01. AI Driven SOC, TI와 ASM기반 자동화 대응 체계
현대 사이버보안 환경은 전례 없는 변화의 물결을 맞이하고 있다. 보안관제센터가 일 평균 처리하는 알림은 인간의 처리속도를 초과했으며, 인간의 대응에 의존하면 보안 관제센터의 운영모델은 근본적인 변화가 요구된다. 특히 보안 기술의 성숙도가 다른 대응인력에 의한 휴먼 에러 및 차등대응으로 인해 대규모 보안 이벤트 및 대응기술 편향에 대한 이슈는 지속적으로 문제를 야기했다.
이러한 환경 속에서 AI 기술 발전은 비즈니스 생태계에 새로운 게임 체인저로 자리잡았다. 조직 내 최소 하나 이상의 비즈니스 기능에서 AI를 사용한다고 응답한 비율이 전년도 78%에서 올해 88%로 증가했다. 특히 주목할 만한 것은 생성형 AI와 에이전트 시스템의 성숙도다. 23%의 응답자라 자신의 조직이 기업 내에서 Agentic AI 시스템을 확장하고 있다고 밝혔다.
현대 SIEM 플랫폼과 XDR 솔루션은 일반적인 위협에 맞춤화된 사전 구축된 탐지 규칙 라이브러리를 제공하여, 이전에는 모든 것을 처음부터 작성해야 했던 SOC 분석가들의 시간을 절약했다. 이 단계에서는 여러 보안 도구의 통합과 SOAR 플랫폼을 통한 플레이북 기반 자동화가 도입되었다. 그러나 근본적인 한계는 여전히 존재했다. XDR의 발전에도 불구하고 실제 위협 조사 워크플로우는 기존 체계와 유사하게 유지되었다. 도구들이 더 잘 통합되고 한눈에 더 많은 데이터를 확인할 수 있게 되었지만, 분석 프로세스는 여전히 수동 상관관계와 숙련된 분석가의 전문성에 의존했다.
[그림 1-1] Gartner Hype Cycle for Security Operations 2025 (출처 : Gartner)
이러한 SOC 환경에서 대형 언어 모델과 자율 AI 에이전트의 도입은 새로운 전환을 맞이했다. [그림 1-1]과같이 ‘가트너의 2025년 보안 운영 하이프 사이클‘에 따르면 위협 노출 관리, 위협탐지 및 조사·대응, 보안운영을 위한 AI 사용 사례 확대라는 핵심 주제를 기반으로 보안 자동화 확장을 요구하고 있다.
결국 이러한 환경적인 변화에 따라 LLM과 자율 AI 에이전트는 로그 요약, 알림 분류, 위협 인텔리전스, 인시던트 대응, 보고서 생성, 자산 발견, 취약점 관리 등의 역량을 강화하는 데 강력한 잠재력을 보여주고 있다. 이 단계의 핵심은 단순한 자동화를 넘어선 자율성의 구현이다. 보조적 AI가 주로 인간 분석가의 행동을 지원하는 반면, Agentic AI는 더 나아가 독립적으로 작업을 식별하고, 추론하며, 동적으로 실행하여 목표를 달성할 수 있다.
[표 1-1]에서도 AI를 통한 보안 생태계의 변화를 바람이 느껴지고 있다. Gartner에서는 AI의 폭발적인 증가로 인해 복잡성이 증가하고 이로 인해 필연적으로 자율 보안의 필요성을 이야기하고 있다. ‘Top Strategic Technology Trends for 2026’을 통해서 AI 중심의 초연결 사회에서 기업의 혁신, 경쟁, 신뢰 확보 방안을 모색하기 위해서 The Architect, The Synthesist, The Vanguard라는 주제를 통해 신뢰할 수 있는 안전한 AI 생태계를 통한 새로운 가치창출을 기대하고 있다. 특히 Preemptive cybersecurity(선제적 사이버 보안)과 AI security platforms(AI 보안 플랫폼)을 통해서 AI기반의 보안 운영 및 자율 사이버 면역체계 기반의 재해복구 체계를 통한 사전 대응을 강조하고 AI 관련 위험으로 부터 보호하기 위한 기술 제공의 필요성을 이야기 하고 있다.
이와 같은 생태계의 변화는 공격과 방어에서 AI가 기본단위로 적용되었기 때문에 CTEM과 ASM기반의 Exposure 중심 보안과 AI보안 신뢰성 확보가 중요하다는 것을 의미한다. 이를 위해서는 AI-Augmented DevOps/AI Agents와 AI-Native Threat Intelligence로 보안 위협을 대응할 수 있는 새로운 대응체계가 필요하다.
[표 1-1] Top Strategic Technology Trends for 2025 & 2026 (출처 : Gartner)
AI기술의 변화에 따라 SOAR, EDR, NDR, Threat Intelligence 등의 기반 기술들을 토대로 새로운 AI 기반의 SOC가 요구된다. 하위 기술들 역시 딥페이크, AI 피싱, 자동화된 공격에 대응하기 위해서 AI Native Threat Intelligence를 통해서 AI 공격표면관리가 필요해졌다. 특히 SOC환경에서는 AI Agent 기반 대응 자동화를 통해 Automation SOC를 넘어 Autonomous SOC가 요구된다. [그림 1-2]와같이 기존의 보안관제 생태계의 발전 방향은 DIA를 통해 높은 가시성(Deep Visibility)과 Threat Actor 프로파일링을 통한 AI Native Threat Intelligence, Autonomous SOC로 변화하고 있다.
이러한 패러다임의 변화는 단순히 경보 조치 자동화 수준을 넘어, AI가 위협 분석·대응·사후 복구까지 전 주기를 스스로 최적화하는 ‘자율 방어 생태계(Self-Adaptive Defense Ecosystem)’로의 전환을 의미한다. 즉, 보안 시스템은 탐지된 위협에 대한 대응만 수행하는 것이 아니라, 미래 공격 가능성을 예측해 선제적 방어 정책을 수립하고, 자산과 위협의 변화를 실시간으로 학습하며, 조직 특성에 맞는 위험 기반 의사결정을 지속적으로 재조정해야 한다.
[그림 1-2] Gartner Hype Cycle for Security Operations 2025 (출처 : Gartner)
IGLOO Corp. 2025. All rights reserved.