보안 운영센터(SOC)는 증가하는 위협과 정교해지는 공격 기술로 인해 탐지, 대응, 분석 업무의 부담이 가중되고 있다. 특히 기존 SIEM(Security Information and Event Management) 시스템은 수작업 중심의 탐지와 대응으로 인해 운영 병목 현상이 발생하고, 보안 인력의 부담을 가중시키고 있다.

데이터 및 보안 분석 글로벌 기업인 구루쿨(Gurucul)은 자사의 보안 분석 플랫폼 ‘리빌(REVEAL)’에 자율 주행 SIEM(Self-Driving SIEM)을 적용한 차세대 보안 운영 시스템을 공식 출시했다고 발표했다. 이 시스템은 에이전틱 AI와 향상된 생성AI를 기반으로 한 다중 AI 에이전트를 통해, 보안 운영 전반의 자동화를 실현하고 위협 대응 속도 향상을 목표로 한다.

데이터 파이프라인부터 대응까지, 전 주기 자동화 실현

구루쿨의 자율 주행 SIEM은 AI 기반 데이터 파이프라인 관리 기능을 포함하고 있다. 이를 통해 데이터 수집, 분류, 정규화, 필터링 작업을 자동화하여 수동 데이터 관리와 튜닝의 필요성을 최소화하고, 최대 40% 이상의 비용 절감 효과를 달성하고 있다. AI 기반 탐지 엔지니어링 기능은 공격 체인을 독립적으로 분석해 머신러닝 탐지 모델과 탐지 규칙을 자동 생성하고 최적화한다.

또한 AI 분석가는 자동 분류, 상황 정보 추가, 사용자 행동 분석, 외부 위협 인텔리전스 연계 등의 기능을 수행하며, 마이터 어택(MITRE ATT&CK) 프레임워크와 98% 이상 정렬된 탐지 체계를 바탕으로 공격 반경 영향까지 고려한 분석이 가능하다. 자연어 처리(NLP)를 기반으로 한 온디맨드 검색, 조사 보고서 자동 작성 기능도 함께 제공된다.

보안 팀의 역량을 극대화하는 AI 코파일럿 기능 도입

구루쿨은 생성AI 기반의 'Sme AI 코파일럿(Sme AI Copilot)'을 통해 보안 분석가의 조사 시간을 단축시키고 고급 프롬프트와 향상된 검색 기능, 사고 분석 역량을 확장하였다. 이 기능은 2023년 8월에 첫 공개된 후 이번 버전에서 대폭 향상되었다. 또한 AI 기반 오케스트레이션은 위협 환경에 따라 플레이북을 동적으로 수정하고 실행해 모든 공격에 대한 맞춤 대응이 가능하다.

구루쿨의 CEO 사류 나이야르(Saryu Nayyar)는 “보안 운영의 병목 현상과 경보 과부하 문제를 해결하기 위해 분석가 중심 워크플로 전반을 재설계했다.”라며 “에이전틱 AI 에이전트를 기반으로 한 특수 목적형 자동화는 SOC 팀이 진화하는 위협에 민첩하게 대응할 수 있도록 한다.”라고 밝혔다.

자율 주행 SIEM을 통해 구루쿨은 복잡하고 수작업 중심이던 보안 운영의 혁신을 가속화하고 있으며, AI 기반 보안 자동화의 새로운 기준을 제시하고 있다.