Skip to content
Published on

AI SOC (보안 운영 센터) 2026 완벽 가이드 - Splunk AI · Microsoft Security Copilot · Devo · LogRhythm · Sumo Logic · Elastic Security · IBM QRadar · Chronicle 심층 분석

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

들어가며 — 2026년 5월, SOC는 "분석가 부족 + AI tier-1 자동화"라는 두 흐름이 정착했다

2020년대 초 SOC(Security Operations Center)의 가장 큰 문제는 **알림 피로(alert fatigue)**와 분석가 번아웃이었다. 평균적인 엔터프라이즈 SOC는 하루 1만 건 이상의 알림을 받지만, 사람이 처리할 수 있는 건 수백 건에 불과했다. 2024년부터 본격화된 생성형 AI 도입은 이 격차를 정면으로 겨냥했다.

2026년 5월 현재, 주요 SIEM/XDR/SOAR 공급자는 모두 자체 LLM 기반 어시스턴트를 GA로 내놨다. Splunk AI Assistant, Microsoft Security Copilot, Elastic AI Assistant, CrowdStrike Charlotte AI, SentinelOne Purple AI가 그 예다. 이 글은 마케팅 시트가 아니라 실제로 어떤 도구가 어떤 자리에 들어가고 있는가를 정직하게 짚는다.

SOC 2026 풍경 — tier-1 자동화, tier-2 보조, tier-3 인간 중심

전통적으로 SOC는 3 tier 구조다.

  • Tier 1 — 트리아지(triage): 알림 분류, 거짓양성 제거, 단순 케이스 종료
  • Tier 2 — 조사(investigation): 멀티 이벤트 상관, 컨텍스트 수집, 에스컬레이션 판단
  • Tier 3 — 위협 헌팅(threat hunting), 사고 대응(IR), 포렌식

2026년의 변화는 명확하다. Tier 1 업무의 60-80%가 AI/SOAR로 자동화되고, Tier 2는 AI 보조 + 사람 판단의 협업 구조로 바뀌고, Tier 3는 여전히 시니어 인력 중심으로 남는다. 가트너 2025년 분석에 따르면 평균 SOC의 알림당 처리 시간(MTTD/MTTR)이 AI 도입 전후로 40-60% 단축됐다.

SIEM 시장 지형 — Splunk · Microsoft Sentinel · Chronicle · Elastic · IBM QRadar의 재편

SIEM(Security Information & Event Management)은 SOC의 심장이다. 로그 수집, 정규화, 상관 분석, 알림이 한 자리에서 일어난다. 2026년 5월 기준 주요 사업자는 다음과 같이 재편됐다.

  • Splunk Enterprise Security + Splunk AI Assistant: 2024년 3월 시스코가 280억 달러에 인수 완료. 매니지드(Splunk Cloud)와 자체호스팅 모두 강함. AI 어시스턴트는 SPL 작성과 알림 분석에 특화.
  • Microsoft Sentinel + Security Copilot: 2024년 4월 GA. SCU(Security Compute Unit) 시간당 과금 모델. Azure/M365 데이터와 깊이 통합.
  • Google Chronicle + Gemini in Security Operations: 2022년 Mandiant 인수 통합 완료. 페이저(petabyte) 스케일 검색 + Gemini 위협 인텔리전스 결합.
  • IBM QRadar SIEM: 2024년 IBM이 Palo Alto Networks에 매각. 신규 고객은 Cortex XSIAM으로 이전 중. 기존 QRadar 고객 지원은 2027년까지 보장.
  • Elastic Security 8.x + Elastic AI Assistant: Elasticsearch 위에 올린 SIEM. OSS 기반 + 상용 ML.
  • Sumo Logic Cloud SIEM: SaaS-native. 2023년 Francisco Partners가 인수해 비공개 전환.
  • Devo Platform: 1년 핫 + 400일 콜드 보관 표준. 데이터 보존 비용 우위로 차별화.
  • LogRhythm Axon: 2023년 LogRhythm + Exabeam이 사실상 합병. Axon은 클라우드 네이티브 라인.
  • Exabeam Fusion: UEBA + SIEM. LogRhythm 합병 후에도 별도 SKU로 유지.
  • Rapid7 InsightIDR: SMB와 중견 시장 강세. XDR/SOAR과 결합.
  • Securonix Next-Gen SIEM: Snowflake 위의 SIEM. 빅데이터 분석 강조.

