아키텍처의 강점: 데이터 계층이 AI 경쟁의 승패를 좌우하는 이유

수십 개의 스타트업이 위협을 자율적으로 탐지, 조사 및 대응할 수 있는 차세대 “에이전트 기반 SIEM”을 구축하기 위해 경쟁하고 있습니다. 자금도 충분하고 마케팅도 잘되어 있지만, 구조적으로는 텅 비어 있습니다.

일반적인 구조는 이렇습니다. 파편화되었거나 고객이 호스팅하는 데이터 레이크 위에 얇은 오케스트레이션 엔진이 있고, 그 위에 LLM 레이어가 올라갑니다. 데모에서는 인상적으로 보이지만, 실제 운영 환경에서는 금방 무너집니다.

왜 그럴까요? 견고한 토대 위에 세워진 것이 아닙니다.

데이터가 완전해야만 지능이라고 할 수 있습니다

스마트 프롬프트와 빠른 추론만으로는 부족합니다. 에이전트 기반 보안에는 스티칭, 재파싱, 스키마 매핑이 밤새 무너지지 않기를 기도하는 일 없이도, 대규모 환경과 깊은 과거 맥락 전반에 걸쳐 어려운 질문에 즉시 답할 수 있는 데이터 기반이 필요합니다.

이 영역에서 제품을 만드는 대부분의 스타트업은 바로 그런 ‘스티칭’에 의존하고 있습니다. 이러한 아키텍처는 서로 다른 스토리지 시스템 간에 지연 시간을 발생시키고, 쿼리 시 재파싱을 강제하며, 소스 간의 일관성 없는 스키마로 인해 어려움을 겪고, 활용할 수 있는 의미 있는 과거 데이터가 부족합니다. AI는 불완전하고, 형식이 일관되지 않으며, 내용이 부실한 데이터를 기반으로 추론해야 합니다.

그 결과는 약속된 에이전트 기반 보안이 아니라, 비용이 많이 드는 최선의 추측에 그칩니다.

Sumo Logic의 AI 우위는 구조적인 것이지, 겉모습이 아닙니다

Sumo Logic은 15년 이상에 걸쳐 기업 로그 데이터를 수집, 관리 및 분석하는 탄력적인 엑사바이트 규모 플랫폼을 구축해 왔으며, 이를 통해 수백만 줄의 로그를 실시간으로 운영 및 보안 인사이트로 전환합니다.

우리는 구문 분석된 필드를 포함하는 구조화된 및 비구조화된 로그를 단일 플랫폼으로 통합하여, 협업 문제 해결과 의사 결정을 위한 통합 뷰를 제공합니다. 정규화, 저장 및 도메인 간 상관관계는 쿼리 시점이 아닌 데이터 수집 시점에 처리되므로, AI가 필요로 할 때 데이터는 이미 정제되어 있고 바로 쿼리할 수 있습니다.

우리는 SIEM, SOAR, UEBA 및 로그 분석을 하나의 통합 SaaS 플랫폼으로 통합하여, 당사의 AI가 이미 그 아래에 색인화된 수년간의 역사적 맥락으로 풍부해진 단일 진실 데이터 소스 위에서 작동할 수 있도록 합니다.

이러한 심층 컨텍스트는 에이전트 기반 워크로드에 매우 중요합니다. AI 에이전트가 이상 징후를 조사할 때는, 현재의 행동을 몇 주 또는 몇 달 전에 구축된 기준선과 비교하면서 시간을 거슬러 올라가야 합니다. 파편화된 아키텍처에서 이러한 탐색 과정에는 데이터 레이크 간 지연 시간, 프로토콜 변환 및 실시간 스키마 조정이 수반됩니다. Sumo Logic에서는 간단한 쿼리 한 번이면 됩니다.

파편화된 데이터가 실제로 초래하는 비용

“하나로 꿰매는” 접근 방식이 실제로 무엇을 의미하는지 구체적으로 살펴볼 필요가 있습니다.

