SIEM을 교체하기 전에: AI 기반 보안에는 단순한 데이터 중앙화가 아니라 운영 컨텍스트가 필요합니다

인공지능은 보안 운영 센터(SOC)의 기능을 빠르게 재편하고 있습니다. 현재 많은 조직이 업무량을 줄이고 조사를 가속하기 위해 AI 기반 아키텍처를 검토하고 있습니다.

새로운 아키텍처 담론이 등장하고 있습니다.점점 더 많은 AI 기반 보안 공급업체가 데이터 웨어하우스에 텔레메트리를 중앙화하고, SIEM의 운영 역할을 대체하기 위해 AI 에이전트를 배포할 것을 제안하고 있습니다. 이들은 텔레메트리를 중앙 집중화하고, 인공지능을 적용하며, SOC를 자동화하려고 합니다. 이는 특히 예산 압박과 인력 부족에 직면한 보안 책임자에게 매우 설득력 있게 다가옵니다.

공격자는 정찰을 가속화하고 피싱 및 소셜 엔지니어링을 자동화하며, 회피형 멀웨어 변종을 생성하고, 클라우드 환경 전반에 걸쳐 ID 기반 공격을 확장하기 위해 AI를 점점 더 많이 사용하고 있습니다. 위협 활동이 더욱 빨라지고 적응력이 높아짐에 따라, 보안 팀은 탐지, 조사 및 대응 사이의 시간을 단축해야 한다는 압력을 점점 더 크게 받고 있습니다.

더 나은 ROI에 대한 기대와 진화하는 환경으로 인해 AI 기반 보안 운영에 대한 수요가 증가하고 있습니다. 더 빠른 AI 기반 의사 결정에 대한 수요가 있으며, 이를 위해서는 신뢰할 수 있는 컨텍스트, 일관된 워크플로, 그리고 끊임없이 변화하는 환경에 발맞출 수 있는 운영상의 가드레일이 필요합니다.

AI는 보안 운영의 운영 복잡성을 없애지 않습니다. 오히려 일관되고 신뢰할 수 있는 컨텍스트에 대한 필요성을 더욱 부각시킵니다. 보안은 단순히 데이터 문제만이 아닙니다. 이는 컨텍스트 오케스트레이션 문제입니다. 이러한 구분을 무시하는 것은 문제를 해결하는 것이 아니라 운영상의 복잡성을 재분배하는 것에 불과합니다.

보안 운영은 단순히 데이터 문제만이 아닙니다

데이터 웨어하우스는 강력한 시스템입니다. 데이터 웨어하우스는 대규모 저장, 중앙 집중식 분석 및 이력 조회에 탁월합니다. 이러한 도구는 조직이 텔레메트리를 통합하고 팀 간에 공통된 분석 기반을 구축하는 데 도움이 됩니다.

하지만 보안 운영은 근본적으로 다른 과제를 제시합니다.

SOC는 데이터 저장 및 검색에 대한 책임만 있는 것이 아닙니다. 압박 속에서도 신뢰할 수 있는 보안 결정을 내려야 할 책임이 있습니다.

다음이 포함됩니다:

• 실시간 위협 탐지
• 신원, 기기, 클라우드 서비스 및 애플리케이션 전반에 걸친 활동 상관관계 분석
• 조사의 연속성 유지
• 대응 조치 조정
• 탐지 일관성 유지
• 자동화 거버넌스
• 증거 보존
• 감사 가능성 및 책임성 지원

오늘날의 보안 운영은 점점 더 보강 계층, 외부 인텔리전스 소스, ID 시스템, 클라우드 환경, 노출 관리 플랫폼 및 실시간 워크플로 전반에 걸쳐 존재하는 운영 컨텍스트에 의존하고 있습니다.

AI 에이전트는 웨어하우스 내 텔레메트리를 조회할 수 있지만, 효과적인 보안 결정은 종종 역동적이고 외부적이거나 운영상 중앙 집중화하기 어려운 컨텍스트에 따라 달라집니다.

