모든 것을 자율화하겠다고 약속하는 “AI SOC” 스타트업이 점점 늘어나고 있습니다. 이들은 경고를 분류하고, 위협을 조사하며, 심지어 플레이북까지 실행합니다. 버튼 하나만 누르면 기계가 알아서 일을 처리해 주고, 마법 같은 순간을 즐길 수 있습니다.
뭔가 고장 나기 전까지는 아주 좋게 들립니다. 그러면 보안 담당자뿐 아니라 모든 사람이 똑같은 질문을 합니다. “정확히 무엇을 했나요?” 그리고 바로 그때 이러한 시스템들이 부담으로 바뀝니다.
블랙박스 AI의 문제점
이러한 플랫폼 대부분은 블랙박스입니다. 이들은 얻을 수 있는 모든 곳에서 데이터를 싹쓸이하고, 불투명한 추론 과정을 거쳐 결론을 내립니다. 이때 거의 보여주지 않는 부분이 바로 중간 과정입니다. 사고 과정, 실행한 쿼리, 수집한 증거, 그리고 결과에 영향을 미친 잘못된 가정들을 보여주지 않습니다. 그래서 AI가 잘못된 판단을 내렸을 때 디버깅하는 대신, AI가 무엇을 추측했는지 다시 추측하게 됩니다.
그게 핵심 문제입니다. 인공지능은 확률적으로 작동합니다. 진실에 근거하는 대신, 가능성에 근거해 동작합니다. 가설을 세우는데, 때로는 매우 적절할 때도 있지만, 다른 때에는 완전히 빗나갈 때도 있습니다.
그러나 가설은 실제이면서 결정론적인 데이터에 대해 검증할 때만 유용해집니다. 즉, 쿼리를 실행하고, 로그를 가져오고, 컨텍스트를 확인하고, 방향을 조정하는 것을 의미합니다. 인공지능이 이를 신속하고 투명하게 처리하지 못하면, 지능처럼 보이는 소음에 불과해집니다.
아키텍처가 AI SOC를 결정합니다
여기서부터는 아키텍처가 결과를 결정합니다. 플랫폼이 AI에게 여러 데이터 레이크에 걸쳐 데이터를 처리하고, 모든 것을 실시간으로 정규화하며, 느린 쿼리 결과를 기다리도록 요구한다면, AI는 유용한 결과를 도출할 만큼 충분히 빠르게 반복 작업을 수행할 수 없습니다. 지연 시간만으로도 “자율적” 추론이라는 개념 자체가 무의미해집니다. 그리고 이것이 바로 수많은 AI SOC 도구가 데모에서는 인상적으로 보이지만 실제 사고 상황에서는 제대로 작동하지 않는 이유입니다. 이들 도구는 애초에 이 작업을 위해 설계되지 않은 데이터 레이어에 의존하고 있습니다.
화이트박스 접근법
대안은 화이트박스 접근 방식입니다. 추론 과정을 숨기는 대신, 드러냅니다. 인공지능의 가설부터 이를 검증하기 위해 실행하는 쿼리, 그리고 그 가설을 뒷받침하거나 반박하는 결과에 이르기까지 모든 단계를 확인하고 검토할 수 있습니다. 인공지능이 왜 그런 행동을 했는지 궁금해할 필요가 없습니다. 그 행동에 이르게 된 추론의 연쇄를 직접 확인할 수 있기 때문입니다. 이렇게 되면 이 시스템은 감사하고, 수정하고, 궁극적으로 신뢰할 수 있는 대상으로 바뀝니다.
Sumo Logic이 Dojo AI에 화이트박스 접근 방식을 적용하는 방법
화이트박스 AI 접근 방식은 SOC Analyst Agent와 Mobot을 설계하는 방식에 직접 반영되었습니다. 수집하는 증거, 수집 이유, 요약 내용 등을 모두 확인할 수 있습니다. 그리고 해당 시스템이 어떻게 그런 선택을 했는지, 그 근거를 정확히 묻고 증명해 달라고 요청할 수 있습니다.
투명한 추론에 빠른 쿼리, 정규화된 데이터, 일관된 파이프라인 같은 결정론적 도구를 결합하면, 비로소 AI의 가치를 실현하는 루프를 갖추게 됩니다. Sumo Logic에는 AI가 결정론적 도구로 활용할 수 있는 최적의 아키텍처와 로그 플랫폼이 있습니다. 인공지능은 무엇이 사실일 가능성이 높은지 가리키고, 기반 플랫폼은 그 내용을 즉시 입증하거나 반박합니다. 이 둘은 서로 대립하는 대신 서로를 증폭시킵니다.
차이는 분명합니다. 블랙박스 AI는 신뢰를 요구하고, 화이트박스 AI는 신뢰를 얻습니다. 다가올 자동화의 다음 물결에서 살아남는 팀은 후자를 요구하는 팀일 것입니다.
Sumo Logic이 화이트 박스 AI 접근 방식을 어떻게 채택하는지 확인해 보세요. 데모 요청.