가트너 2025 매직 쿼드런트 리더는 Splunk, Microsoft Sentinel, IBM QRadar(전환 중), Securonix, Exabeam 다섯이다.

Splunk Enterprise Security + Splunk AI Assistant — 시스코 시대의 SIEM 1위

Splunk는 2024년 3월 시스코가 280억 달러에 인수했다. 인수 후에도 제품 라인은 유지됐고, 시스코 보안 제품(Talos 위협 인텔리전스, Duo, Umbrella)과 데이터 연동이 강화되는 방향으로 가고 있다.

Splunk AI Assistant for Security는 2024년 GA됐고, 2025년 후속 릴리스에서 다음 기능이 추가됐다.

  • SPL 자연어 변환: 한국어/영어 자연어로 질의하면 SPL 쿼리로 변환.
  • 알림 요약: 멀티 이벤트 상관관계를 사람이 읽을 수 있는 요약으로 생성.
  • MITRE ATT&CK 자동 매핑: 알림을 ATT&CK 기법 ID로 라벨링.
  • 플레이북 추천: SOAR로 자동 전달할 응답 단계 추천.

전형적인 SPL 쿼리는 다음과 같다.

index=windows EventCode=4625
| stats count by user, src_ip
| where count > 10
| eval risk_score=case(count > 50, "high", count > 20, "medium", true(), "low")
| sort -count

AI Assistant에 "지난 1시간 동안 같은 IP에서 동일 사용자에 대한 실패한 로그인이 10회 이상인 사례"라고 한국어로 물으면 위와 유사한 SPL이 생성된다. 다만 출력 SPL은 항상 검토해야 한다. 부정확한 인덱스 이름이나 잘못된 시간 윈도가 들어가는 경우가 있다.

Microsoft Sentinel + Security Copilot — SCU 과금 모델과 M365 통합

Microsoft Sentinel은 Azure 네이티브 SIEM이다. Log Analytics 위에 올린 구조라 GB당 수집 요금 + Sentinel 분석 요금이 별도로 부과된다. Security Copilot은 2024년 4월 GA되었고, 시간당 SCU(Security Compute Unit) 단위로 과금된다.

2026년 5월 기준 Security Copilot의 주요 기능은 다음과 같다.

  • 인시던트 요약: Sentinel/Defender XDR/Intune 알림을 자연어로 요약.
  • KQL 자연어 변환: Kusto Query Language를 자연어로 생성.
  • 위협 인텔리전스 보강: Defender Threat Intelligence와 결합한 외부 컨텍스트.
  • 스크립트 분석: 의심스러운 PowerShell/배치 스크립트를 분석해 의도 설명.
  • 공급망 영향 분석: 취약점 CVE의 영향 범위를 자동 평가.

KQL 쿼리 예시는 다음과 같다.

SigninLogs
| where TimeGenerated > ago(1h)
| where ResultType != 0
| summarize FailedCount = count() by UserPrincipalName, IPAddress
| where FailedCount > 10
| order by FailedCount desc

Sentinel은 Azure/M365 데이터(Entra ID, Defender for Endpoint, Office 365, Intune)와 깊이 통합되어 마이크로소프트 일변도 환경에서 압도적이다. 멀티 클라우드/온프렘 비중이 크면 Splunk나 Chronicle이 더 합리적이다.

Google Chronicle + Gemini in Security Operations — Mandiant 인수의 결실

Google Chronicle은 2022년 Mandiant 인수($54억) 통합이 완료되며 Chronicle Security Operations로 리브랜딩됐다. 2024년부터는 Gemini 모델이 통합되어 Gemini in Security Operations라는 이름으로 GA됐다.

특징은 다음과 같다.

  • 페타바이트 스케일 검색: BigQuery 위의 인덱싱으로 1년치 로그를 초 단위로 검색.
  • 고정 가격: 데이터 수집량이 아닌 노드 수 기반 과금이 차별점.
  • Mandiant 위협 인텔리전스 기본 포함: 침해지표(IOC), 위협 행위자 프로파일이 1급 시민.
  • UDM(Unified Data Model): 다양한 로그 포맷을 정규화한 표준 스키마.
  • Gemini 보조: YARA-L 규칙 작성, 알림 요약, 위협 헌팅 쿼리 자동 생성.

