이글루코퍼레이션 “취약점 공격 1000배 빨라진 시대, 자율형 SOC 구축 필수”

“(이제까지) 관제 요원들은 자동화 보안 도구가 있더라도 경보가 발생해야만 업무를 시작했습니다. 자율형 보안운영센터(SOC)를 구축하는 순간 관제 요원은 대규모 언어 모델(LLM)에 상황을 계속 물어보면 됩니다. 경보 기반으로 사건이 발생해야만 대응하던 방식에서 벗어나 수시로 보안 사항에 대해 자연어로 질의하면 되는 겁니다.”

황범석 이글루코퍼레이션 기술위원은 지난 18일 <바이라인네트워크>가 서울 잠실 롯데호텔 3층 크리스탈볼룸에서 개최한 ‘사이버보안 기술 전략 컨퍼런스’에서 최신 SOC 운영 현황을 점검하고, 자율형 SOC 구축의 필요성을 강조하며 이같이 말했다.

최근 LLM을 통한 공격이 가능해지면서 취약점 발견부터 무기화까지 걸리는 시간이 약 1000배 단축됐다. 패치가 되지 않아 보안이 취약해진 시기를 노린 공격이 가속될 수 있다는 것이다. 공격자는 즉시 공격하지만 방어는 복잡한 보고 체계를 거쳐야 하는 대응 시간의 비대칭성도 확대됐다.

황 위원은 “AI 모델을 통한 위협이 발생했고 LLM의 무기화가 현실화됐다”며 “이 문제로 기존 정보보안 체계 전체가 흔들리면서 사이버보안 패러다임 전환이 가속화되고 있다”고 말했다.

때문에 자율형 SOC 도달을 위한 에이전트 체계 구축은 선택이 아닌 필수 과제가 됐다는 게 그의 설명이다. AI 에이전트가 취약점을 감지하고 코드를 생성해 즉시 패치를 배포하는 완전 자동화 체계를 구축해야 한다는 의미다.

에이전틱 SOC 구현을 위한 기술 엔진은 네가지로 제시됐다. ▲대규모 데이터 분석과 위험 탐지와 대응 분석을 수행할 ‘모델’ ▲AI의 판단 결과를 보안 환경에 즉각 반영하는 ‘실행 도구’ ▲AI 모델과 도구를 연결하는 ‘프로토콜’ ▲작업 후 자연어로 결과를 보고하는 ‘업무 프로세스’다.

가장 중요한 엔진은 멀티 AI 모델이다. 특히 황 위원은 외부와 단절된 사내 네트워크에 필요한 자체 보안 특화 LLM의 필요성을 강조했다. 최근 기업들이 업무에 맞는 AI를 적재적소에 사용하는 업무 방식을 선호하면서 외부 LLM과 보안 특화 소형언어모델(sLLM)의 연동이 향후 SOC 운영에 중요 지점이 됐다.

실행 도구와 프로토콜은 호환성 기능이 강조됐다. 실행 도구는 기존 보안 솔루션과의 호환성이 중요하다. AI를 위한 새로운 도구를 생성하기보다 기존 도구를 활용할 수 있도록 이미 존재하는 인프라를 활용해야 한다는 것이다. 또한 프로토콜은 각 도구들과 연동될 수 있도록 표준 규격인 모델 콘텍스트 프로토콜(MCP)로 설정돼야 한다.

업무 프로세스는 SOC 성숙도에 따라 자동화되는 양상을 보이고 있다. 이날 이글루코퍼레이션의 사이버보안 AI 에이전트 빌더 플랫폼 에어(AIR)는 자율형 SOC 체제의 예시로 개선된 워크플로우를 보여줬다.

에어는 AI 에이전트들이 유기적으로 협업할 수 있도록 조율하는 관제 프로그램이다. 최적의 보안 도구를 선택해 활용하고 사람이 알아들을 수 있는 자연어로 보고서를 완성하는 과정을 단일 플랫폼 내에서 수행한다. 이전에는 시스템이 경보를 알려야만 SOC 관계자들이 업무를 수행할 수 있었지만 에어 같은 보안 플랫폼을 통하면 LLM에 프롬프트를 입력해 수시로 보고받을 수 있다는 점이 장점이다.

이에 대해 황 위원은 “AI 에이전트가 많아질수록 보안 능력은 강력해질 것”이라며 “LLM과 MCP를 연결해 (개선된) 워크플로우를 만들었고 보고서도 자동으로 생성할 수 있다”고 말했다.

글. 바이라인네트워크
<오민선 기자>omsoms94@byline.network