다음이 포함됩니다:

• 지속적으로 변화하는 위협 인텔리전스
• 진화하는 인프라와 연결된 노출 및 공격 경로 컨텍스트
• 사용자, 장치, 워크로드 및 서비스를 아우르는 엔티티 관계
• 탐지 메타데이터 및 억제 로직
• 실시간 보강 파이프라인
• 행동 기준선
• 워크플로 상태 및 분석가 결정
• 파이프라인 무결성 및 텔레메트리 상태

많은 환경에서 이러한 운영 컨텍스트는 끊임없이 변화합니다.

AI는 운영상의 복잡성을 제거하는 대신, AI가 소비하는 데이터를 둘러싼 운영 컨텍스트의 강점 또는 약점을 증폭시킵니다.

데이터 파이프라인은 전략적 보안 인프라로 발전하고 있습니다

보안 운영을 현대화함에 따라, 데이터 파이프라인은 단순한 텔레메트리 전송을 넘어 훨씬 더 중요한 역할을 하게 됩니다.

AI 기반 SOC에서는 파이프라인이 보안 결정의 품질, 일관성 및 신뢰성을 결정하는 데 점점 더 중요한 역할을 합니다.

파이프라인은 다음에 영향을 미칩니다:

• 원격 측정 데이터가 얼마나 빨리 실제 운영에 활용 가능한 상태가 되는지
• 정보 보강 및 위협 인텔리전스가 올바르게 적용되는지 여부
• 여러 환경 전반에서 엔티티를 어떻게 연계하고 해결하는지
• 조사에 노출 및 공격 경로 컨텍스트가 포함되는지 여부
• 행동 기준선이 어떻게 유지되는지
• 어떤 데이터가 필터링, 정규화, 지연되거나 손실되는지
• 어떤 탐지가 안정적으로 실행될 수 있는지
• AI 시스템이 운영 위험을 어떻게 해석하는지

파이프라인이 특히 중요한 이유는 최신 보안 운영에 필요한 컨텍스트의 상당 부분이 데이터 웨어하우스 자체 내에 기본적으로 존재하지 않을 수 있기 때문입니다.

위협 인텔리전스 피드, 신원 관계, 노출 관리 플랫폼, 보강 서비스, 클라우드 포스처 시스템 및 운영 워크플로 상태는 여러 환경에 걸쳐 존재하며 지속적으로 변화하는 경우가 많습니다.

이는 AI 기반 보안 운영을 위한 새로운 운영 현실을 만들어냅니다.
AI 시스템은 자신에게 데이터를 공급하는 파이프라인의 강점과 약점을 모두 물려받습니다.

지연된 정보 보강, 오래된 위협 인텔리전스 피드, 오류가 있는 파서, 해결되지 않은 엔티티 관계 또는 불완전한 노출 데이터 세트는 AI 시스템이 위협을 우선순위화하고 조사하고 대응하는 방식에 상당한 영향을 미칠 수 있습니다.

기업 규모에서 신뢰할 수 있는 파이프라인 무결성을 유지하는 것은 신뢰할 수 있는 AI 기반 보안 운영을 유지하는 데 필수적입니다.

AI는 보안 의사결정의 속도를 바꿉니다. 일관성은 여전히 중요합니다.

사이버 보안 분야에서 AI가 갖는 가장 중요한 가능성 중 하나는 조사 속도를 높이고 분석가의 부담을 줄여준다는 점입니다.

AI는 보안팀에 다음과 같은 방식으로 도움을 줄 수 있습니다:

• 경고 피로 감소
• 활동 우선순위를 더 빠르게 지정하기
• 숨겨진 관계 식별
• 조치 권고
• 조사 가속화
• 운영 효율성 향상

하지만 속도만으로는 신뢰할 수 있는 보안 운영을 구축할 수 없습니다. 또한 보안 결정은 설명 가능하고, 반복 가능하며, 관리되고, 시간이 지나도 일관성을 유지해야 합니다. 이 지점에서 많은 AI 우선 SOC 아키텍처는 점점 더 큰 과제에 직면합니다.

