시스코, AI 에이전트로 SOC 역량 강화

By김우용

시스코는 미국 보스턴에서 개최된 스플렁크의 연례 행사 ‘닷컨프(.conf)’에서 스플렁크 ES에센셜 에디션과 스플렁크 ES 프리미어 에디션을 공개했다고 11일 밝혔다.

해당 에디션을 통해, 시스코는 고객에게 위협 탐지, 조사 및 대응(TDIR) 전반에 걸쳐 보안 워크플로우를 통합하는 두 가지 AI 에이전트 기반 섹옵스(SecOps) 옵션을 제공할 예정이다. SIEM 솔루션인 스플렁크 엔터프라이즈 시큐리티 8.2에 포함된 이 기능은 제품군을 간소화하고 고객에게 더 빠른 위협 대응 및 간소화된 보안 솔루션을 제공한다.

시스코는 미래형 에이전틱 보안 운영 센터(SOC) 구현을 위해 새로운 AI 기능을 공개했다. 이를 통해 보안 분석가는 전략적 의사결정에 집중할 수 있으며, 반복적이고 일상적인 업무는 AI가 자동으로 수행해 운영 효율성과 대응 속도를 더욱 높일 수 있다.

많은 시스코 보안 제품이 스플렁크 ES와 연동돼 있으며, 새 기능은 SOC 운영의 중심에 에이전트 AI를 두고 보안 인텔리전스를 네트워크 전반으로 확장한다. 스플렁크의 AI 에이전트는 복잡한 워크플로우를 단순히 자동화하는 데 그치지 않고, 수동 작업을 능동적이고 자율적인 보안 운영으로 전환해, 위협 관리를 간소화하고 보안 팀이 더 빠르고 효과적으로 대응할 수 있게 지원한다.

많은 기업이 방대한 데이터를 다루고 있지만, 무엇이 중요한지 그리고 언제 대응해야 하는지를 파악하는 데 어려움을 겪고 있다. 그 결과 섹옵스, IT옵스, 엔지니어링 팀 전반에서 운영의 사각지대와 비효율이 발생한다. 이는 위협을 적시에 탐지하고 대응이 이루어지지 못하게 해, 비즈니스를 피할 수 없는 위협에 노출시킨다.

이러한 문제를 예방하고, 더 나은 가시성과 맥락을 갖춘 에이전틱 SOC를 구축하기 위해, 고객은 다음 두 가지 유연한 솔루션 중 선택할 수 있다:

스플렁크 ES 프리미어 에디션은 스플렁크ES 8.2, 스플렁크 SOAR, 스플렁크 UEBA, 스플렁크 AI 어시스턴트를 하나로 통합해 일관된 사용자 경험을 제공하는 종합 솔루션이다. 스플렁크 ES 에센셜 에디션은 스플렁크 ES 8.2와 스플렁크 AI 어시스턴트 인 시큐리티를 결합해 일관된 사용자 경험을 제공한다.

보안 과제가 점점 더 복잡해지면서, 기업은 가시성을 높이고 탐지를 가속화하며 대응 과정을 간소화할 수 있는 통합 솔루션이 필요하다. 보안 운영을 강화하기 위해 다양한 AI 기반 기능이 선보여지고 있다:

트리아지 에이전트는 장기적이고 발생 빈도가 낮은 사례에서도 경보를 평가하고 우선순위를 매기고 설명한다. 이로써 분석가의 업무 부담을 줄이고 가장 중요한 사안을 찾아낸다. 멀웨어 리버설 에이전트(Malware Reversal Agent)는 AI 기반 역분석으로 악성 스크립트를 줄 단위로 분석하고, 침해 지표를 추출하며, 회피 기법을 식별하고 반복되는 행위를 그룹화한다.

AI 플레이북 오더링(AI Playbook Authoring)은 자연어로 표현된 의도를 기능적이고 검증된 SOAR 플레이북으로 변환하며, AI가 모든 단계에서 지원한다. 리스폰스 임포터(Response Importer)는 AI 에이전트가 SOC에서 정의한 표준 운영 절차(SOP)를 준수하고, 멀티모달 LLM을 활용해 SOP를 엔터프라이즈 시큐리티 대응 계획에 반영한다. AI 강화 탐지 라이브러리(AI-Enhanced Detection Library)는 탐지를 가설 단계에서 실제 운영 단계로 단 몇 분 만에 전환할 수 있도록 지원한다. 맞춤형 탐지 SPL 생성기는 라이브러리 내 탐지를 SOC의 고유 환경에 맞춰 개인화해 즉시 이용 가능하도록 한다.

스플렁크 내 아이소밸런트 런타임 시큐리티(eBPF)는 워크로드 전반에 걸쳐 즉각적이고 세분화된 가시성을 제공해, 잠재적인 보안 침해와 인프라 이상 현상을 신속하게 파악할 수 있다. 시스코 방화벽 데이터 페더레이션은 스플렁크 클라우드 플랫폼의 아마존 S3용 페더레이티드 서치와 보안 분석 및 로깅(SAL)간 통합을 통해, 분석가는 로그를 별도로 수집하지 않고도, 스플렁크 클라우드 플랫폼에서 SAL에 저장된 방화벽 로그를 직접 보안 분석할 수 있다.

스플렁크는 시스코의 보안 솔루션과 통합하여, 보안 팀이 위협을 더 빠르고 정확하게 탐지, 조사, 대응할 수 있도록 지원한다: 스플렁크 ES 에센셜 에디션은 전 세계 모든 지역에서 현재 이용 가능하며 스플렁크 ES 프리미어 에디션은 얼리 엑세스로 제공된다. 스플렁크 AI 어시스턴트 인 시큐리티는 전 세계 모든 지역에서 현재 이용 가능하다. 시스코 통합 기능과 함께 트리아지 에이전트, AI 플레이북 오서링, 리스폰스 임포터, AI 강화 탐지 라이브러리, 맞춤형 탐지 SPL 생성기 등의 추가 기능은 2026년에 제공될 예정이다.

마이크 혼 스플렁크 시큐리티의 수석 부사장 겸 총괄은 “사이버 공격 세력들은 이미 AI를 활용하고 있기 때문에, 방어하는 쪽에서도 가능한 모든 이점을 확보해야 한다”며 “우리의 보안 솔루션은 탐지, 조사, 대응을 하나의 직관적인 워크스페이스에서 처리할 수 있어, 도구의 파편화를 제거하고 효율성을 크게 높인다”고 설명했다.

그는 “내장된 AI는 경보 노이즈를 줄이고, 몇 시간 걸리던 조사를 몇 분 만에 끝낼 수 있도록 지원한다”며 “이제 모든 SOC는 선제적으로 위협을 막고, 모든 분석가들이 더 큰 역량을 발휘할 수 있게 될 것”이라고 강조했다.

글. 바이라인네트워크
<김우용 기자>yong2@byline.network

엔터프라이즈 소프트웨어 영역을 취재합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.