SOC에서의 에이전트형 AI: 자율적 의사결정에 대한 설명

SOC에서의 에이전트형 AI: 자율적 의사결정에 대한 설명

많은 SOC 팀들이 올바른 업무를 수행하고 있지만, 그 과정에서 수작업이 너무 많이 이루어지고 있습니다. 

분석가들은 경고를 검토하고, 상황 맥락을 수집하고, 위험을 검증하고, 조사 결과를 문서화하고, 대부분의 팀이 오랫동안 유지할 수 없는 속도로 사건을 처리해야 합니다. 

이러한 이유로 SOC 책임자들은 경보량 증가, 분석가 업무량 증가, 반복적인 조사 작업으로 인해 대응 속도와 일관성에 대한 압박이 가중됨에 따라 에이전트형 AI에 더욱 주목하고 있습니다. 에이전트형 AI는 AI가 단순한 분석 보조를 넘어 더 많은 역할을 수행하는 운영 모델을 제시합니다. 

이 시스템은 워크플로 내에서 정의된 작업을 수행할 수 있습니다. 예를 들어 경고를 분류하고, 연결된 도구에서 증거를 가져오고, 승인된 다음 단계를 선택하고, 작업 진행 상황에 따라 사례를 업데이트할 수 있습니다.  

즉, 응답 프로세스 내에서 정의된 작업을 처리함으로써 업무 진행을 돕는다는 의미입니다.

이는 SOC를 자율 기계에 넘겨준다는 의미가 아닙니다. 반복적인 수작업을 줄이고, 일관성을 향상시키며, 분석가들이 실제로 인간의 판단이 필요한 사건에 더 많은 시간을 할애할 수 있도록 지원한다는 의미입니다.

SOC에서 에이전트형 AI란 무엇인가요?

Swimlane은 SOC에서 에이전트형 AI를 관리되는 보안 워크플로우 내에서 작동하는 AI 에이전트로 접근합니다. 이러한 AI 에이전트는 분석에만 머무르지 않고 정의된 작업을 수행할 수 있습니다. 

그 정의가 중요한 이유는 SOC에 있는 모든 AI가 동일한 방식으로 작동하는 것은 아니기 때문입니다. 

많은 보안 팀은 이미 다양한 형태로 AI를 활용하고 있습니다. 예를 들어, 경고 점수를 매기거나, 이상 징후를 파악하거나, 검토 속도를 높이기 위해 활동 내역을 요약하는 모델을 사용할 수 있습니다. 이러한 활용 사례는 유용하지만, 여전히 사람의 후속 조치에 크게 의존합니다. 

분석가는 통찰력을 얻었고 이제 실제 작업을 수행해야 합니다. 

에이전트형 AI는 이러한 운영 모델을 변화시킵니다. 분석에 머무르지 않고, 행동으로 이어집니다. 연결된 도구에서 증거를 수집하고, 고객의 지식 기반과 확립된 사이버 보안 관행을 활용하여 조사 계획을 수립 및 실행하고, 기록을 업데이트하고, 필요한 경우 상위 담당자에게 보고하고, 사건을 진척시킬 수 있습니다.  

따라서 사람들이 AI SOC에 대해 이야기할 때, 진정한 질문은 AI가 스택 어딘가에 존재하는지 여부가 아닙니다. 더 중요한 질문은 AI가 관리되고 반복 가능한 방식으로 SOC 전반에 걸쳐 실질적인 작업을 실행하는 데 도움이 될 수 있는지 여부입니다.

“"경고 피로감은 보안 운영 센터에 여전히 큰 과제로 남아 있으며, 이로 인해 실제 위협에 대한 대응이 누락되거나 지연되는 경우가 많습니다."” 

원천: 사이버보안 및 인프라 보안국

SOC 팀이 에이전트형 AI에 주목하는 이유

에이전트형 AI의 매력은 매일같이 발생하는 수많은 경고, 반복적인 분류 작업, 수동적인 상황 정보 수집, 그리고 사건 처리에 소요되는 시간이라는 일상적인 업무 부담에서 비롯됩니다.

분석가들은 종종 필요하지만 반복적인 작업에 너무 많은 시간을 소비합니다. 

• 여러 도구에서 컨텍스트 추출 
• 경고가 무해한 것인지 여부를 검증합니다. 
• 동일한 조사 단계를 반복함 
• 환자 사례 기록 및 요약 작성 
• 수동 프로세스를 통한 문제 확대 

반복적인 수작업이야말로 이러한 상황에서 SOC 팀의 속도를 늦추는 주범입니다.   

