AI가 바꾸는 보안관제센터, ‘이글루·SK쉴더스·안랩’ 3사 동향은?
보안관제센터(SOC)에서 사람이 맡던 역할이 인공지능(AI)을 중심으로 재편되고 있다. 경보를 놓치지 않는 것이 핵심이던 관제 업무에서 반복적인 경보 처리와 정리는 AI가 담당하고 사람은 경보의 맥락을 해석해 대응을 결정하는 역할로 이동하고 있다. 국내 주요 보안 관제 솔루션 제공 기업들은 최근 SOC에서 발생하는 병목 현상을 위협 탐지 역량 부족이 아니라 운영 구조에서 찾는다고 설명한다. 보안 도구가 늘수록 경보는 늘지만, 관제 인력의 시간은 위협 분석보다 규칙 튜닝과 연동 점검, 로그 누락 확인 같은 운영 유지에 더 많이 소모된다는 것이다.
글로벌 보안 기업 스플렁크(Splunk)가 지난해 발표한 ‘스테이트 오브 시큐리티(State of Security) 2025’ 보고서도 같은 문제를 지적한다. 보고서에 따르면, 응답자의 59%는 SOC 비효율의 주요 원인으로 ‘도구 유지보수’를 꼽았고, 46%는 “조직 방어보다 도구 유지에 더 많은 시간을 쓴다”고 답했다.
SOC가 느려지는 이유는 ‘경보가 많아서’만은 아니다. 보안정보·이벤트 관리(SIEM), 엔드포인트 탐지·대응(EDR), 네트워크 탐지·대응(NDR), 확장형 탐지·대응(XDR)처럼 도구가 늘수록 탐지 규칙 조정과 연동 오류 점검 같은 운영 업무가 함께 늘어난다. 경보가 갑자기 늘어난 원인을 확인하거나 특정 장비에서 로그가 빠졌는지 점검하고, 정책 충돌로 정상 트래픽이 차단되지는 않았는지 조정하는 과정도 SOC가 감당해야 한다.
이같은 흐름에서 AI가 적극적으로 활용되고 있다. 다만, 현재 SOC에서 AI는 반복 업무와 정리를 담당한다. 사람이 남기는 쪽은 기준과 책임이다. 스플렁크 보고서에서 “AI 도입으로 SOC 효율성이 중간 이상 향상됐다”는 응답은 59%였고, “AI를 보안 워크플로(업무 흐름)에 적용하는 것이 최우선 과제”라는 응답도 56%로 나타났다. 반면 “임무 핵심 업무를 AI가 완전히 수행해도 된다”고 완전히 신뢰하는 비율은 11%에 그쳤다. SOC가 AI에게 판단을 맡기는 구조라기보다, AI가 근거와 선택지를 제시하고 사람이 최종 결정을 내리는 구조로 재편되고 있다는 것이다.
국내에서 SOC를 오래 다뤄온 기업들은 이 변화를 ‘인력 대체’가 아니라 ‘운영 구조의 전환’으로 본다. 관제의 목표가 더 많은 경보를 띄우는 것이 아니라, 탐지, 분석, 대응, 보고까지의 흐름이 끊기지 않게 AI가 수행하도록 하고, 사람은 판단할 시간을 확보하는 쪽으로 옮겨가고 있다는 뜻이다.
이글루코퍼레이션, “탐지부터 대응까지 한 번에”…2026년 ‘자율형 SOC’ 구현 속도
국내 주요 SOC 솔루션 공급사인 이글루코퍼레이션은 2026년 전략의 키워드로 ‘자율형 보안운영센터(Autonomous SOC)’를 전면에 내세웠다. 기술과 프로세스, 인력 역량 강화를 함께 밀어붙여 공공과 민간에서 ‘자율형 SOC’를 구현할 수 있도록 돕고, 국가 망 보안체계(N²SF), 제로 트러스트(Zero Trust), 클라우드 전환, 인공지능 전환(AX)까지 포괄하는 보안 전략으로 확장하겠다는 구상이다.
현장에서는 AI를 언제부터 무엇에 쓰기 시작했는지부터 얘기가 나온다. 이글루코퍼레이션 관계자는 “2015년 무렵부터 빅데이터 연구를 시작했고, 실제 수익화로 이어진 것은 2018년부터”라며 “처음엔 보안 요원이 이벤트를 분류하고 레이블링하던 것을 AI가 자동으로 레이블링하고 우선순위를 지정해주는 형태로 들어왔다”고 설명했다.
그 다음 변화는 ‘부분 자동화’에서 ‘흐름 자동화’로의 이동이다. 이글루코퍼레이션 관계자는 “관제는 탐지 이후 분석을 하고, 분석 결과에 따라 차단과 보고서 작성 같은 대응을 이어가는데, 지금은 탐지가 되는 순간부터 대응까지 AI가 한 번에 가는 구조로 설계한다”고 설명했다. 이어 “요즘에는 리포트(보고서) 작성까지 AI가 한다”고도 덧붙였다.
