AI 에이전트가 SOC를 강화하는 Dojo AI의 세계

너무 오랫동안 보안 업무는 끝없는 대응 중심으로 정의되어 왔습니다. 모든 알림에 반응하고, 모든 이상 징후를 쫓으며, 명확한 방향도 없이 시간과 에너지를 소모하는 방식으로 말입니다. 그러나 가장 강한 전사라고 해서 모든 시합에 등판하는 것은 아닙니다. 훈련하고, 준비하며, 정말 중요한 순간을 위해 에너지를 아껴 두기 때문입니다. 그것은 단순한 힘이 아니라, 바로 회복 탄력성입니다.

이제 이러한 철학은 SOC에도 적용되었습니다. Sumo Logic Dojo AI는 이러한 철학을 반영한 이름입니다.

Dojo(역자주: 무술 도장이라는 뜻)에 오신 것을 환영합니다.

무술에서 도장은 갈등의 공간이 아닙니다. 규율을 배우고, 연습하며 자신감을 기르는 공간입니다. 수련생들은 불필요한 움직임을 줄이고, 위험을 예측하며, 인내하는 훈련을 합니다. 이와 동일한 철학이 이제 보안 운영을 새로운 AI 시대로 이끌고 있습니다. 

단일 기능이 아닌, 여러 형태의 인텔리전스와 자동화가 함께 작동하는 에이전트형(agentic) AI 아키텍처를 바탕으로 하는 것입니다. 자동화는 스크립트와 플레이북을 통해 반복 가능한 규율을 제공합니다. 머신러닝은 이상 징후를 탐지하고 패턴을 분류하며 사용자·엔티티 행동 분석(UEBA) 기반의 인사이트를 인리치먼트합니다. 여기에 생성형 AI는 자연어를 이해하여 쿼리와 요약을 원활히 처리하는 능력을 갖추고 있습니다. 에이전트는 이러한 역량을 조율하여 단순히 명령을 기다리지 않고 분석팀의 워크플로 안에서 직접 행동을 조율하는 것입니다.

이러한 설계의 중심에는 모델 컨텍스트 프로토콜(MCP)이 있습니다. 이는 에이전트가 데이터, 모델, 외부 도구와 상호작용하는 방식을 규제하는 거버넌스 계층을 말합니다. 이를 통해 AI는 강력하면서도 탄력적으로 인간 분석팀과 조화를 이루게 되는 것입니다.

Dojo AI는 전문화된 에이전트들이 반복 업무를 담당하고, 컨텍스트를 해석하고, 분석팀에게 명확성을 제공하여 사람은 진짜 중요한 순간에 집중할 수 있도록 돕는 것입니다.

회복 탄력성을 고려한 설계: 차원이 다른 AI

기존에 운영에 사용되어 온 AI는 빠른 해결을 약속해 왔습니다. 쿼리를 생성하는 코파일럿, 알림을 요약하는 대시보드, 명령에 반응하는 봇 같은 것들 말입니다. 그럼에도 불구하고 업무의 과중함은 줄어들지 않았습니다. 분석팀에게는 여전히 알림이 쏟아져 들어오고, 명확성에 비해 노이즈는 압도적으로 많았습니다.

Dojo AI가 다른 이유는 ‘회복 탄력성’이라는 철학 위에서 설계되었기 때문입니다.

• 도장에서 중요한 것은 규율입니다. 그래서 고객 데이터는 모델 학습에 절대 사용하지 않습니다. 대신 피드백을 통해 성능을 정교하게 다듬는 것입니다. 새로운 기반 모델의 강점은 우연이 아니라 설계에서 비롯된 것입니다.
• 모델 업그레이드는 이러한 기반 모델 AI 발전의 산물입니다. Dojo AI는 고객 시스템에서 통제되지 않는 위험한 학습은 하지 않습니다. AWS 기반 모델의 발전에 따른 장점을 그대로 흡수하는 것뿐입니다.

이 균형 덕분에 Dojo AI는 보안과 개인정보 보호를 희생하지 않고도 실질적인 회복 탄력성을 제공하는 것입니다.

Dojo AI의 구성 요소

Dojo는 단순한 아이디어가 아니라 이미 실제로 작동 중인 시스템입니다. 그 작동은 ‘인사이트 → 요약 → 쿼리 → 대화’의 진행 방식을 따릅니다.

• 요약 에이전트(Summary Agent): 각 인사이트별로 발생한 일, 트리거된 이유 및 중요한 컨텍스트를 명확하게 설명하므로 분석팀이 추가 조사 필요 여부를 즉시 판단할 수 있습니다.
• 쿼리 에이전트(Query Agent): 더 많은 정보가 필요할 때 자연어를 정교한 쿼리로 변환하여 쿼리 작성과 디버깅에 소요되는 시간을 없애 줍니다.
• 모봇(Mobot): 도장의 사부님 역할로 자연어를 통해 모든 에이전트와 분석팀을 연결하고 적절한 순간에 올바른 대응 조치를 조율합니다.