에이전트형 AI는 제어력을 약화시키지 않으면서 부하를 줄일 때 가치가 있습니다. SOC는 이를 활용할 수 있습니다. AI 에이전트 워크플로의 반복적인 부분을 구조화된 방식으로 수행하는 것. 바로 이 지점에서 개념이 유행어에서 실질적인 운영 모델로 전환되기 시작합니다. 

에이전트형 AI vs 규칙 기반 시스템

또 다른 흔한 질문은 에이전트 기반 AI가 규칙 기반 자동화를 대체할 것인가 하는 점입니다. 

그렇지 않습니다. 

규칙 기반 시스템은 구조, 예측 가능성, 비용 효율적인 실행을 제공하기 때문에 보안 운영에서 여전히 필수적입니다. 특히 규정 준수, 확립된 프로세스, 그리고 팀이 확정적인 결과를 필요로 하는 고신뢰 자동화 경로에 매우 유용합니다. 조건이 충족되면 정의된 작업이 수행됩니다. 이러한 신뢰성은 특히 규정 준수, 반복 가능한 워크플로, 그리고 고신뢰 자동화 경로에 중요합니다. 하지만 규칙 기반 시스템에도 한계가 있습니다. 

신호가 모호하거나, 맥락이 중요하거나, 워크플로에 적응성이 필요한 경우에는 이러한 방식이 효과적이지 않습니다. 가장 효과적인 SOC 모델은 예측 가능한 자동화와 에이전트형 AI를 결합하고, 오케스트레이션 및 거버넌스를 활용하여 두 가지가 제어 하에 함께 작동하도록 하는 것입니다.

규칙 기반 자동화의 이점:

• 결정론적 워크플로우 처리 
• 반복 가능한 프로세스 단계 시행 
• 고정 임계값 및 트리거 적용 
• 100% 결과 예측 가능성  

에이전트형 AI의 장점:

• 다양한 신호에 걸쳐 맥락을 해석하기 
• 여러 단계를 거치는 조사 업무 처리 
• 승인된 워크플로 경로 중에서 선택 
• 상황이 완전히 이분법적이지 않을 때 의사결정을 지원합니다. 

가장 효과적인 SOC 모델은 이 두 가지를 모두 결합합니다. 규칙은 구조를 제공하고, 에이전트 기반 AI는 그 구조 내에서 제어된 유연성을 더하며, 스윔레인은 오케스트레이션된 워크플로, 로우코드 플레이북, 관리형 실행을 통해 이 둘을 통합합니다. 

SOC에서 AI 에이전트는 어떤 일을 하나요?

'AI 에이전트'라는 용어는 실제 업무 흐름에 적용되기 전까지는 추상적으로 들릴 수 있습니다. 

SOC(보안 운영 센터)에서 AI 에이전트는 명확하게 정의된 역할을 가져야 합니다. 일반적인 용도로 마음대로 행동하는 존재가 되어서는 안 됩니다. 특정 작업이 할당되고, 적절한 데이터 소스에 연결되며, 정책 및 워크플로 설계에 따라 제약을 받습니다.

다음은 몇 가지 실제 사례입니다. 

알림 분류 담당자 

트리아지 에이전트는 수신되는 경고를 검토하고, 고객 환경에 맞춰 조정된 SOC의 지식 기반을 활용하며, 엔드포인트, ID 관리 도구, 사례 기록 및 위협 인텔리전스 소스에서 관련 컨텍스트 정보를 수집합니다. 그런 다음 경고를 종료할지, 대기열에 둘지, 추가 정보를 수집할지, 또는 에스컬레이션할지 결정합니다. 

그렇다고 해서 아무런 제약 없이 자유로운 결정을 내린다는 의미는 아닙니다. SOC의 지식 기반을 참고하여 미리 정의된 조사 단계, 결정 기준, 워크플로 내에 설정된 에스컬레이션 경로를 따릅니다. 이 지식 기반에는 경고 분석 방법, 각 단계에서 허용되는 조치, 그리고 언제 에스컬레이션하거나 분석가에게 인계해야 하는지가 명시되어 있습니다. 

수사 지원 요원 

수사관은 관련 사건들을 수집하고, 증거들을 연관시키고, 시간 순서를 정리하고, 분석가들이 무슨 일이 일어났는지 더 빨리 이해할 수 있도록 의심스러운 일련의 사건들을 찾아낼 수 있습니다. 