이글루코퍼레이션이 말하는 ‘자율형 SOC’의 바닥에는 제품 구성이 깔려 있다. 회사는 AI 기반 하이브리드 확장형 탐지·대응(AI-driven Hybrid XDR) 체계로 ‘스파이더 이엑스디(SPiDER ExD)’ 고도화와 구축 확대를 추진하고, 통합 사용자 인터페이스(UI)에서 탐지·분석·자동화 대응을 일원화하겠다는 방침을 제시했다. 또 보안 오케스트레이션·자동화·대응(SOAR) 솔루션인 ‘스파이더 쏘아(SPiDER SOAR)’로 이기종 솔루션 연동과 대응 절차 자동화를 묶어, 관제 자동화의 실행 속도를 끌어올리고 있다.
여기에 보안 특화 AI 에이전트 ‘에어(AiR)’를 붙여, 사람이 “왜 이렇게 대응했는지”를 다시 확인하고 이해할 수 있도록 돕는 방향을 강조한다. 이글루코퍼레이션 관계자는 “초급·중급 인력은 AI가 왜 그런 판단을 했는지 궁금해하는데, 그 질문에 AI가 설명까지 해주면 업무 속도가 상당히 빨라진다”고 말했다.
업무 시간 단축 효과도 상당하다. 이글루코퍼레이션 관계자는 “한 건 대응에 분석, 대응, 보고서 생성까지 40~60분 걸리던 작업이 ‘스파이더 쏘아’ 덕분에 2~3분으로 줄었다”고 설명했다. 그는 “AI가 기존 데이터로 처리 가능한 위협을 맡아주면, 사람은 새롭게 등장하는 신종 위협에 선제적으로 대응 체계를 만드는 시간 여유가 생긴다”고도 덧붙였다.
2026년 전략에는 공공시장 대응도 포함됐다. 이글루코퍼레이션은 N²SF와 제로 트러스트 구현을 체험할 수 있는 ‘실증형 데모룸’ 구축, 사이버보안 실태평가 지표 개정에 맞춘 핵심 요건 점검 지원 체계 마련 등을 추진하겠다고 밝혔다. 또 AI 역량 내재화 측면에서는 교육 프로그램 ‘이글루스쿨’ 확대와 업스킬링(Up-skilling·기존 역량을 끌어올리는 재훈련), 리스킬링(Re-skilling·새 역할을 위한 재교육)까지 포함해 조직 운영 방식의 변화를 함께 추진하겠다는 계획도 밝혔다.
SK쉴더스, SOC의 ‘탐지 이후’ 공백 줄인다…“90% 자동화 유지, 사람은 기준과 소통”
SK쉴더스는 최근 AI를 통한 자동화를 ‘탐지 이후’까지 끌고 가는 방식으로 확장하고 있다.
SK쉴더스 관계자는 “SOC가 이상 징후를 탐지해 경보를 전달하는 체계라는 점을 전제로 하면서도, 실제 현장에서는 탐지 이후 대응이 지연될 수 있다는 점에 주목하고 있다”고 설명했다. 이 공백을 줄이는 방식으로 ‘관리형 탐지·대응(MDR, Managed Detection and Response)’을 강조해 왔다는 것이다.
자동화의 범위에 대해 SK쉴더스는 “AI와 자동화가 탐지, 분석, 대응, 보고 등 SOC 업무 전반에 걸쳐 빠르게 확산되고 있으며 대부분의 반복 업무는 자동화되고 있다”고 답했다. 다만 사람이 맡아야 할 영역으로 ‘AI·자동화 기준 설정’과 ‘고객 커뮤니케이션’을 짚었다. 무엇을 시스템화할지, 어떤 기준으로 자동화할지 정하는 역할과 고객 환경에 맞춰 소통하며 상황을 파악하는 역할은 사람이 수행해야 한다는 설명이다.
또 SK쉴더스는 “위협 알림이 80~90% 자동화 처리되면서 예외적인 위협 분석, 대응, 고객 맞춤형 서비스에 집중할 수 있는 환경으로 변화했다”고 밝혔다. 24시간 365일 모니터링과 대응이라는 기본 역할은 같지만, 반복 업무 비중이 줄어들면서 인력의 초점이 ‘예외 처리’와 ‘맞춤형 대응’으로 이동하고 있다는 의미다.
SK쉴더스 관계자는 “솔루션에서 90% 정도까지 위협 처리 자동화가 유지되고 있다”며 “시기마다 조금씩 달라질 수는 있다”고 덧붙였다.
고객 커뮤니케이션을 사람이 가져가야 한다는 이유도 명확했다. SK쉴더스 관계자는 “보안 관제는 상황이 시시각각 변한다”며 “실시간으로 전문가가 파악해 대응 방안을 제시하고 소통하는 부분이 아직 필요하다”고 말했다. 그는 “모든 것이 자동화되어 있다는 느낌이 고객 관점에서 좋지만은 않을 수 있다”고 덧붙였다.
