모두가 위협 탐지, 조사 및 대응을 자동화하기 위해 향상된 모델과 더 스마트한 에이전트를 갖춘 정교한 인텔리전스 레이어를 구축하고 있습니다. 이는 AI SOC로 성숙하기 위해 필요한 요소입니다. 하지만 SOC에서 AI를 통해 가장 큰 가치를 얻는 조직들은 인텔리전스 레이어에만 집중하지 않습니다. 그들은 먼저 데이터 기반을 다지는 데 집중합니다.
AI가 SIEM의 역할을 대체할 수 있는지에 대한 논쟁은 가장 중요한 질문에서 주의를 분산시킵니다. AI를 신뢰할 수 있게 만들 만큼 데이터 기반이 충분히 탄탄한지 여부가 더 중요합니다. SOC가 더욱 자율적으로 운영될수록 데이터 품질은 더욱 중요해집니다. 에이전트는 텔레메트리 데이터를 기반으로 추론합니다. 그들은 그 데이터를 통해 학습합니다. 그들은 그 데이터를 바탕으로 결정을 내립니다. 데이터 기반이 취약하면, 자율성이 높아질수록 단지 더 빠르게 실수가 발생할 뿐입니다.
SIEM은 과거의 기술이 아닙니다. SIEM이 바로 미래의 AI를 신뢰할 수 있게 만듭니다.
AI가 많아질수록 SIEM의 중요성은 더욱 커집니다
AI 에이전트는 허공에서 지능을 만들어내지 않고, 데이터에 의존합니다. 데이터의 품질에 따라 에이전트가 올바른 결정을 내릴지, 아니면 순식간에 실수를 저지를지가 갈립니다. 에이전트가 오탐에 따라 자율적으로 행동하거나, 관련 신호 두 개가 서로 연계되지 않은 별도 시스템에 존재해 위협을 놓쳤다면, 이는 AI의 실패가 아닙니다. AI가 의존하는 데이터 기반에 문제가 있다는 의미입니다.
SOC가 더욱 자율적으로 운영될수록 데이터 품질에 걸린 위험과 책임도 커집니다. 인텔리전스 레이어는 매년 개선되고 있으므로, 데이터 기반은 덜 신뢰할 수 있어서는 안 되며 오히려 더 신뢰할 수 있어야 합니다. AI가 더 많이 도입된다고 해서 SIEM이 덜 필요한 것은 아닙니다. 오히려 SIEM이 그 어느 때보다 중요해진다는 뜻입니다.
SIEM만이 대규모로 수행할 수 있는 기능
데이터를 수집할 수 있는 도구는 많습니다. 탐지를 실행할 수 있는 도구도 많습니다. 자동화를 수행하는 도구 역시 많이 있습니다. 하지만 어떤 포인트 솔루션도, AI 네이티브 플랫폼도, 여러 도구를 이어 붙인 스택도 SIEM처럼 기업 규모에서 특정 요구 사항을 안정적으로 처리해 주지는 못합니다. AI가 SOC에서 더 큰 역할을 할수록 이러한 기능은 점점 더 중요해집니다.
- 고급 로그 수명 주기 관리: 데이터 계층화는 핫, 웜, 콜드 계층에 걸쳐 데이터를 저장하여 비용과 접근성의 균형을 맞춥니다. 정규화와 파싱은 지저분하고 일관성 없는 데이터를 구조화된 읽기 쉬운 형식으로 변환합니다.
- 장기 행동 기준선 설정: 머신 러닝 모델은 정상적인 행동을 이해하기 위해 과거 데이터가 필요합니다. 시간이 지남에 따라 환경 전체의 데이터를 수집·보존하는 SIEM은 ML 모델이 정상 동작과 이상 동작을 구분하는 데 필요한 컨텍스트를 제공합니다.
- 대규모 교차 소스 상관관계: 위협은 단일 로그 소스에만 나타나는 경우가 거의 없습니다. SIEM은 서로 다른 도구의 로그 소스를 실시간으로 상호 연관시켜, 흩어진 신호를 명확하고 맥락 있는 인시던트로 전환합니다.
- 포렌식 검색 및 위협 헌팅: 노출 범위를 파악하기 위해 6개월 치 원시 데이터를 검색해야 하거나, 가설에 기반해 위협을 헌팅할 수 있는 강력한 검색 능력이 필요하다면, 현재의 모델이 아직 처리하도록 학습되지 않은 체계적인 접근 방식이 필요합니다.
- 규정 준수, 감사 및 보관 기록(chain-of-custody): SIEM은 HIPAA 및 PCI-DSS와 같은 표준을 충족하는 내장 대시보드를 통해 몇 초 만에 보고서를 빠르게 생성할 수 있습니다. AI가 자율적으로 작동할 때는 그 행동을 기록하고 설명해야 합니다. SIEM은 디지털 증거에 대한 검증 가능한 명령 체계를 제공합니다.