분석가는 여러 콘솔을 열고 도구를 통해 수동으로 검색하는 대신, 사건에 대한 더 완전한 정보를 더 빨리 얻을 수 있습니다. 

사건 문서 담당자 

문서 담당자는 구조화된 요약을 작성하고, 수행된 조치를 기록하고, 수집된 증거를 추적하고, 상위 보고 또는 검토를 위한 인수인계 메모를 준비할 수 있습니다. 

SOC 팀이 AI를 가장 먼저 적용하는 분야 중 하나는 문서화 작업입니다. 문서화는 불일치와 분석가 피로의 가장 흔한 원인 중 하나이기 때문입니다. 분석가들은 조사 결과를 깔끔한 메모, 인수인계 요약, 감사 준비 기록으로 변환하는 데 귀중한 시간을 허비하는데, 그 시간은 판단이 필요한 중요한 결정을 내리는 데 사용될 수 있습니다.

자율적 의사결정이란 무엇인가?

“'자율적 의사결정'이라는 용어는 안보 책임자들을 불편하게 만들 수 있으며, 많은 논의에서 이 용어는 실제 의미보다 더 포괄적으로 들리는 경향이 있습니다. 

SOC에서는 자율성이 제한되어야 합니다.

즉, AI 에이전트는 보안 전략을 설정하거나 대응 정책을 고안하는 것이 아니라, 워크플로, 거버넌스 모델 및 인간의 감독에 의해 정의된 한계 내에서만 결정을 내릴 수 있다는 의미입니다. 

SOC에서 자율적인 의사 결정을 보다 정확하게 이해하는 방법은 다음과 같습니다. 시스템은 증거와 워크플로 규칙에 따라 허용된 다음 작업을 선택할 수 있습니다. 

예를 들어: 

• 경고가 알려진 오탐 패턴에 해당하고 증거가 종료를 뒷받침하는 경우 에이전트는 해당 경고를 종료할 수 있습니다. 
• 해당 활동에 의심스러운 권한 사용 및 직급 이동 징후가 포함될 경우, 담당자는 이를 상위 담당자에게 보고하고 증거를 첨부할 수 있습니다. 
• 증거가 불완전한 경우, 담당자는 추가 증거를 요청하거나 분석가 검토를 위해 증거를 전달할 수 있습니다. 

가치는 속도와 일관성을 향상시키는 데 있으며, 동시에 명확하게 정의된 경계를 통해 통제력을 유지할 수 있습니다.

“"사이버 위협의 규모와 복잡성이 증가함에 따라 조직은 탐지 및 대응을 관리하기 위한 확장 가능한 접근 방식을 채택해야 합니다."” 
원천: 사이버보안 및 인프라 보안국

에이전트형 AI가 가장 큰 가치를 제공하는 곳

모든 SOC 활동을 AI 에이전트에 맡길 필요는 없습니다. 가장 좋은 시작점은 대량으로 반복 가능하고 여러 단계를 거치는 작업입니다. 

알림 분류 

이는 가장 명확한 활용 사례 중 하나입니다. 우선순위 결정에는 시간이 많이 소요되며, 대부분 반복 가능한 논리를 따릅니다. 에이전트 기반 AI는 위험도가 낮은 노이즈와 실제로 주의가 필요한 경고를 구분하는 데 도움을 줄 수 있습니다. 

심화 학습 

보안팀은 의사 결정을 내리기 전에 여러 시스템에서 상황 정보를 수집하는 것이 일반적입니다. AI 에이전트는 이러한 정보 수집 및 상관관계 분석 작업의 상당 부분을 자동화할 수 있습니다. 

표준 조사 경로 

대부분의 문제는 동일한 질문들로 시작됩니다. 어떤 계정이 관련되어 있습니까? 해당 엔드포인트가 다른 곳에서도 발견되었습니까? 관련 경고가 있었습니까? 상담원은 이러한 질문들을 신속하고 일관되게 확인할 수 있습니다. 

사건 진행 상황 업데이트 및 문서화 

분석가들이 시간에 쫓기기 때문에 사례 관리의 질이 떨어지는 경우가 많습니다. AI 에이전트는 검토, 감사 및 지속성을 지원하는 구조화되고 읽기 쉬운 기록을 생성하는 데 도움을 줄 수 있습니다. 

이러한 영역 전반에 걸친 이점은 절대적인 정확성이 아닙니다. 더 나은 일관성을 바탕으로 운영 처리량이 향상되는 것입니다.