SOC 고도화는 단계적으로 추진한다는 입장이다. SK쉴더스는 보안 관제 플랫폼 ‘시큐디움’을 기반으로 SOC 고도화를 진행 중이며 현재 2단계 고도화에 해당하는 자동화 고도화를 추진하고 있다고 설명했다. 여기에는 AI 에이전트나 어시스턴트 기능도 고도화 범위에 포함돼 있으며, 올해 12월 완료를 목표로 진행될 예정이다.

안랩, “ASM으로 시작해 AI로 완성”…맥락 중심 SOC 강조
안랩은 기존 보안 관제가 사고를 놓치는 근본 원인을 ‘사람의 역량’이 아니라 ‘관제 구조’에서 찾고 있다. 안랩은 인력 중심 SOC 체계의 한계로 ▲단위 솔루션별 이벤트 분석 ▲대량 이벤트 처리의 물리적 한계 ▲공격 흐름을 한눈에 파악하기 어려운 분절된 분석 구조를 꼽는다.
이 문제를 해결하기 위해 안랩은 차세대 SOC의 핵심으로 ‘공격표면관리(ASM)’ 기술을 내세우고 있다. 외부에 노출된 자산과 취약점을 사전에 파악하지 못한 상태에서는, 관제 단계에서 아무리 많은 이벤트를 분석하더라도 사고를 막기 어렵다는 판단이다.
실제 공격은 단일 이벤트가 아니라 취약점 탐색, 악성 파일 업로드, 내부 이동, 정보 유출로 이어지는 흐름으로 전개되기 때문에, 이를 하나의 맥락으로 묶어 볼 수 있어야 한다는 설명이다.
이 같은 문제의식에서 안랩은 네트워크, 엔드포인트, 행위 분석, 위협 인텔리전스(TI) 정보를 연계하고 있다. 공격 전 과정을 가시화하는 XDR, 다중 확장형 탐지·대응(MXDR)은 네트워크·엔드포인트·클라우드 등 여러 영역의 XDR 데이터를 통합 분석하고, 전문 조직이 실제 대응까지 수행하는 확장형 보안 관제 모델이다.
여기에 AI 자동화를 결합해, 탐지된 이벤트를 단순 나열하는 것이 아니라 “왜 위험한지, 어디까지 진행됐는지, 다음에 뭘 해야 하는지”를 제시하는 관제 체계로 전환하고 있다.
특히 관제 결과물의 변화가 핵심으로 제시됐다. 기존 SOC 보고서가 단일 솔루션 이벤트와 대응 내역 중심이었다면, AI 기반 SOC에서는 여러 보안 장비에서 수집된 정보를 종합해 공격의 전체 흐름과 근거를 함께 제시하는 ‘맥락 중심 보고서’로 바뀐다.
대응 역시 특정 장비 차단에 그치지 않고, 환경 전반의 설정 변경과 후속 조치를 포함해 자동화 기반으로 신속하게 이뤄지는 구조를 지향한다.
정순권 안랩 A-CERT 팀장은 “공격은 단일 이벤트가 아니라 흐름으로 진행된다. 초기 스캔은 흔한 이벤트일 수 있지만, ASM으로 파악된 외부 노출 취약점과 설명 없이 매칭되면 전혀 다른 의미를 갖는다”며 “이런 맥락을 함께 보지 않으면 관제는 늘 뒤늦을 수밖에 없다”고 설명했다.
다만 안랩은 ‘무인 SOC’라는 표현과는 선을 긋는다. AI가 탐지·분석·대응 방안을 제시하되, 최종 판단과 적용은 숙련된 전문가가 수행하는 구조를 전제로 한다. AI를 대체재가 아닌, 전문가의 시간을 확보하고 판단 정확도를 높이는 보조이자 증폭 도구로 위치 짓는 접근이다.
‘AI가 대신’이 아니라 ‘AI가 정리’…자동화로 판단 시간 확보
이처럼 최근 SOC의 기술 동향은 한 방향으로 모인다. 경보를 더 많이 띄우는 SOC에서, 대응까지 끊기지 않게 이어주는 SOC로 발전하고 있다.
이글루코퍼레이션이 말한 ‘탐지부터 대응까지 한 번에 가는 흐름’과, SK쉴더스가 강조하는 ‘탐지 이후 공백 최소화’, 안랩의 ‘맥락 중심 관제’ 방식은 접근법은 다르지만 핵심은 같다. 반복 업무 처리와 분석과 정리는 AI에게 맡기고, 사람은 기준 설정과 최종 판단, 고객과의 소통을 책임지는 구조로 관제 운영의 무게중심이 이동하고 있는 것이다.
AI와 자동화의 도입은 SOC 인력을 대체하기 위한 장치라기보다, 운영에 낭비하는 시간을 줄여 판단과 대응 설계에 돌려놓는 재설계로 진행되고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40



