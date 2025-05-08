보안 운영 센터(SOC)는 수년 동안 위협 탐지 및 대응과 관련된 지속적인 문제에 직면해 있습니다. 이러한 문제에는 배경 노이즈에서 진짜 보안 신호를 구별하는 것, 경보 조사의 부적절한 맥락, 엔드투엔드 자동화 부족, 워크플로 병목 현상, 경보 피로감 등이 있습니다.
저는 수년 동안 보안 운영 또는 모든 형태의 사이버 위협 관리가 큰 변화를 겪어야 한다고 말해 왔습니다. 20세기 중반에 상업용 항공사에서 기계가 상업용 비행기를 조종하고 조종사는 제한된 상황에서 개입하도록 한 것처럼요. 마찬가지로 새로운 SOC는 사람의 개입을 최소화하면서 자율 운영을 실행합니다.
SOC 분석가는 SOC 파일럿이 되어 언제 어디에서 개입할지 선택하고, 가상 머신은 표준 작업을 처리합니다.
사이버 보안은 이전에는 보안 커뮤니티에서 탐지하지 못했던 소프트웨어 또는 하드웨어의 새로운 취약점이 발견되는 수수께끼 같은 "0-day" 현상과 씨름하고 있습니다. 이 개념은 출처, 시기, 방법론을 포함하여 다음 위협의 출현을 둘러싼 예측 불가능성을 요약합니다.
불확실성이 현실화되면 SOC 파일럿(인간 분석가)이 지휘권을 잡고 자신의 전문 지식을 사용하여 이러한 새로운 위협에 대응하고 무력화합니다.
그렇다면 인간의 개입을 최소화하면서 작동할 수 있는 SOC는 왜 없을까요? 수년 동안 보안 소프트웨어 공급업체는 제품에 자동화를 도입해 왔습니다. SOC 팀은 자동화의 한계를 뛰어넘었고, 때로는 위협 탐지 및 대응의 효율성을 높이고 가속화하기 위해 정교한 자체 개발 솔루션을 개발하기도 했습니다. 그러나 SOC에는 자동화 이상이 필요하며, 바로 디지털 자율성이 필요합니다.
인공 지능(AI)은 인간의 의사 결정 프로세스를 복제할 수 있습니다. 이 기술은 특히 일상적인 보안 운영에서 사이버 보안 운영의 혁신적인 변화를 촉진할 수 있습니다.
위협 탐지는 이미 머신러닝(ML)과 같은 AI 기능을 사용하고 있습니다. 다양한 SOC 기술은 주요 소프트웨어 공급업체와의 통합을 통해, 위협 식별부터 경보 분류에 이르는 다양한 작업에 ML을 사용합니다. 그러나 보안 운영을 자동화하는 데는 특정 제약 조건이 있습니다.
대부분의 보안 운영팀에는 실행 전에 어느 정도의 확실성이 요구되는 참여 규칙이 있습니다. 이러한 확실성은 자동화가 엔드포인트 탐지 및 대응(EDR) 시스템과 같은 폐쇄형 시스템에서 일반적으로 사용되는 이유를 설명합니다. 엔드포인트 소프트웨어와 콘솔은 모두 관련 변수를 모두 숙지하고 있으며 대응을 효과적으로 자동화할 수 있습니다.
주요 하이퍼스케일러의 보안 전문가가 실제 사례를 들어 설명합니다. 이 회사는 스택의 모든 기술과 자산을 깊이 이해하고 있기 때문에 SOC의 개입을 최소화할 수 있습니다. 구성 설정이 기본적으로 폐쇄형 시스템으로 작동하므로 광범위한 자동화가 가능합니다.
이러한 폐쇄형 시스템이 없는 조직, 특히 보안 정보 및 이벤트 관리(SIEM) 시스템을 다루는 기업의 경우 시나리오가 다릅니다. 여기에서 보안 오케스트레이션, 자동화 및 대응(SOAR) 애플리케이션 플레이북이 자동화를 관리합니다.
