패턴을 찾아보세요. 에이전트가 데이터 보강에는 일관적으로 더 철저하지만, 숙련된 분석가가 포착할 만한 맥락 정보를 놓치는 경우가 있습니까? 에이전트가 권장하는 격리 조치가 팀에서 동의하는 경우가 자주 있습니까?

그러한 벤치마킹 과정을 통해 상담원은 더 많은 자율성을 얻을 자격을 갖추게 됩니다. 첫날부터 바로 바뀌는 것이 아니라, 점진적인 신뢰를 쌓아가는 과정입니다.

인공지능 지식의 기초를 다지세요

마지막으로 실질적인 조언을 드리고 싶습니다. 제가 보기에 대부분의 조직이 어려움을 겪는 부분이 바로 이 지점입니다. 그들은 자동 계약 체결이라는 결과만 원할 뿐, 그 결과를 가능하게 하는 지식 기반을 간과합니다.

조사 에이전트의 성능은 사례 평가에 사용하는 운영 매뉴얼과 지식 기반 문서의 질에 달려 있습니다. 만약 조직의 지식이 선임 분석가들의 머릿속에만 존재한다면 (솔직히 말해서 대부분의 보안 운영 센터가 그렇습니다), 에이전트는 좋은 권고안을 제시하는 데 필요한 맥락을 확보하지 못하게 됩니다. 

팀이 특정 사건 유형을 실제로 처리하는 방식에 맞춘 맞춤형 계획 대신 일반적인 조사 계획을 받게 될 것입니다.

해결책은 생각보다 간단합니다. 최근 6~12개월 동안 처리된 티켓을 확인하세요. 분석가 의견이 제대로 기록된 티켓에 집중하세요(의견이 일관적이지 않더라도 정상입니다). AI를 활용하여 공통 패턴을 추출하세요. 어떤 유형의 알림이 이러한 사례를 발생시켰는지, 어떤 추가 조치가 취해졌는지, 일반적인 의사 결정 기준은 무엇이었는지, 그리고 어떤 조치가 권장되었는지 등을 파악하세요. 

해당 내용을 기술 자료 문서와 운영 매뉴얼로 구성하세요. 완벽할 필요는 없습니다. 상담원들이 참조할 수 있고 팀에서 시간이 지남에 따라 개선할 수 있는 출발점이 필요합니다.

저는 여러 환경에서 이 작업을 수행해 봤는데, 결과는 놀라울 정도로 일관적입니다. 지식 기반을 구축하고 섀도우 모드로 에이전트들을 운영한 후 몇 주 안에 에이전트들이 분석가들이 수행했을 법한 조사 계획과 일치하는 결과를 생성하기 시작합니다. 

벤치마킹을 시작한 지 몇 달 안에 자동 마감 후보를 처음으로 식별할 수 있습니다. 한 분기 안에 1단계 사례의 상당 부분을 자율적으로 마감할 수 있게 되어 분석가들은 실제로 사람의 판단이 필요한 조사에 시간을 할애할 수 있게 됩니다.

이것이 바로 AI SOC입니다. 첫날부터 팀을 대체하는 마법 같은 모델이 아닙니다. 각자 한 가지 일을 탁월하게 수행하고, 서로 정보를 주고받으며, 시간이 지남에 따라 더 큰 영향력을 행사할 자격을 얻는, 목적에 맞게 설계된 에이전트들의 집합입니다. 조사 에이전트는 이 모든 것이 통합되는 곳이며, 투자 수익률(ROI)이 실제로 실현되는 곳입니다.

이번 시리즈의 마지막 글에서는 최종 결정을 내리는 '판결 담당자'에 대해 다루겠습니다. 조사 담당자가 두뇌 역할을 한다면, 판결 담당자는 최종 결정을 내리는 사람입니다. 기대해 주세요.