AI 자동화 플랫폼 선택에 있어 중요한 한 사람이 빠져 있습니다.

SOC 분석가의 경험이 AI 자동화 도입 결정에 중요한 영향을 미쳐야 하는 이유

상황을 상상해 보세요. 보안 엔지니어링 팀이 몇 주 동안 AI 자동화 플랫폼을 평가합니다. 개념 증명을 실행하고, 통합 기능을 스트레스 테스트하고, 어떤 도구가 플레이북 구축을 가장 효율적으로 만들어주는지 토론합니다. 마침내 한 플랫폼을 선정합니다. 배포도 순조롭게 진행됩니다. 그런데 6개월 후, 분석가 만족도 점수는 변함이 없고, 평균 복구 시간(MTTR)도 그대로이며, 플랫폼은 마치 다른 누군가를 위해 설계된 것처럼 느껴집니다.

사실이었으니까요.

이는 조직이 AI 자동화 플랫폼을 선택할 때 저지르는 가장 흔하고 비용이 많이 드는 실수 중 하나입니다. 보안 엔지니어는 평가를 수행하고 자동화를 구축하지만, SOC 분석가는 일상적인 운영 경험을 담당합니다.

평가의 사각지대

보안 엔지니어는 통합을 구성하고, 플레이북을 작성하고, 자동화 워크플로를 설계하기 때문에 플랫폼 평가를 주도하는 것이 타당하며, 따라서 그들이 의사 결정 과정에서 중요한 역할을 해야 합니다.

하지만 현실은 이렇습니다. 일단 플레이북이 구축되고 실제 운영 환경에 적용되면 엔지니어링 팀은 한 발짝 물러납니다. 그다음은 분석가들입니다. 그들은 매일같이 압박 속에서 경고를 분류하고, 사건을 조사하고, 결정을 내립니다. 그들은 매일 플랫폼을 직접 사용하는 주된 사용자입니다.

Swimlane의 연구 결과에 따르면 보안 자동화 플랫폼에서 소요되는 시간 중 15% 미만이 오케스트레이션 및 플레이북 구축 작업에 사용됩니다. 나머지 85%는 분석가가 케이스를 처리하고, 데이터를 검토하고, 팀원과 협업하고, 사건을 해결하는 데 사용됩니다.

15%에 맞춰 플랫폼 선택을 최적화하면 다른 85%의 작업이 필요 이상으로 어려워집니다.

플랫폼은 자동화와 사례 관리를 별도의 시스템으로 분리하는 경우가 많습니다. 분석가들은 여러 도구를 오가며 작업해야 하고, 맥락 정보가 분산됩니다.

“타사 사례 관리 도구를 사용하세요.”

보안 자동화 분야의 일부 공급업체는 실제로 이것을 해결책으로 제시했습니다. 즉, 기본 기능이 분석가 경험 별로 좋지 않다면, 팀원들에게 타사 사례 관리 도구를 사용하도록 안내하고 이를 추가하세요.

이 조언은 핵심을 완전히 놓치고 있습니다.

케이스 관리는 있으면 좋은 부가 기능이 아닙니다. SOC 운영의 핵심이며, 상황 파악, 협업, 조직 지식 축적, 그리고 경영진의 상황 파악을 위한 필수적인 요소입니다. 이러한 핵심 기능을 자동화 시스템, 데이터, 워크플로와 분리된 별도의 도구로 관리한다면 근본적인 문제를 해결하는 것이 아니라, 문제를 덮어버리는 것에 불과합니다.

더 심각한 문제는 마찰이 발생한다는 것입니다. 분석가들은 이제 시스템 간에 컨텍스트를 전환하고, 데이터를 다시 입력하고, 자동화된 데이터 보강과 사람의 조사 사이의 연결 고리를 잃어버립니다. 이러한 마찰은 시간을 낭비하게 하고, 시간은 곧 돈입니다. 그리고 보안 측면에서 시간은 곧 위험을 초래합니다.

애널리스트 경험이란 무엇인가

분석가의 경험은 SOC가 경영진에게 보여주는 속도, 일관성 및 가치에 직접적인 영향을 미칩니다.

분석가 경험에 대해 이야기할 때, 우리는 단순히 깔끔한 UI나 다크 모드를 이야기하는 것이 아닙니다. 플랫폼이 분석가들이 더 적은 마찰, 더 나은 판단, 그리고 더 높은 일관성을 가지고 사건을 진행하는 데 도움이 되는지에 대해 이야기하는 것입니다. 즉, 플랫폼이 다음과 같은 점들을 제공하는지 자문해 봐야 합니다.

