[가트너 시큐리티 서밋 2025 참관기-10] AI 기반 자율적 SOC의 현실적 로드맵

기술 중심에서 벗어나서 “사람, 프로세스, 측정”이라는 기본으로 돌아가자는 것

#이 기고는 2025년 6월 9일~11일, 메릴랜드주 내셔널 하버 소재 Gaylord National Resort & Convention Center에서 개최된 ‘Gartner Security & Risk Management Summit 2025’에 참가한 파고네트웍스 권영목 대표와 임직원들이 보내온 참관기입니다. 가트너 서밋은 전 세계 CISO(최고정보보호책임자)와 보안 리더들을 대상으로 AI, 사이버 리스크, 회복력, 규제 준수 등 핵심 주제와 보안기술 트랜드에 집중한 최고 권위의 보안 행사입니다. 열번째 참관기는 권표 파고네트웍스 이사가 작성한 내용입니다.#

■AI 기반의 자율(Autonomous)적인 SOC의 현실적 로드맵

Kevin Schmidt가 발표한 "AI-Enhanced SOC Bridging the Gap to Advanced Automation in 2025" 세션은 '자율 SOC(Autonomous SOC)'라는 화두를 중심으로, 실제 보안 전문가들에게 매우 현실적이고 실행 가능한 청사진을 제시했다는 점에서 흥미로웠습니다.

인간과 AI 협업의 새로운 정의, ‘완전 자율 SOC’는 없다.

케빈은 "완전 자율 SOC는 결코 없을 것"이라는 도발적인 말로 강연을 시작했습니다. 이러한 주장을 뒷받침하기 위해 그는 지난 2024년 12월에 게재한 Gartner Research 자료인 "Predict 2025 : There Will Never Be an Autonomous SOC"를 참고 자료로 제시했습니다.

'자율 SOC'는 분석가를 완전히 배제한다는 오해를 풀고, 현실적인 관점에서 세션을 진행했는데, AI가 초기 분석과 대응을 자율적으로 수행하여 확보된 시간과 자원을 분석가가 고차원적인 위협 분석 및 전략적 의사결정에 활용하는, 즉 '궁극의 협업 모델'이라는 점이었습니다.

이 협업 모델의 진화를 설명하기 위해 두 가지 핵심 개념, '인간 참여형(Human-in-the-Loop, HITL)'과 '인간 감독형(Human-on-the-Loop, HOTL)'을 제시합니다.

▲증강 SOC (Augmented SOC) 단계 HITL: 이 단계에서 AI는 분석가를 돕는 '코파일럿(Co-pilot)' 역할을 수행합니다. 위협 알림의 내용을 요약해주거나 관련 정보를 찾아주는 등 분석가의 판단을 돕지만, 최종 판단과 대응은 전적으로 분석가 역할로 즉, 인간이 AI의 모든 결과물을 검토하고 승인하는 참여 모델입니다.

▲자율 SOC (Autonomous SOC) 단계 HOTL: 이 단계로 진입하면 AI는 단순 보조를 넘어 '신뢰도 점수(Confidence Scoring)'를 기반으로 독립적인 분석과 초동 조치를 수행합니다. 분석가는 모든 과정을 검토하는 대신, AI의 신뢰도가 낮거나, 새로운 유형의 공격(Edge/Exception Cases)이 발생하는 예외적인 상황에만 개입하여 감독하고 최종 결정하는 모델입니다.

이러한 재정의는 혼잡한 SOC의 상황을 정리하고, AI 도입의 목표를 '인사 조정'이 아닌 '인적 자원 가치의 효율 극대화'로 명확히 설정했다는 점에서 중요한 의미를 시사했습니다.

■SOC 자동화의 4단계, 성숙도에 따른 현실적 접근법

모든 기업이 처한 상황과 성숙도가 다르다는 점을 인정하며, 성공적인 AI SOC로 나아가기 위한 4단계 성숙도 모델을 제시했습니다. 이는 각 기업이 현재 위치를 진단하고 다음 단계로 나아가기 위한 구체적인 가이드 라인을 제공합니다.

▲1단계: 수동 SOC (Manual SOC)

-특징: 자동화가 거의 부재하며, 모든 프로세스가 분석가에 의존되기 때문에 처리 속도가 느리고, 일관성이 부족하며, 번아웃이 심각한 문제

-과제: 명확한 목표와 프로세스, 즉 운영 절차(SOP)를 수립하는 '기반 구축'이 최우선

▲2. 반자동화 SOC (Semi-automated SOC)

-특징: SOAR와 같은 도구를 도입하여 위협 알림 강화, 티켓 생성 등 반복적이고 정형화된 업무를 자동화

-핵심 전략: 가장 효과가 크고 시급한 영역부터 자동화하기 위한 '사용 사례 기반 프레임워크' 적용 필요. 예를 들어, 가장 빈번하게 발생하는 위협 유형이나, 처리 시간이 가장 오래 걸리는 업무를 우선순위 설정

▲3. 증강 SOC (Augmented SOC)