• 데이터 레이크 간 지연은 AI가 추론을 시작하기 전에 데이터를 기다려야 함을 의미합니다. 보안 측면에서 지연 시간은 곧 노출을 의미합니다.
• 쿼리 시점의 재파싱은 모든 조사가 동시에 데이터 변환 작업이기도 하다는 뜻입니다. 이는 느리고, 오류 발생 가능성이 높으며, 구조적으로 취약합니다. 상위 시스템의 스키마가 한 번만 바뀌어도 하위 시스템의 모든 것이 망가집니다.
• 일관성 없는 정규화는 AI가 사과와 오렌지를 동시에 놓고 비교하며 추론하고, 상관관계 논리가 유지되기를 바라는 것을 의미합니다(스포일러: 대개 그렇지 않습니다).
• 얕은 역사적 맥락은 AI가 실제로 참고할 기준선이 없다는 뜻입니다. 오늘 어떤 것이 비정상적으로 보인다는 것은 말해 줄 수 있지만, 6개월 전에도 비정상적으로 보였는지는 알려 줄 수 없습니다.

Sumo Logic 고객은 이러한 문제를 겪지 않습니다. 당사의 유연한 데이터 수집 모델과 클라우드 네이티브 아키텍처는 많은 소스에서 사이드카나 에이전트가 필요 없게 해 주며, 일반적으로 사용되는 클라우드 서비스에 대한 기본 로그 파싱 기능을 통해 필드 추출 규칙으로 반정형 로그를 구조화하고 처음부터 시스템 간 상관관계를 제공할 수 있습니다.

아무도 이야기하지 않는 멀티테넌트 마이크로서비스 아키텍처

당사 플랫폼의 과소평가된 측면 중 하나는 대규모로 안정적인 AI를 제공하는 멀티테넌트 마이크로서비스 아키텍처입니다.

이 아키텍처는 플랫폼이 워크로드를 격리하고, 수집과 독립적으로 추론을 확장하고, 모놀리식 또는 조립식 아키텍처를 괴롭히는 취약한 결합 없이 테넌트 전체에서 성능 일관성을 유지할 수 있음을 의미합니다. AI는 데이터 파이프라인과 리소스를 놓고 경쟁하지 않습니다. AI 부하가 급증해도 파이프라인은 중단되지 않습니다.

일반 목적 데이터 레이크를 기반으로 구축하는 벤더는 이러한 아키텍처를 보유하고 있지 않습니다. 데이터 수집은 한 시스템에서, 데이터 저장은 다른 시스템에서 이루어지며, LLM이 덧붙여져 있습니다. 모든 이음새는 잠재적인 실패 지점이 되어, 보안 팀이 신뢰성을 필요로 하는 영역에 아키텍처적 위험을 초래합니다.

에이전트형 보안의 미래

SOC AI 에이전트의 자율성이 높아지면서 경고를 분류하고, 조사를 시작하고, 대응 방안을 권장하거나 실행할 수 있게 되며, 이러한 결정의 품질은 에이전트가 작업하는 데이터 레이어에 직접적으로 좌우됩니다.

수년간 정규화되고 심층적으로 인덱싱된 교차 도메인 원격 측정 데이터를 기반으로 작동하는 에이전트는 방어 가능한 기준선을 설정하고 컨텍스트에 따라 행동할 수 있습니다. 파편화되고, 일관성 없이 구문 분석되고, 내용이 부실한 데이터를 처리하는 에이전트는 근사치에 의존할 수밖에 없습니다.

보안 책임자에게는 평가 기준이 달라집니다. 과거에는 단순히 공급업체가 에이전트형 AI를 사용하는지 여부가 질문의 핵심이었지만, 오늘날에는 운영상의 위험을 초래하지 않고 자율적인 의사결정을 지원할 수 있는 아키텍처인지 여부가 질문의 핵심이 되어야 합니다.

• 에이전트의 정교함을 평가하기 전에 먼저 원격 측정 데이터의 일관성을 평가하십시오.
• 자동 응답을 신뢰하기 전에, 해당 응답이 의존할 데이터의 깊이와 정규화를 검증하십시오.
• 의사결정을 위임하기 전에, 해당 결정이 어디서 어떻게 계산되는지 이해해야 합니다.

지능을 뒷받침하는 아키텍처를 살펴보세요

이것이 실제로 어떻게 작동하는지 볼 준비가 되셨나요? 데모를 요청하세요. 당사의 통합 플랫폼이 어떻게 대규모 원격 측정 데이터를 수집, 정규화 및 상호 연관시키는지, 그리고 당사의 AI 에이전트가 어떻게 그 기반 위에서 직접 작동하여 더 빠르고 방어 가능성이 더 높은 보안 결과를 제공하는지 확인해 보세요.