• 통합 사례 관리 자동화가 실행되는 동일한 플랫폼 내에 존재하며, 다른 도구로 데이터가 전달되는 방식이 아닙니다.
• A 공통 데이터 모델 이는 모든 통합 과정에서 데이터를 정규화하여 분석가가 수십 개의 도구에서 나오는 가공되지 않은 잡음이 섞인 출력 대신 일관되고 구조화된 정보를 볼 수 있도록 합니다.
• 분석가 전용 애플리케이션 분석가들이 실제로 생각하고 문제를 분류하는 방식에 맞춰 설계된 사용자 지정 필드, 맞춤형 UI 및 워크플로를 제공합니다. 엔지니어가 구축하기 가장 쉬운 방식에 초점을 맞춘 것이 아닙니다.
• 대시보드 및 보고 분석가에게 사건 상태를 실시간으로 파악할 수 있는 기능을 제공하고, 경영진에게 SOC의 가치를 입증하는 데 필요한 지표를 제공합니다.
• AI 기반 의사결정 지원 AI는 권장 사항을 제시하고, 반복적인 작업을 자동화하며, 분석가의 판단력을 강화합니다. SOC에서 AI는 분석가를 우회하는 것이 아니라, 분석가의 업무 속도와 정확성을 높여야 합니다. 최고의 구현 사례는 분석가가 실제 케이스를 처리하기 전에 이미 보유하고 있는 도구를 기반으로 보강 정보, 권장 조치, 대응 계획을 제시합니다. 최종 결정은 분석가가 내립니다. 이것이 바로 평균 복구 시간(MTTR)을 단축하고 인재를 유지하는 방법입니다.

중요한 비즈니스 성과

모든 CISO와 SOC 책임자는 경영진과 다음과 같은 비슷한 대화를 나눕니다. "SOC는 무엇을 하고 있으며, 효과가 있습니까?" 그들이 달성해야 할 비즈니스 성과는 추상적인 것이 아니라 구체적인 것입니다.

• 위험 감소 및 임무 보장
• 운영 효율성 및 규모
• 분석가 경험 및 지식 보존
• 규정 준수, 비용 절감 및 성장 촉진

분석가들이 좌절감을 느끼거나, 작업 속도가 느리거나, 플랫폼을 활용하는 대신 플랫폼을 우회하는 방식으로 작업한다면 이러한 결과는 결코 달성할 수 없습니다. 분석가 경험 ~이다 운영 효율성 향상 수단. 분석가 유지 ~이다 위험 관리 수단. 통합 사례 관리에서 얻은 지식 ~이다 기관의 회복력. 이는 무형의 이점이 아닙니다. 이사회 차원에서 측정 가능한 성과입니다.

엔지니어는 만족하지만 분석가는 불행해하는 플랫폼은 모든 목표를 달성하지 못할 것입니다.

더 나은 평가 체계

해결책은 보안 엔지니어를 평가에서 제외하는 것이 아니라, 전체 팀을 참여시키는 것입니다. 간단하게 관점을 바꿔보겠습니다.

평가 영역	엔지니어 관점	애널리스트 관점 (절대 건너뛰지 마세요)
플레이북 빌더	건물 자동화의 용이성, 로우코드 유연성, 심층적인 통합	분석가에게 결과는 어떻게 제공되나요? 추가 정보는 읽기 쉽고 실행 가능한가요?
사례 관리	필드와 데이터 구조를 사용자 지정할 수 있나요?	분류, 조사 및 결과 문서화를 한 곳에서 하는 것이 직관적인가요?
데이터 모델	통합 과정에서 수집된 데이터는 어느 정도 정규화되어 있습니까?	일관성 있고 구조화된 데이터를 보고 있는 건가요, 아니면 도구의 가공되지 않은 출력 결과를 해석하고 있는 건가요?
보고	운영 지표를 위한 맞춤형 대시보드를 구축할 수 있을까요?	내 업무량, 우선순위 대기열, SLA 상태를 한눈에 빠르게 확인할 수 있나요?
AI 기능	AI는 어떤 자동화 작업을 처리하나요?	AI는 내가 더 나은 결정을 내리는 데 도움이 되는 건가요, 아니면 단순히 대기열에 쌓이는 문의 건 수를 줄여주는 건가요?

SOC에서 가장 중요한 사용자

보안 엔지니어는 없어서는 안 될 존재입니다. 그들이 구축하는 자동화 시스템 덕분에 확장이 가능해지기 때문입니다. 하지만 보안 운영의 일상적인 흐름 속에서 플랫폼의 가장 중요한 사용자는 바로 분석가입니다. 그들은 교대 근무 시간 내내 위협을 탐지하고, 문제를 해결하고, 조직을 보호하는 사람들입니다.

통합 사례 관리, 일관된 데이터 모델, 목적에 맞게 설계된 애플리케이션, 그리고 AI가 단순히 보조적인 역할을 하는 것이 아니라 보완하는 기능을 갖춘, 조직에 적합한 플랫폼을 선택하면 사용자 경험만 개선되는 것이 아닙니다. 조직이 중요하게 생각하는 모든 결과, 즉 응답 시간 단축, 분석가 이직률 감소, 규정 준수 강화, 그리고 그 가치를 입증할 수 있는 SOC 구축까지 모두 개선할 수 있습니다.

다음번에 팀에서 보안 자동화 플랫폼을 평가할 때는 시작하기 전에 간단한 질문 하나를 던져보세요. "이 플랫폼은 실제로 누구를 위한 것인가?" 그리고 하루 중 85% 시간을 이 플랫폼에서 보내는 사람들이 의사 결정 과정에 참여하도록 하세요.