-특징: 본격적으로 AI가 도입되어 'Co-pilot' 어시스턴트가 분석가를 지원하고, 자연어 기반의 질의응답을 통해 위협 알림의 맥락을 제공하거나, 유사 사례를 찾는 등의 작업

-핵심 전략: 이 단계는 앞서 언급한 HITL 모델이 적용되므로 AI의 제안과 분석을 인간이 철저히 검증하며, 분석가의 검토를 기반으로 피드백 과정을 통해 AI 모델의 신뢰도를 점진적으로 높여나가는 것이 중요. 동시에 경험이 적은 분석가들의 역량을 빠르게 강화(upskilling)하는 데에도 효과적

▲4. 자율 SOC (Autonomous SOC)

-특징: LLM, 지식 그래프 등을 활용하는 고도화된 'AI 에이전트' 도입. 이 에이전트들은 독립적으로 데이터를 수집, 분석하고, 신뢰도 점수에 기반해 자동 대응까지 수행.

-핵심 전략: HOTL 모델로 전환되며, 이는 기업의 보안 정책, 대응 절차, 리스크 관리 체계가 매우 성숙했을 때 가능한 단계로 AI의 자율적인 행동을 허용하기 위한 명확한 가이드라인과 통제 장치 사전 정의 필요

이 4단계 모델이 순차적으로 접근하기 위한 좋은 단계이지만, 기업의 준비 상태에 따라 일부 단계를 건너뛰는 것도 가능합니다. 하지만 성공적인 도입을 위해서는 기업의 운영 성숙도(정책, 절차, 인력)를 먼저 갖추는 것이 필수적입니다.

■성공적인 SOC구축은 성과 측정 과정이 필수

발표 세션 중, 지속적으로 가장 강력하게 반복한 메시지 중 하나는 바로 '측정의 중요성'입니다. 그는 SOC의 발전을 위한 모든 기술 투자는 반드시 측정 가능한 성과로 입증되어야 한다고 설명했습니다. 초기 단계부터 명확한 기준선(Baseline)을 설정해야만, 자동화와 AI 도입 이후 얼마나 효율성이 개선되었는지, 즉 ROI(투자 대비 수익)를 객관적으로 증명할 수 있기 때문입니다.

그는 SOC 성숙도 모델의 각 단계별로 주목해야 할 핵심 성과 지표를 제시했습니다.

이처럼 성숙도가 높아질수록 측정의 초점은 '처리량'과 '속도'에서 'AI의 성능과 신뢰도', 그리고 '분석가의 만족도'로 이동합니다. 또한, 그는 자동화 및 AI 도구의 결과물을 맹신해서는 안 되며, 기존에 수립된 지표를 통해 "보안 도구에서 나오는 지표를 지속적으로 검증하라(Constantly validate the output)"고 조언했습니다.

■미래의 SOC, 기술을 넘어선 인간 중심의 진화

이번 강연은 'AI SOC' 라는 용어에 담긴 막연한 기대감과 불안감을 걷어내고, 기술과 인간이 어떻게 조화를 이룰 수 있는지에 대한 비전을 제시했습니다. 앞으로의 SOC는 분석가가 사라진 환경이 아니라, AI라는 훌륭한 조력자와 함께 분석가들이 자신의 역량을 최고 수준으로 발휘하도록 돕는 모델이 될 것이라는 점입니다.

AI는 EPP, EDR 기술 발전을 통해 사이버 보안 위협 탐지 환경을 변화시켰습니다. 과거 PAGO가 MDR 서비스를 한국 시장에 소개할 때부터 AI/ML 기반 제품에서 탐지된 위협이 오탐일 경우 해결책에 대한 질문을 많이 받았습니다. 이에 대한 답변은 분명했습니다. 분석가의 유효성 검증, 즉 사람의 개입 없이는 AI/ML 기반 보안 도구의 효율성을 극대화할 수 없습니다.

Autonomous SOC를 생각해 볼 때, 핵심은 “High Confidence” 에이전트 AI가 위협 신뢰도를 스코어링하고, 점수가 높으면 AI가 조치를 취하고 낮으면 분석가 검토가 필요하다는 점입니다. 그렇다면 이 신뢰도는 누가 만들까요? 지난 기사에서 언급했듯, 기업의 컨텍스트 이해 없이는 위협의 정확한 판단이 어렵습니다.

Gartner SRM Summit의 많은 Agentic AI를 주제로 한 세션에서 AI가 기업 컨텍스트 이해도 또한 훌륭할 것이라는 언급이 많았지만, 결국 “High Confidence”는 분석가의 피드와 결정으로 생성됩니다. 따라서 효과적인 증강 SOC 와 자율 SOC는 사람 개입 없이 구축할 수 없으며, 완전 자율 SOC는 없을 것이라는 점을 기억해야 합니다.

결론적으로 기술 중심에서 벗어나서 “사람, 프로세스, 측정”이라는 기본으로 돌아가자는 것입니다. 앞으로 차근히 준비해 나간다면 AI가 가져올 새로운 패러다임에서 더욱 강력하고 효율적인 보안 운영 체계를 구축할 수 있을 것입니다.