YARA-L 규칙 예시는 다음과 같다.

rule suspicious_lateral_movement {
  meta:
    author = "soc-team"
    severity = "High"
  events:
    $login.metadata.event_type = "USER_LOGIN"
    $login.principal.user.userid = $user
    $login.principal.ip = $src_ip
    $rdp.metadata.event_type = "NETWORK_CONNECTION"
    $rdp.network.application_protocol = "RDP"
    $rdp.principal.user.userid = $user
    $rdp.principal.ip = $src_ip
    $login.metadata.event_timestamp.seconds < $rdp.metadata.event_timestamp.seconds
  match:
    $user, $src_ip over 1h
  condition:
    $login and $rdp
}

Chronicle의 강점은 장기 보존 비용이다. 1년치 로그를 매일 검색 가능한 형태로 유지하는 비용이 Splunk/Sentinel보다 크게 낮다. 약점은 GCP 외 매니지드 환경의 데이터 통합이 상대적으로 약하다는 점이다.

IBM QRadar → Palo Alto Cortex XSIAM — 2024년 매각 이후의 전환

2024년 5월 IBM은 QRadar SaaS 자산을 Palo Alto Networks에 매각했다. 매각 발표 후 신규 고객은 Cortex XSIAM으로 이전을 권고받고, 기존 QRadar 고객은 2027년까지 지원이 보장된다.

Cortex XSIAM은 Palo Alto의 AI-driven SOC 플랫폼이다. 기존 Cortex XDR(엔드포인트) + SIEM + SOAR + UEBA + ITDR(Identity Threat Detection & Response)을 하나로 묶었다.

  • 데이터 인입: 자체 데이터레이크. 단위 GB가 아닌 자산(asset) 단위 라이선스.
  • AI 자동화: 약 75% 알림이 자동 종결된다고 마케팅. 실제 데이터는 환경마다 다름.
  • 자동 분석가(Auto-Analyst): 알림에 대한 자동 조사 보고서 생성.
  • MITRE ATT&CK 매핑: 자동.
  • 통합 SOAR: 별도 도구 없이 응답 자동화 가능.

기존 QRadar AQL 쿼리는 다음과 비슷하다.

SELECT sourceip, destinationip, COUNT(*) AS cnt
FROM events
WHERE category = 8001
AND LOGSOURCETYPENAME(logsourceid) = 'Microsoft Windows Security Event Log'
AND starttime > NOW() - INTERVAL '1' HOUR
GROUP BY sourceip, destinationip
HAVING COUNT(*) > 100
ORDER BY cnt DESC

QRadar 사용자의 XSIAM 이전은 큰 작업이다. 룰셋, 페어서, 대시보드를 새로 만들어야 한다. Palo Alto는 마이그레이션 도구를 제공하지만, 실제 이행에는 통상 6-12개월이 걸린다.

Elastic Security + Elastic AI Assistant — 오픈 스택 SIEM의 표준

Elastic Security는 Elasticsearch + Kibana + Beats 위에 올린 SIEM이다. Elastic Cloud(매니지드)와 자체호스팅 모두 가능하고, 핵심은 OSS 기반이라 라이선스 비용이 상대적으로 낮다.

2025년 도입된 Elastic AI Assistant for Security는 다음 기능을 제공한다.

  • ES|QL/KQL 생성: Elastic Query Language를 자연어로 변환.
  • 알림 분류 보조: 알림 페이지에서 "이게 진짜야 거짓양성이야"를 LLM이 평가.
  • 공격 발견(Attack Discovery): 멀티 알림을 묶어 공격 시나리오로 재구성.
  • 외부 모델 연결: OpenAI, Bedrock, Azure OpenAI를 사용자 키로 연결 가능. 데이터 주권 유지.

ES|QL 예시는 다음과 같다.

FROM logs-windows.security-*
| WHERE event.code == "4625"
| STATS count = COUNT(*) BY user.name, source.ip
| WHERE count > 10
| SORT count DESC
| LIMIT 50

Elastic의 강점은 자체호스팅 옵션과 가격 투명성이다. 약점은 K8s/Elasticsearch 운영 비용을 직접 떠안아야 한다는 점이다.

Sumo Logic · Devo · LogRhythm · Securonix — 중견 SIEM 라인업

리더 그룹 외에 중견 시장에서 의미 있는 SIEM은 다음과 같다.