AI 시스템이 발전함에 따라 프롬프트가 변경되고, 파이프라인이 변하고, 원격 측정 데이터가 변경되고, 보강 작업이 실패하고, 모델이 업데이트됨에 따라 조직은 SOC 자체에 운영상의 불일치를 직접 도입할 위험에 처하게 됩니다.

불완전하거나 다르게 보강된 원격 측정 데이터를 제시받은 두 명의 분석가 또는 두 명의 AI 에이전트는 동일한 사건에 대해 서로 다른 결론에 도달할 수 있습니다.

기업 규모에서는 이로 인해 ‘보안 의사결정 드리프트’라는 운영상의 우려가 점점 커집니다.

AI가 보안 운영에 더욱 통합됨에 따라 보안 결정의 일관성은 AI가 작동하는 운영 컨텍스트의 품질과 안정성에 점점 더 의존하게 됩니다. 위협 인텔리전스는 끊임없이 변화합니다. 인프라가 변화함에 따라 노출 데이터도 진화합니다. 파이프라인이 업데이트되고, 파서가 변동하며, 데이터 보강 작업이 실패하고, 엔티티 관계가 ID, 장치 및 클라우드 환경 전반에 걸쳐 변경됩니다. 시간이 지남에 따라 이러한 운영상의 변화는 AI 시스템이 동일한 활동을 해석하고 우선순위를 정하는 방식을 바꿀 수 있습니다.

과제는 더 이상 단순히 더 많은 데이터에 접근하는 것만이 아닙니다. 핵심 과제는 끊임없이 변화하는 환경 속에서도 인공지능 기반 의사결정이 신뢰할 수 있는 운영 맥락에 근거하도록 보장하는 것입니다. 보안 운영에서 신뢰는 AI의 지능뿐만 아니라 조직이 AI의 결정을 일관되게 설명하고, 재현하고, 운영화할 수 있는 능력에 기반합니다.

조사가 침해, 규제 사건 또는 경영진 차원의 사건으로 확대되는 순간, 조직은 여전히 중요한 질문에 답해야 하기 때문입니다.

• 이러한 결정이 내려진 이유는 무엇입니까?
• 어떤 증거가 그 결과를 뒷받침했습니까?
• 어떤 맥락이 조사에 영향을 미쳤습니까?
• 결과를 재현할 수 있습니까?
• 대응은 운영상 일관성이 있었습니까?

사이버 보안에서 신뢰는 속도만큼이나 중요합니다.

AI 전용 아키텍처의 숨겨진 운영 부담

많은 AI 우선 보안 아키텍처는 기존 운영 계층을 제거함으로써 SOC를 단순화하는 방법으로 자리매김하고 있습니다.

그러나 운영상의 복잡성은 거의 사라지지 않습니다. 대부분의 경우, 그 복잡성은 다른 곳으로 옮겨집니다.

분석가가 탐지 및 워크플로를 직접 관리하는 대신, 조직은 다음과 같은 것들을 관리하게 될 수 있습니다:

• 파이프라인 종속성
• 스키마 드리프트
• 파서 유지 관리
• 위협 인텔리전스 동기화
• 컨텍스트 보강 로직
• 엔티티 해결
• 프롬프트 일관성
• AI 감독
• 워크플로우 거버넌스
• 조사 재현성

운영 부담은 가시적인 SOC 프로세스에서 하위 데이터 및 AI 오케스트레이션 계층으로 이동합니다.

소규모로 보면 이러한 문제들은 관리 가능한 것처럼 보일 수 있습니다… 기업 규모에서는 운영상의 취약성을 초래할 수 있습니다.

미래의 SOC는 운영 컨텍스트를 기반으로 구축됩니다

조직은 이러한 전환을 AI와 SIEM 사이의 선택으로 간주해서는 안 됩니다. 그러한 관점은 보안 운영의 미래를 지나치게 단순화합니다.

