분산된 보안 데이터를 실시간으로 통합·해석해 위협에 신속하게 대응하고자 하는 수요가 보안 운영팀 사이에서 높아지고 있다. SIEM 및 데이터 레이크 등 기존 보안 분석 인프라는 대량의 로그 수집과 분석에 유리하지만, 조치까지 이어지는 효율성과 맥락 인식에는 한계가 있다.
특히 다양한 클라우드 및 온프레미스 환경에서 발생하는 보안 이벤트는 상이한 스키마와 포맷으로 저장돼, 정규화 과정 없이 연관성을 파악하기 어렵다. 이에 따라 통합 검색 기반의 고속 자동화, 고품질 데이터 정제 및 전달을 지원하는 AI 기반 솔루션이 새로운 대안으로 주목받고 있다.
연합 검색 기반 보안 데이터 플랫폼 기업 쿼리ai(Query.ai)가 보안 운영팀을 위한 신규 기능 ‘쿼리 에이전트(Query Agents)’와 ‘쿼리 보안 데이터 파이프라인(Query Security Data Pipelines)’을 공개했다고 밝혔다.
두 기능은 현재 프리뷰 버전으로 제공되며, 별도의 ETL 없이 고품질 정규화 데이터를 기반 보안조사 자동화와 클라우드 데이터 저장을 지원한다.
목적 기반 고맥락 에이전트
쿼리 에이전트는 실시간 연합 검색을 통해 생성된 OCSF(Open Cybersecurity Schema Framework) 정규화 데이터 메시(Data Mesh) 위에서 동작한다. 이 에이전트는 특정 업무 목적에 맞춰 설계돼, 필요 시점에 필요한 데이터만 가져와 자동화된 조사, 위협 분석, 취약점 평가 등을 수행한다. 모든 데이터가 사전에 중앙화된 SIEM이나 단일 플랫폼에 저장되어 있을 필요가 없으며, 연합 검색을 통해 실시간 분산 데이터에 접근한다.
또한 일반 생성AI 모델보다 작고 정밀하게 설계돼, 보안 데이터에서 발생하는 맥락 혼란, 환각 오류(hallucination) 등을 줄일 수 있다. 쿼리닷에이아이 플랫폼의 고품질 정규화 데이터 구조 덕분에, 조사 속도와 정확성 측면에서도 기존 방식 대비 강점을 가진다.
OCSF 기반 데이터 파이프라인
보안 데이터 파이프라인 기능은 OCSF 표준에 정렬된 데이터셋을 고객이 보유한 클라우드 환경 또는 SIEM 시스템에 자동으로 저장한다. 이 기능은 아마존 S3(Amazon S3), 애저 블롭 스토리지(Azure Blob Storage, Data Lake Service V2), 구글 클라우드 스토리지(Google Cloud Storage), 스플렁크(Splunk)를 지원하며, 추가적으로 스노우플레이크(Snowflake), 데이터브릭스(Databricks), 아마존 시큐리티 레이크(Amazon Security Lake) 지원도 예정돼 있다.
이 파이프라인은 별도의 ETL 처리나 스키마 매핑 과정 없이도 OCSF 정렬 데이터를 ‘골드’ 품질로 유지하며 전송할 수 있다. 데이터 엔지니어링 부담을 줄이고, 저장 이후 즉시 분석 가능하도록 설계돼 있다.
쿼리ai는 이번 신기능을 통해 중앙화된 데이터 처리 모델을 벗어나, 분산된 환경 속에서도 고품질 보안 인텔리전스를 실시간으로 확보할 수 있는 방식을 제시했다. 보안 운영팀은 다양한 소스의 데이터를 별도 통합 작업 없이 실시간 분석에 활용할 수 있으며, 업무 목적에 맞는 정밀한 에이전트를 통해 대응 속도와 효율성을 높일 수 있다.
쿼리ai 맷 에버하트(Matt Eberhart) CEO는 “보안팀은 이미 데이터를 갖고 있지만, 그것을 제대로 활용하는 것이 너무 어렵다.”라며 “우리는 고객과 협력해 AI와 데이터 모범 사례를 활용한 솔루션을 만들었고, 이제 보안팀이 배관 작업(plumbing)에 집중하지 않고 진짜 임무에 집중할 수 있다.”라고 말했다.
관련기사
- “에이전틱 AI 기반 보안 자동화로 사이버 리스크 대응 혁신”
- AI 융합 생태계 확장하는 알리바바, 큐원 기반 실생활 적용 본격화
- 생성AI 확산 속 섀도우 AI 급증, 기업 보안 적신호...실시간 거버넌스 시급
- 선제적 보안 시대, AI와 디지털 트윈 융합으로 기업 위협 대응 강화
- 보안에 강한 올인원 커뮤니케이션 플랫폼...정부·기업 커뮤니케이션 자율성 확보
- AI 에이전트 자율 인프라 플랫폼, IT 생산성↑운영비용↓
- IP 사용 패턴 실시간 분석·맥락 기반 탐지로 사이버 위협 선제 대응
- 스노우플레이크, AI 데이터 클라우드 컨퍼런스 ‘월드 투어 서울’ 개최
- AI SOC 도입, 조사 시간 25% 단축...보안 운영 자동화 필수로 부상
- 실시간 탐지·자동 대응 차세대 SIEM, 기업 보안 선제 대응·운영 효율↑
- AI 데이터 엔지니어, 자동 코드 생성으로 기업 데이터 파이프라인 혁신
- 시스코와 통합된 스플렁크 ES 프리미어·에센셜...AI 에이전트 기반 SOC 강화
- 멘딕스-스노우플레이크, 데이터 기반 애플리케이션 개발 협력
- 동원그룹, 데이터브릭스 데이터 인텔리전스 플랫폼 도입...전사 AI 기반 스마트 전환 가속
- SIEM·SOAR 통합으로 사전 예방적 대응과 보안 운영 강화
- 스노우플레이크, 오픈 시맨틱 인터체인지 출범...AI·BI 상호운용성 가속화
- 스노우플레이크 포 스타트업, 스티트업 AI 인프라·보안 부담 해소
- 데이터브릭스, 레이크하우스 기반 실시간 위협 탐지 플랫폼 공개