  • Sumo Logic Cloud SIEM: SaaS-native. AWS/Azure/GCP 로그 인입에 강점. Francisco Partners 인수 후 R&D 투자 지속.
  • Devo Platform: 1년 핫 + 400일 콜드를 기본 가격에 포함. 데이터 보존 비용에 민감한 환경에 인기.
  • LogRhythm Axon: 클라우드 네이티브 라인. 2023년 Exabeam 합병 이후 두 라인 공존.
  • Securonix Next-Gen SIEM: Snowflake 데이터 클라우드 위에 SIEM 구축. 행동 분석 강조.

이들은 가트너 리더는 아니지만 특정 환경(데이터 보존 비용, 클라우드 비중, 멀티 테넌트 MSSP)에서 합리적 선택이다.

XDR — CrowdStrike Falcon · SentinelOne · Microsoft Defender · Cortex의 4강 구도

XDR(Extended Detection & Response)은 엔드포인트 + 네트워크 + 클라우드 + 이메일 + 신원을 한 자리에서 본다. SIEM과 겹치는 영역이 있지만 사전 정의된 탐지 + 자동 응답 + 가벼운 로깅에 최적화됐다.

2026년 5월 4강 구도는 다음과 같다.

  • CrowdStrike Falcon + Charlotte AI: 엔드포인트 보안의 사실상 1위. 2024년 7월의 글로벌 BSOD 사고에도 불구하고 시장 점유율은 회복.
  • SentinelOne Singularity + Purple AI: 두 번째 줄. AI 응답 자동화 차별화.
  • Microsoft Defender XDR: 엔드포인트(Defender for Endpoint) + 신원(Defender for Identity) + 메일(Defender for O365) + 클라우드(Defender for Cloud) 통합.
  • Palo Alto Cortex XDR/XSIAM: 엔드포인트 + 네트워크 + 클라우드. XSIAM은 XDR + SIEM + SOAR 통합 라인.

추가로 Trend Micro Vision One, Cybereason XDR도 의미 있는 시장 점유를 갖는다.

CrowdStrike Charlotte AI — 자연어 위협 헌팅

CrowdStrike는 2023년 RSA에서 Charlotte AI를 공개했고, 2024년 GA됐다. 이름은 1989년에 처음 발견된 워크스테이션 바이러스 이름에서 따왔다.

  • 자연어 질의: "지난 24시간 동안 흔치 않은 PowerShell 실행이 있었나"를 그대로 물으면 결과 반환.
  • 알림 트리아지 자동화: 알림에 대한 자동 위험도 평가.
  • 위협 인텔리전스 보강: CrowdStrike Falcon Intelligence와 결합.
  • Threat Graph 통합: 페타바이트 이벤트 그래프에 자연어로 접근.

Falcon Query Language(FQL) 예시는 다음과 같다.

ProcessRollup2
| where FileName == "powershell.exe"
| where CommandLine contains "-EncodedCommand"
| limit 100

CrowdStrike의 강점은 시장 점유율과 이벤트 그래프 규모다. 모든 고객 환경에서 들어오는 위협 신호가 한 그래프에 모이는 효과로, 신생 위협 탐지가 빠르다.

SentinelOne Purple AI — 자율 SOC 비전

SentinelOne의 Purple AI는 CrowdStrike Charlotte와 같은 자리를 두고 경쟁한다. 차별화 포인트는 자율 SOC(Autonomous SOC) 비전이다.

  • 자연어 위협 헌팅: 한국어/영어 자연어 질의.
  • 하이퍼오토메이션 응답: 알림 → 조사 → 격리 → 보고서까지 자동.
  • 모델 선택권: OpenAI, Anthropic, 자체 모델을 옵션으로 제공.
  • 데이터 호수: Singularity Data Lake 위에서 동작.

SentinelOne의 강점은 자동 응답의 적극성이다. 단점은 그만큼 거짓양성 시 영향이 크다는 점이라, 자동 격리 정책은 단계적으로 도입해야 한다.

SOAR 시장 — Splunk SOAR · Cortex XSOAR · Tines · Torq · Swimlane

SOAR(Security Orchestration, Automation & Response)는 SIEM/XDR에서 오는 알림을 받아 플레이북으로 자동 응답한다. 2026년 5월 주요 사업자는 다음과 같다.