- 사용자 지정 비즈니스 로직 및 결정론적 규칙: SIEM은 결정론적 규칙을 기반으로 하며, 해당 규칙이 위반되었을 때를 인지합니다. 이미 의심스러운 것으로 판단된 항목이 실제로 의심스러운지 에이전트가 추론할 때까지 기다리는 대신, 이미 알려진 위협을 신속하게 드러내기 위한 명확한 규칙이 필요합니다.
- 통합된 분석가 워크벤치: 제각각 이어 붙인 도구 스택은 단편적인 분석가 경험을 초래합니다. SIEM은 탐지, 조사 및 대응을 하나의 작업 공간으로 통합합니다. 분석가들은 서로 그리고 에이전트와 협업하여 조사를 검토하고, 조치를 승인하고, 사건을 종결하는 모든 작업을 한 곳에서 수행합니다.
SIEM은 진화하고 있으며, 그것이 바로 핵심입니다
기존 SIEM은 느리고 비싸며 유지 관리가 어렵다는 평판을 얻었습니다. 그러한 비판은 오랫동안 타당했습니다. 이제는 그 타당성이 떨어지며, SIEM이 AI SOC를 지원할 수 있는지 여부를 평가할 때 이러한 구분이 중요합니다.
최신 SIEM에는 이전에는 별도의 도구가 필요했던 기능이 포함되어 있습니다. 사용자 및 엔티티 행동 분석(UEBA)와 보안 오케스트레이션 및 자동 응답(SOAR)은 이제 별도로 덧붙이는 것이 아니라 기본으로 내장됩니다. 탐지 엔지니어링은 머신러닝 기반 규칙 제안으로 강화되고 있으며, 분석가 워크벤치는 정적인 경고 대기열에서 인간 분석가와 AI 에이전트가 함께 조사 작업을 수행하는 협업 환경으로 발전했습니다.
실질적인 평가는 SIEM이 다음 세 가지를 수행할 수 있는지 여부입니다. 환경에 필요한 속도와 규모로 데이터를 수집하고, 분석가와 에이전트가 컨텍스트를 공유하고 작업을 인계하는 에이전트 기반 워크플로를 지원하며, 머신러닝 모델과 대규모 언어 모델(LLM)이 자신 있게 틀리는 대신 신뢰할 수 있도록 정규화되고 상관관계가 설정되며 이력 보존이 가능한 고품질 데이터를 제공하는 것입니다.
AI 플랫폼 구매 전 고려해야 할 세 가지 질문
SOC 관리자는 많은 AI 네이티브 플랫폼을 평가하고 있습니다. 구매하기 전에 다음 세 가지 질문을 하고, 답변을 어떻게 구성하는지 주의 깊게 들어보세요:
- AI는 어디에서 데이터를 가져오나요?AI 레이어에 도달하기 전에 데이터는 어떻게 수집, 정규화, 상관분석되나요? 커넥터가 중앙 집중식 정규화 없이 분산된 소스에서 데이터를 가져오면 AI는 일관성이 없는 데이터를 사용하게 됩니다.
- 이전에 본 적 없는 데이터를 어떻게 처리합니까?플랫폼이 처리하도록 설계되지 않은 데이터를 어떻게 수집하고 정규화하는지 물어보세요. 플랫폼이 새로운 데이터 소스를 처리하는 데 어려움을 겪으면, 정교한 공격자가 숨을 수 있는 사각지대가 생길 수 있습니다.
- 에이전트가 조치를 수행할 때 감사 가능성은 어떻게 되나요?감사 추적이 없는 자율적인 조치는 규정 준수 문제를 야기합니다. 에이전트의 결정이 정확히 어떻게 로그로 기록되는지 문의하세요. 답변이 불분명하거나 감사 추적이 동일한 시스템 내에만 있는 경우, 이는 주의해야 할 위험 요소입니다.
먼저 기초를 다지세요
AI SOC는 현실입니다. 이 기능은 업무량 폭증과 인력 부족에 시달려 온 보안 팀에게 획기적인 변화를 가져다 줄 것입니다.
하지만 가장 큰 혜택을 받는 팀은 최고의 AI 플랫폼을 찾은 팀이 아닙니다. 이들이야말로 데이터 품질을 나중에 고려할 사항이 아니라 필수 조건으로 여긴 팀입니다. 먼저 견고한 기반을 구축하고, 그 위에 인텔리전스 레이어를 쌓으세요.
질문은 “SIEM이 여전히 필요한가?”가 아닙니다. 오히려 “내 데이터 기반이 AI를 신뢰할 수 있게 만들기에 충분히 견고한가?”입니다.
인공지능을 뒷받침하는 기반을 살펴보세요. 데모를 예약하세요.