예를 들어, 호스트가 서버가 아니며 인식된 악성 활동을 실행하는 경우 해당 호스트를 격리하도록 자동 응답 플레이북을 프로그래밍할 수 있습니다. 그러나 중요한 서버인지 워크스테이션인지 여부와 같이 자산의 신원을 알 수 없다면 이 자동화는 활성화될 수 없습니다.
보안 기능을 자동화하는 데 있어 컨텍스트는 가장 중요하며, 인간 SOC 분석가는 바로 이 부분에서 빛을 발합니다. 인간 분석가는 '회전 의자에 앉아 여러 데이터를 직접 찾는' 수동 데이터 수집, 판단 및 분석을 통해 개방형 시스템에서 자동화가 효과적으로 작동하는 데 필요한 컨텍스트를 제공합니다. 회전 의자식 운영은 다중 에이전트 자율 운영의 새로운 패러다임으로의 전환이 필요합니다.
자율적인 멀티 에이전트 프레임워크를 도입하세요. IBM 사이버 보안 서비스는 AI를 사용하여 컨텍스트의 필요성을 파악하고, 컨텍스트를 수집하며, 자동화를 결정하고 자동화를 완료하거나 완전히 처리할 수 있도록 하며, SOAR을 우회할 수도 있습니다.
디지털 노동 오케스트레이터인 자율 위협 운영 머신(ATOM)은 경보 조사를 위한 작업 목록을 개발합니다. ATOM은 자산 컨텍스트가 부적절하다고 판단하면 다른 AI 에이전트를 사용하여 누락된 정보를 수집합니다.
회전 의자의 비유를 더 사용하자면, ATOM은 누락된 자산 컨텍스트를 감지하면 조치를 취합니다. 취약점 관리, 노출 관리, 구성 관리 데이터베이스(CMDB), EDR 또는 확장 탐지 및 대응(XDR) 시스템과 관련된 에이전트와 사전에 상호 작용하여 해당 컨텍스트를 수집합니다.
그런 다음 ATOM은 호스트 이름과 네트워크 위치를 기반으로 특정 자산이 일반적인 워크스테이션 패턴과 일치하는지 판단하고, 이것이 실제로 워크스테이션이라는 결론을 내립니다. 이러한 추론은 인간 분석가가 적용하는 것과 동일한 유형의 논리입니다.
ATOM은 상황에 맞는 결정을 내린 후 해당 특정 경보에 대한 고유한 대응을 공식화합니다. 예를 들어 EDR 콘솔에 대한 애플리케이션 프로그래밍 인터페이스(API) 호출이 최선의 조치인지 또는 워크플로가 SOAR 시스템으로 돌아가야 하는지 여부를 결정할 수 있습니다.
AI가 SOC 인력을 SOC 파일럿 조종석에 앉힐 수 있는지는 아직 알려지지 않았습니다. 그러나 오케스트레이션된 다중 에이전트 디지털 노동 기능은 이전에 IBM에서 작업한 어떤 기술보다 자율 SOC 운영에 필요한 기능에 근접해 있습니다. 완전 자율 SOC로의 완전한 전환은 아직 실현되지 않았지만, 에이전틱 AI의 출현으로 이 효율적이고 인간 개입은 최소화된 SOC 모델을 향한 여정이 크게 진전되고 있습니다.
이러한 주요 변화는 보안팀이 반복적인 작업으로 인한 부담을 완화하고 전략적 이니셔티브의 우선순위를 정할 수 있도록 함으로써 위협 관리에 혁신을 가져올 것입니다. AI가 계속 발전함에 따라 우리는 SOC가 자동화될 뿐만 아니라 진정으로 자율성을 갖추고, 즉시 이륙하며 일상적인 작업은 기계에 맡기는 미래를 기대하고 있습니다.