  • Splunk SOAR (전 Phantom): Splunk 인수 이후 시스코 보안 라인의 자동화 코어.
  • Palo Alto Cortex XSOAR (전 Demisto): 2019년 Palo Alto가 5.6억 달러에 인수. 플레이북 마켓플레이스가 가장 큼.
  • Tines: 더블린 출신. 노코드 SOAR의 대표주자. UX 친화적.
  • Torq: 클라우드 네이티브 SOAR. 이스라엘 출신.
  • Swimlane: 저코드 SOAR + AI 보조.
  • D3 Security: 라이프사이클 관리 강조.
  • IBM Resilient (전 Resilient Systems): QRadar SaaS와 함께 Palo Alto로 이전 가능성 검토 중.

Tines 플레이북 예시(YAML 비슷한 액션 흐름)는 다음과 같다.

name: Phishing Triage
trigger:
  type: webhook
  source: email_gateway
actions:
  - name: Extract URLs
    type: regex
    pattern: 'https?://[\\w./-]+'
  - name: VirusTotal Lookup
    type: http_request
    method: GET
    url: 'https://www.virustotal.com/api/v3/urls/$URL_HASH'
    headers:
      x-apikey: '$VT_API_KEY'
  - name: Update Ticket
    type: jira_create
    project: SOC
    summary: 'Phishing alert from $EMAIL_FROM'

SOAR 선택 기준은 데이터 출처와 운영 모델이다. Splunk/Sentinel 중심 환경은 Splunk SOAR/Sentinel 자동화로 충분하고, 멀티 플랫폼 환경은 Tines/Torq 같은 독립 SOAR가 합리적이다.

위협 인텔리전스 — Recorded Future · Mandiant · Anomali · MISP

위협 인텔리전스는 외부 위협 신호를 SOC에 공급하는 레이어다. 주요 사업자는 다음과 같다.

  • Recorded Future + AI Insights: 매출 기준 1위. 다국어 OSINT + 다크웹 수집.
  • Mandiant Advantage: 2022년 Google이 54억 달러에 인수. Chronicle과 통합.
  • Anomali ThreatStream: 위협 인텔 플랫폼(TIP). 멀티 소스 집계 + 정규화.
  • ThreatConnect: TIP + SOAR 통합 라인.
  • CrowdStrike Falcon Intelligence: Falcon과 묶음.
  • Microsoft Defender Threat Intelligence: Sentinel/Defender와 묶음.
  • MISP (Malware Information Sharing Platform): 오픈소스. EU/공공 분야 표준.

MISP 이벤트 객체는 STIX 2.x로 표현되며, 일부 구조는 다음과 같다.

{
  "type": "indicator",
  "id": "indicator--abcd1234-...",
  "created": "2026-05-15T12:00:00.000Z",
  "modified": "2026-05-15T12:00:00.000Z",
  "name": "Malicious URL",
  "indicator_types": ["malicious-activity"],
  "pattern": "[url:value = 'http://evil.example.com/payload']",
  "pattern_type": "stix",
  "valid_from": "2026-05-15T12:00:00.000Z"
}

내부 SOC 운영은 보통 상용 1개(Recorded Future 또는 Mandiant) + MISP 1개의 조합이 가장 흔하다.

EDR — 엔드포인트의 마지막 방어선

EDR(Endpoint Detection & Response)은 워크스테이션/서버에서 직접 관찰한다. XDR의 핵심 데이터 소스이기도 하다.

  • CrowdStrike Falcon: 점유율 1위. 가벼운 에이전트 + 클라우드 기반 분석.
  • SentinelOne Singularity: 엔드포인트 + 클라우드 워크로드.
  • Microsoft Defender for Endpoint: M365 라이선스에 포함 가능. 윈도우 환경에서 가장 깊이 통합.
  • Sophos Intercept X: 중소기업 시장 강세.
  • VMware Carbon Black: 2019년 VMware 인수, 2024년 Broadcom 인수 이후 라인업 정리 중.
  • Cybereason Defense Platform: 일본 자본(SoftBank) 투자. 일본 시장 강함.
  • Trend Micro Apex One: 일본 사업자 글로벌 진출 EDR.

엔터프라이즈는 단일 EDR 표준화가 보통이다. 윈도우/맥/리눅스 + 컨테이너까지 같은 에이전트로 다루려는 압박이 강해 멀티 EDR은 운영 부담이 크다.