새롭게 부상하는 SOC 아키텍처는 다음과 같은 요소들을 결합하는 형태가 될 가능성이 높습니다:

• 중앙 집중식 원격 측정
• AI 지원 조사
• 엔티티 중심 분석
• 위협 인텔리전스 강화
• 노출 기반 우선순위 지정
• 탐지 엔지니어링
• 워크플로 오케스트레이션
• 자동화
• 운영 거버넌스
• 지속적인 보안 컨텍스트

AI는 보안 운영의 효율성을 높여 팀이 조사를 가속화하고 수동 분석을 줄이며 숨겨진 관계를 파악하고, 기존 워크플로로는 불가능했던 속도로 위협의 우선순위를 지정할 수 있도록 지원하는 힘을 제공할 것입니다. 경고 피로, 인력 부족, 운영 복잡성 증가로 어려움을 겪는 조직에게 AI는 현대적 SOC의 속도와 규모를 획기적으로 향상시킬 수 있습니다.

그러나 AI만으로는 신뢰할 수 있는 운영 컨텍스트, 관리되는 워크플로, 그리고 일관된 인간 참여 보안 의사 결정의 필요성을 대체할 수 없습니다. 보안 운영에는 정확한 정보 보강, 위협 인텔리전스, 노출 인식, 엔티티 관계, 워크플로 상태와 더불어, 조사와 대응 조치가 설명 가능하고 반복 가능하며 팀 간에 일관되게 유지되도록 하는 운영 가드레일이 필요합니다.

성공하는 조직은 단순히 AI 에이전트를 대규모 데이터 세트에 연결하는 데 그치지 않을 것입니다.

이들은 원격 측정, 컨텍스트, 운영 지식, 조직 지식 및 시정 조치를 기계 속도로 신뢰할 수 있는 의사 결정으로 전환할 수 있는 지능형 보안 운영 플랫폼을 구축할 것입니다.

모든 보안 리더가 물어야 할 질문

AI 네이티브 보안 아키텍처를 평가할 때는 자동화에 대한 주장과 인프라 통합 제안만으로 판단하지 마십시오.

다음과 같이 질문해야 합니다:

• 데이터 웨어하우스 외부에는 어떤 운영 컨텍스트가 존재합니까?
• 위협 인텔리전스는 어떻게 운영되고 유지됩니까?
• 노출 및 공격 경로에 대한 인사이트는 조사에 어떻게 통합됩니까?
• 인리치먼트 파이프라인이 실패하거나 드리프트가 발생하면 어떻게 됩니까?
• AI 기반 의사 결정은 어떻게 검증되고 재현됩니까?
• 시간이 지나면서 엔티티 관계를 유지하는 시스템은 무엇입니까?
• 분석가와 AI 에이전트 전반에서 운영 일관성은 어떻게 유지됩니까?
• 자율적인 조치를 무엇이 통제하고 관리합니까?
• SOC의 운영 메모리와 의사 결정의 중추는 무엇이 됩니까?
• 시간이 지남에 따라 컨텍스트, 파이프라인 및 의사 결정 품질을 유지하기 위해 고객이 직접 수행해야 하는 엔지니어링 작업은 어느 정도 필요합니까?
• 탐지 로직, 인리치먼트 및 AI 기반 의사 결정은 어떻게 버전 관리되고, 테스트되며, 감사됩니까?

보안 운영의 미래는 단순히 AI가 더 많은 데이터에 접근할 수 있도록 돕는 것만이 아니기 때문입니다.

이는 환경이 계속 진화하더라도 AI 기반 보안 결정이 신뢰할 수 있고 설명 가능하며 운영상 일관성을 유지하도록 보장하는 것입니다. 이것이 바로 지능형 보안 운영의 기반입니다.

Sumo Logic이 어떻게 이를 구현하고 있는지 직접 확인해 보세요. 데모 요청하기.