Swimlane은 어떻게 에이전트 기반 AI를 SOC 워크플로우에 도입하는가?

스윔레인은 개념에서 운영으로 대화를 옮깁니다. 

에이전트형 AI는 워크플로 자동화 및 오케스트레이션에 기반을 둘 때 비로소 대규모로 유용하게 활용될 수 있습니다. 바로 이 점에서 스윔레인이 중요한 역할을 합니다. 

Swimlane Turbine은 개별적인 자동화나 일회성 AI 작업 이상의 것을 필요로 하는 MSSP 및 엔터프라이즈 SOC 팀을 위해 설계되었습니다. 이 제품은 여러 기능을 통합합니다. 에이전트형 AI, 로우코드 플레이북, 다양한 도구 간의 오케스트레이션, 단일 운영 계층에서의 사례 중심 워크플로 실행을 통해 팀은 엔드투엔드 SOC 업무를 조정하고, 프로세스를 신속하게 조정하며, 운영 규모가 커짐에 따라 거버넌스와 일관성을 유지할 수 있습니다.
 
에이전트형 AI는 독립적으로 작동하는 것이 아닙니다. 그 가치는 시스템에 통합될 때 발휘됩니다. 오케스트레이션된 SOC 워크플로우 거버넌스, 빠른 워크플로 변경 및 측정 가능한 실행을 지원합니다. 

SOC에서 에이전트형 AI를 운영화하세요

SOC에서 에이전트형 AI는 일상적인 업무를 보다 효율적으로 처리할 수 있도록 지원하여 분석가들이 사건 진행에 소요하는 시간을 줄이고 중요한 판단에 더 많은 시간을 할애할 수 있도록 해야 합니다. 이를 위해서는 경고 처리 방식, 조사 진행 방식, 그리고 환경 전반에 걸쳐 조치가 실행되는 방식을 체계화해야 합니다. 

에이전트형 AI를 SOC에 어떻게 적용할지 평가하고 있다면 워크플로부터 살펴보세요. 수동 작업으로 인해 대응 속도가 느려지는 부분, 의사 결정이 일관성이 없는 부분, 그리고 상황 파악에 시간이 너무 오래 걸리는 부분을 찾아내십시오.  

그다음에는 AI가 업무를 처리하는 데 도움을 주면서도 통제권을 유지할 수 있도록 해당 영역들을 어떻게 더 효율적으로 구성할 수 있는지 살펴보세요. 목표는 복잡성이 계속 증가함에 따라 명확성, 일관성 및 속도를 갖춘 SOC를 구축하는 것입니다. 

Swimlane이 보안 팀이 엔터프라이즈 운영에 필요한 제어, 유연성 및 확장성을 갖춘 실제 SOC 워크플로에 에이전트 기반 AI를 통합할 수 있도록 지원하는 방법을 알아보세요.

자주 묻는 질문 

SOC에서 에이전트형 AI란 무엇인가요?

SOC에서 에이전트형 AI는 승인된 워크플로우 내에서 정의된 보안 작업을 수행할 수 있는 AI 에이전트를 의미합니다. 이러한 에이전트는 관리 감독 하에 운영되면서 분류, 정보 보강, 조사 및 사례 관리를 지원할 수 있습니다.

AI SOC에서 에이전트형 AI는 표준 AI와 어떻게 다른가요?

일반적인 AI는 보통 분석, 분류 또는 추천 기능을 제공합니다. 에이전트형 AI는 여기서 더 나아가 워크플로 단계를 수행하고, 승인된 다음 단계에 어떤 조치가 취해져야 하는지에 대한 제한된 결정을 내립니다.

SOC의 AI 에이전트는 완전히 자율적인가요?

아니요. 책임 있는 SOC 모델에서는 자율성이 워크플로, 정책 및 승인 제어에 의해 제한됩니다. 에이전트는 정의된 범위 내에서 활동해야 하며 그 범위를 벗어나서는 안 됩니다.

에이전트 기반 AI가 규칙 기반 보안 자동화를 대체할 수 있을까요?

아니요, 규칙 기반 자동화는 확장성이 뛰어나고 일상적인 실행 비용을 절감할 수 있기 때문에 예측 가능하고 반복적인 작업에 여전히 중요합니다. 에이전트 기반 AI는 상황, 조사 계획 및 다단계 의사 결정이 중요한 부분에서 유연성을 제공함으로써 규칙 기반 시스템과 함께 사용할 때 가장 효과적입니다.