이 세 가지 에이전트가 함께 SOC의 일상을 바꿔 놓습니다. 이제 분석팀은 끝없는 알림 처리보다는 인식 → 명확한 파악 → 조사 과정을 원활하게 처리할 수 있습니다.

Dojo의 실제 활용

한 1티어 분석 담당자가 근무를 시작합니다. 보통 로그인하면 수많은 알림을 마주하게 됩니다. 대부분 오탐입니다. 그러나 모봇(Mobot)으로 시작하면 다릅니다.

‘지난 24시간 동안 심각도 높은 위협을 보여줘.’라고 입력합니다.

분석 담당자는 Sumo Logic에 의해 연관성이 확인된 인사이트부터 점검하게 됩니다. 요약 에이전트는 해당 인사이트가 왜 트리거되었는지 즉시 설명하고 연관된 신호로부터 필요한 컨텍스트를 추가합니다. 심층 조사가 필요하면 쿼리 에이전트가 몇 초 만에 정교한 추가 조회를 수행합니다.

알림 하나 처리에 60분이 걸리던 작업이 이제 정확도 하락 없이 한순간으로 단축됩니다.

다음은 회복 탄력성의 철학이 실제로 구현되는 몇 가지 예시입니다.

• 랜섬웨어 발생: 인사이트가 비정상적인 수평 이동을 포착합니다. 요약 에이전트가 해당 패턴이 랜섬웨어 행동과 어떻게 맞물리는지 설명합니다. 쿼리 에이전트가 즉시 다른 서브넷에서도 유사한 움직임이 있는지 피벗합니다.
• 내부자 위협: 인사이트가 비정상적인 파일 접근을 탐지합니다. 요약 에이전트가 기준 행동(baseline)과의 편차를 설명합니다. 쿼리 에이전트는 검증을 위해 해당 사용자의 30일간 접근 이력을 조회합니다.
• 클라우드 설정 오류: 인사이트가 S3 버킷 노출을 강조 표시합니다. 요약 에이전트는 해당 노출 위험에 대해 설명합니다. 쿼리 에이전트가 잠재적 악용 여부를 확인하기 위해 액세스 로그를 가져옵니다.

결과는 업무의 탄력성입니다. 분석팀은 중요한 위협에만 시간과 노력을 투자하게 됩니다.

Dojo AI의 차별점

많은 벤더 업체들이 AI를 말합니다. 그러나 Dojo AI가 독보적인 이유는 다음과 같은 철학 때문입니다.

1. 타협 없는 확장성: Sumo Logic은 15년 이상의 운영 경험을 바탕으로 하루에도 엑사바이트 규모의 텔레메트리를 처리합니다. 이 경험을 바탕으로 탁월한 컨텍스트를 제공하면서도 설계 단계부터 프라이버시를 유지합니다.
2. 규율을 갖춘 발전: 에이전트는 고객 데이터를 이용해 통제 없이 학습하는 것이 아니라 정제된 피드백과 새로운 기반 모델을 통해 발전합니다.
3. 컨텍스트 중심 요약: 개별 알림을 기계적으로 요약하는 도구와 달리 Dojo AI는 인사이트 단위로 요약하여 노이즈가 아닌 명확성을 제공합니다.
4. 병렬 워크플로: 에이전트형 아키텍처는 여러 에이전트가 동시에 움직이도록 하여 조사와 대응 속도를 가속화합니다.
5. 사람 중심 회복 탄력성: Dojo의 철학은 분석팀의 에너지를 소모하는 기계적 작업이 아닌 창의적 방어에 집중할 수 있는 환경을 복원합니다.

이것은 유행을 좇는 기술 경쟁이 아닙니다. 가장 필요한 곳, 즉 SOC에 회복 탄력성을 구축하는 것입니다.

Dojo AI의 인간적 면모

기술만으로는 전투에서 승리할 수 없습니다. 사람이 승리하는 것입니다. Dojo AI는 인간을 대체하는 것이 아니라 인간을 의미 있는 업무로 되돌리기 위해 만든 것입니다.

분석 담당자가 이 분야에 들어온 이유는 끝없는 오탐을 처리하기 위해서가 아닙니다. 문제를 해결하고 조직을 보호하며 공격자를 앞지르기 위해 이 일을 선택했습니다. Dojo AI가 그 업무를 돌려드립니다.

반복적인 업무를 Dojo AI가 처리하면 사람은 창의성과 판단, 전략에 집중할 수 있습니다. 사람은 원래의 모습, SOC 탄력성의 핵심이 되는 것입니다.

Dojo에 오신 것을 환영합니다. 회복 탄력성을 확보하세요.