UEBA — Exabeam · Securonix · Splunk UBA · Defender for Identity

UEBA(User and Entity Behavior Analytics)는 사용자/엔티티의 평소 행동에서 벗어난 이상치를 탐지한다. 내부자 위협, 계정 탈취, 권한 남용 탐지에 강하다.

  • Exabeam Fusion: UEBA 시장의 초기 리더. Smart Timeline이 차별화.
  • Securonix UEBA: SIEM과 통합. Snowflake 위에 빅데이터 분석.
  • Splunk User Behavior Analytics (UBA): Splunk와 결합. 머신러닝 위주.
  • Microsoft Defender for Identity (전 Azure ATP): 온프렘 AD 신호 분석. Sentinel/Defender XDR와 통합.

UEBA의 핵심은 베이스라인 학습이다. 평소 행동 모델을 만들어 두고 이탈을 감지한다. 단점은 셋업 비용과 거짓양성이라, 분리된 UEBA 도구보다 SIEM 통합 UEBA가 현실적인 선택이 늘고 있다.

클라우드 네이티브 SOC — Panther · Hunters · Anvilogic · Vectra AI

신생 클라우드 네이티브 보안 플랫폼도 빠르게 자리잡고 있다.

  • Panther Labs: 코드 우선(detection-as-code) SIEM. Python으로 탐지 룰 작성. Snowflake/Athena 백엔드.
  • Hunters AI SOC Platform: AI 우선. 알림 트리아지를 LLM이 처리.
  • Anvilogic: 다중 SIEM을 위에 올린 메타 보안 플랫폼. Snowflake/Splunk/Sentinel을 같은 인터페이스로.
  • Vectra AI: NDR(Network Detection & Response) + AI. 메타데이터 기반 네트워크 분석.

이 네 사업자의 공통점은 AI 우선 + 클라우드 네이티브 + 가격 투명성이다. 가트너 리더는 아직 아니지만, 신생 SOC를 처음부터 짤 때 의미 있는 후보다.

Panther 탐지 룰 예시(Python)는 다음과 같다.

from panther_base_helpers import deep_get

def rule(event):
    return (
        event.get("eventName") == "ConsoleLogin"
        and deep_get(event, "responseElements", "ConsoleLogin") == "Failure"
        and deep_get(event, "additionalEventData", "MFAUsed") == "No"
    )

def title(event):
    user = deep_get(event, "userIdentity", "arn", default="unknown")
    return f"AWS Console login failure without MFA: {user}"

def severity(event):
    return "MEDIUM"

오픈소스 SOC 스택 — Wazuh · TheHive · MISP · OpenSearch · Suricata

라이선스 예산이 빠듯하거나 풀 컨트롤이 필요할 때 오픈소스 스택은 여전히 강력하다.

  • Wazuh: 오픈소스 SIEM/XDR. OSSEC을 기반으로 발전. 무료 + 매니지드 옵션.
  • TheHive + Cortex: 사고 대응(IR) 케이스 관리 + 분석 자동화.
  • MISP: 위협 인텔 공유 플랫폼.
  • OpenSearch + OpenSearch Security: Elasticsearch 7.10 OSS 포크. AWS 주도.
  • Suricata, Zeek: NIDS(Network Intrusion Detection System). 패킷 분석.
  • Velociraptor: 디지털 포렌식 + 사고 대응 도구. 무료 + Rapid7 매니지드.
  • OSSEC: 호스트 기반 IDS의 원조. Wazuh의 모태.

오픈소스 스택의 통상 조합은 Wazuh(SIEM/HIDS) + Suricata(NIDS) + TheHive(IR) + MISP(TI) + OpenSearch(저장) 다섯이다. 운영 인력 2-3명이 필요하지만 라이선스 비용은 거의 0이다.

AI 활용 시나리오 — SOC가 LLM을 실제로 어디에 쓰는가

마케팅을 걷어내고 2026년 5월 현재 SOC가 LLM/AI를 실제로 의미 있게 쓰는 영역은 다음 6개다.

