보안관제센터(SOC)의 진화와 인공지능(AI)이 어떻게 운영 방식을 혁신하고 분석가의 효율성을 높이며, 점점 더 정교해지는 사이버 위협에 맞서 고객의 보안 상태를 강화하는지 알아보세요.
지난 15년간 보안관제센터(Security Operation Centers, SOC)는 수많은 변화를 겪어왔습니다. 사이버 공격이 끊임없이 진화함에 따라 SOC에서 사용하는 기술 역시 지속적으로 수정되고 업그레이드되어야 했으며, 분석가들의 기술 수준 역시 함께 진화해왔습니다.
초기 SOC는 위협을 탐지하고 분석하여 대응하기 위해 SIEM(Security Information and Event Management) 플랫폼을 활용했습니다. 이후 몇 년이 지나며 SOC는 위협 사냥(Threat Hunting) 및 위협 인텔리전스(Threat Intelligence)를 통해 더욱 적극적으로 위협을 예측하고 방어하는 방향으로 발전했습니다.
최근 몇 년 사이 SOC에서는 보안 자동화 및 오케스트레이션이 필수 요소로 자리 잡았습니다. 특히 SOAR(Security Orchestration, Automation, and Response) 플랫폼이 반복적인 업무를 효율화하고, 대응 속도를 높이며, 작업 흐름을 자동화하는 핵심 기술로 자리매김했습니다.
이러한 도구들이 분석가들에게 고객의 보안 상태에 대한 가시성을 높이고 위협 대응을 돕는 데 큰 역할을 했지만, 분석가들의 업무와 책임은 오히려 증가했습니다.
최근에는 AI가 가장 중요한 기술 트렌드로 등장했습니다. 안타깝게도 AI 기술이 발전하면서 악의적인 공격자들 역시 더욱 빠르게 피해를 일으킬 수 있게 되었습니다. 2026년까지 악의적 공격자들은 다음과 같은 일을 순식간에 수행할 수 있을 것으로 예상됩니다
- 랜섬웨어 제작: 15분 이내
- 침투 및 데이터 유출: 20분 이내
- 취약점 공격: 60분 이내
1시간도 채 안 되어 새로운 위협이 출현하고 실행되는 환경 속에서 SOC는 다시 한번 변화를 요구받고 있습니다. 이런 환경 변화로 인해 SOC 분석가들은 높은 경고 빈도와 복잡해진 공격 벡터로 더욱 스트레스를 받는 업무 환경에 처하게 될 것입니다.
Gruve에서는 AI를 활용하여 SOC 분석가들이 마주한 두 가지 핵심 과제를 지속적으로 해결하고자 합니다.
- SOC 분석가의 번아웃 방지
- 고객의 보안 상태(security posture) 지속적 향상
SOC의 핵심은 바로 분석가들입니다. 그러나 경고, 이벤트, 사고, 티켓의 양은 숙련된 분석가조차 압도될 정도로 많습니다. 또한, AI 기반의 공격이 늘어남에 따라 SOC 분석가들이 경험하는 업무 강도와 스트레스는 더욱 심해질 것입니다. Gruve는 AI를 활용해 SOC 분석가들의 업무 환경을 효율적이고 지속 가능한 형태로 만들기 위해 적극적으로 노력하고 있습니다.
첫 번째 목표는 분석가들이 업무에 집중하면서도 충분한 휴식을 취할 수 있도록 지원하는 것입니다. 일반적인 SOC 근무시간은 8시간이지만, 분석가들은 업무 교대 시점의 지식 전달(knowledge transfer)을 위해 일찍 출근하거나 늦게 퇴근하는 일이 잦습니다. AI 기반의 공격이 증가할수록 이 문제는 더 심각해질 것입니다. 이를 해결하기 위해 Gruve는 AI 기반의 보안 솔루션으로 업무 교대 과정을 최적화하여, 분석가들이 업무 시간 동안 온전히 핵심 업무에 집중하고 개인의 휴식 시간을 보장할 수 있도록 지원합니다.
또한, Gruve는 분석가들이 필요한 기술적 지원을 AI를 통해 제공받도록 하는 방법도 연구 중입니다. 특히 신입 분석가들은 동료에게 질문하기를 주저하며 혼자 해결하려다 심한 스트레스를 겪는 경우가 많습니다. AI는 이러한 문제를 해결하기 위한 안전하고 포용적인 포럼을 제공해, 분석가들이 부담 없이 실시간으로 가이드를 받을 수 있게 지원할 것입니다.
Gruve는 고객의 보안 상태를 지속적으로 높이기 위해, SOC 분석가들이 변화하는 IT 보안 환경에 대한 이해를 높일 수 있도록 AI를 적극 활용하고 있습니다. 현재 수백 가지의 보안 제품과 솔루션이 존재하며, 매년 새로운 제품이 등장하는 환경에서, 분석가들이 이러한 도구가 어떻게 작동하며 상호 통합되는지를 정확히 이해하는 것은 매우 중요합니다. 또한 각 IT 보안 영역에서 생성되는 다양한 로그(를 분석가가 깊이 이해하는 것도 필수입니다.
Gruve가 집중하는 주요 IT 보안 영역은 다음과 같습니다:
- 사용자 및 기기 보안(User and Device Security)
- SASE/Security Services Edge
- SDWAN
- 네트워크 보안(Network Security)
- 애플리케이션 보안(Application Security)
- 데이터 보안(Data Security)
Gruve는 분석가의 교육과 기술 개발을 위해 AI를 도입하여, 분석가들이 단순히 위협과 경고를 식별하는 것을 넘어, 고객에게 구체적이고 실행 가능한 위협 완화 방안을 제시할 수 있도록 역량을 강화하고자 합니다.
또한 SIEM과 SOAR와 같은 SOC 기반의 기존 제품 및 솔루션에서 AI 기능을 활성화하고 최적화하기 위한 연구를 지속하고 있습니다. Gruve가 설정한 AI의 효과성 기준은 다음과 같습니다:
- 오탐(false positives)의 감소를 통해 실제 위협에 집중
- 이벤트 우선순위 지정 개선으로 효율적인 대응 가능
- 분석가들이 AI 도구를 적극 활용해 의미 있는 인사이트 확보 가능성 증대
AI는 새로운 사이버 공격을 만드는 데도 악용될 수 있지만, Gruve의 SOC는 AI를 오히려 긍정적인 영향력을 발휘할 수 있는 방향으로 철저히 활용할 것입니다. Gruve의 SOC 혁신은 바로 분석가 중심으로 시작됩니다.
Gruve는 SOC 분석가들이 다가올 사이버 위협에 철저히 대비하고 고객이 최상의 보호를 받을 수 있도록 AI로 분석가들을 철저히 지원할 계획입니다. AI의 혜택을 온전히 활용할 수 있도록 SOC 분석가들에게 힘을 실어주는 환경을 만드는 것이 Gruve의 목표입니다.