  1. 알림 트리아지 + 거짓양성 제거: 알림 컨텍스트와 자산 정보를 묶어 자동 분류.
  2. 자연어 위협 헌팅: KQL/SPL/YARA-L을 자연어로 생성.
  3. 인시던트 요약 보고서: 30개 알림 + 100건 이벤트를 사람이 읽을 수 있는 1페이지로.
  4. 플레이북 자동 생성: 신규 알림 유형에 대한 응답 단계 초안 작성.
  5. 피싱 메일 분석: 메일 본문, 헤더, 첨부, URL을 묶어 의도 평가.
  6. 악성코드 리버스 엔지니어링 보조: 디스어셈블된 코드/스크립트에 대한 자연어 설명.

도입 실패가 가장 흔한 영역은 **자동 응답(자동 차단/격리)**이다. LLM의 거짓양성이 그대로 운영 영향으로 이어져, 자동 응답은 단계적 + 보수적으로 도입하는 게 정설이다.

MITRE ATT&CK · D3FEND — SOC 표준 프레임워크

MITRE ATT&CK은 공격자 전술(Tactic) · 기법(Technique) · 절차(Procedure)의 표준 카탈로그다. 2026년 5월 기준 v16이 최신이고, Enterprise/Mobile/ICS 매트릭스가 존재한다.

  • Tactic: 14개 큰 범주. Initial Access, Execution, Persistence, ...
  • Technique: 약 200여 개. T1078(유효 계정), T1059(명령어/스크립트 실행) 등.
  • Sub-Technique: 더 세부 분류.

D3FEND는 ATT&CK의 방어 측면 대응물로, 방어 기법(Harden, Detect, Isolate, Deceive, Evict)을 표준화한다.

거의 모든 모던 SIEM/XDR/SOAR는 알림을 MITRE ATT&CK 기법 ID로 자동 라벨링한다. 위협 헌팅, 보안 보고서, 갭 분석에서 공통어로 쓰인다.

한국 SOC — AhnLab · SK쉴더스 · 이글루코퍼레이션 · NSHC

한국 SOC 시장은 국산 + 글로벌 SIEM의 공존이 특징이다. 주요 사업자는 다음과 같다.

  • AhnLab MDS(Magic Detection System): 한국 SOC 솔루션 리더. APT 탐지에 특화. V3와 묶음.
  • SK쉴더스 MSS: 한국 최대 매니지드 보안 서비스. 자체 SOC + 글로벌 SIEM 운영.
  • KT Telecop: KT의 보안 사업부. 통신사 백본 위의 보안 서비스.
  • LG U+ U+클라우드 보안: 클라우드 + 보안 패키지.
  • 이글루코퍼레이션 SPiDER TM: SIEM 국산 솔루션. 공공 부문 강세.
  • NSHC: 위협 인텔리전스 + DFIR 컨설팅.
  • 윈스(Wins): NGFW + IPS + DDoS 라인.

규제 측면에서 **ISMS-P(개인정보보호 관리체계 인증)**가 SOC 운영의 사실상 표준이다. 공공/금융권은 ISMS-P 의무가 거의 모든 사업자에 적용된다. 2024년 개인정보보호법 개정 이후 침해사고 72시간 신고 의무도 강화됐다.

한국형 SOC의 실무 패턴은 AhnLab MDS + 글로벌 SIEM(Splunk/Sentinel) + SK쉴더스 매니지드 조합이 가장 흔하다.

일본 SOC — NRI Secure · NTT Com Security · LAC · Hitachi · Cybereason Japan

일본 SOC 시장도 국내 사업자 강세 + 글로벌 솔루션 공존 패턴이다.

  • NRI Secure: 노무라 종합연구소 보안 자회사. 매니지드 SOC + 컨설팅. 금융권 1위.
  • NTT Communications Security: NTT 그룹 보안 사업부. 글로벌 망 보안.
  • LAC: 일본 SOC의 사실상 표준. JSOC라는 자체 매니지드 SOC.
  • Hitachi Solutions: 보안 컨설팅 + 매니지드.
  • Cybereason Japan: 일본 자본(SoftBank) 투자. EDR에서 일본 시장 강함.
  • トレンドマイクロ(Trend Micro): 본사가 일본. Vision One XDR.
  • マクニカ(Macnica): 보안 디스트리뷰터 + 자체 매니지드.

규제 측면에서 **個人情報保護法(개인정보보호법, 2022년 개정)**와 NISC 사이버 시큐리티 전략이 SOC 운영의 기준이다. 금융권은 FISC 안전 대책 기준도 적용된다.

일본형 SOC의 통상 패턴은 LAC JSOC 또는 NRI Secure 매니지드 + 글로벌 SIEM/EDR + Cybereason 또는 Trend Micro EDR 조합이다.

컴플라이언스 — ISO 27001 · SOC 2 · NIST CSF 2.0 · ISMS-P · 個人情報保護法

SOC는 단순 탐지 외에 컴플라이언스 증빙도 담당한다. 2026년 5월 기준 글로벌 표준은 다음과 같다.

  • ISO 27001:2022: 정보보안 관리 시스템(ISMS) 표준. 2022년 개정으로 컨트롤 수가 114 → 93으로 정리됨.
  • SOC 2 (Service Organization Control 2): 미국 AICPA 표준. SaaS 사업자의 사실상 의무.
  • NIST CSF 2.0: 2024년 2월 2.0 발표. Govern 함수 추가로 6개 함수(Govern/Identify/Protect/Detect/Respond/Recover) 구조.
  • PCI DSS 4.0: 신용카드 결제 처리 표준. 2024년 3월까지 전환 의무.
  • GDPR: EU 개인정보보호. 72시간 침해 통보 의무.
  • HIPAA: 미국 의료 정보 보호.
  • ISMS-P: 한국. 정보보호 + 개인정보 관리 통합 인증.
  • 個人情報保護法: 일본. 2022년 개정으로 침해 통보 + 영향 평가 의무 강화.

컴플라이언스 보고는 SOC의 주요 산출물이라, 모든 SIEM은 ISO 27001/PCI DSS/GDPR 대시보드를 내장한다. 자동 증빙 수집과 보고서 생성이 2026년 AI 도입의 의외로 큰 성과 영역이다.

도입 로드맵 — "어디부터 깔지" 정직한 가이드

처음부터 모든 레이어를 깔면 90%는 실패한다. 현실적 도입 순서는 다음과 같다.

  1. EDR 단일 표준화: CrowdStrike 또는 Microsoft Defender for Endpoint 또는 SentinelOne. 1개월.
  2. SIEM 1개 도입: Splunk 또는 Sentinel 또는 Chronicle. 자체호스팅 여부, 클라우드 비중으로 결정. 3개월.
  3. 위협 인텔리전스 1개 + MISP: Recorded Future 또는 Mandiant + MISP. 1개월.
  4. SOAR 도입: 가장 빈번한 5개 알림 유형부터 플레이북. 3-6개월.
  5. AI 어시스턴트 활성화: SIEM 자체 어시스턴트(Splunk AI/Security Copilot) 또는 외부 모델 키 연결. 1개월.
  6. MITRE ATT&CK 매핑 + 갭 분석: 분기마다 검토. 지속.
  7. 자동 응답은 마지막: 거짓양성 영향이 낮은 유형(IP 차단, 사용자 차단 시간 제한)부터 단계적으로.

8개 다 깔고 시작하면 운영 인력 번아웃알림 폭주가 거의 보장된다. 한 레이어씩, 안정화 후 다음.

마치며 — 2026년 5월, SOC는 "AI 보조 + 사람 판단"의 협업 구조로 굳어진다

이 글의 결론은 명확하다. AI는 SOC의 트리아지 자동화와 자연어 인터페이스라는 두 자리에 안정적으로 정착했다. 자율 SOC라는 표현은 마케팅이고, 실제로는 Tier 1의 60-80%를 자동화하고 Tier 2-3는 사람 + AI 협업으로 굳어지는 흐름이다.

도구 선택의 정설은 여전히 단순하다. 데이터가 어디 있는지를 따라가라. M365 비중이 크면 Sentinel, 멀티 클라우드 + 온프렘이 크면 Splunk나 Chronicle, GCP 비중이 크면 Chronicle, 오픈 스택을 원하면 Elastic 또는 Wazuh다.

그리고 가장 중요한 것은 사람 운영 모델이다. AI는 분석가를 대체하지 않고 분석가의 일을 바꾼다. Tier 1의 단순 트리아지는 줄지만 AI 출력 검증, 플레이북 큐레이션, 룰셋 관리, 위협 헌팅 같은 더 높은 가치 업무는 늘어난다. 2026년의 SOC 채용 시장이 그것을 그대로 반영하고 있다.

References

Discuss on TwitterView on GitHub