이글루코퍼레이션 기술위원이 서울 잠실에서 열린 사이버보안 기술 전략 컨퍼런스에서 LLM(대규모 언어 모델)을 통한 공격이 현실화되면서 취약점 발견부터 무기화까지 걸리는 시간이 기존 대비 약 1000배 단축됐다고 밝혔다. 공격자는 AI를 이용해 즉각 대응할 수 있는 반면, 방어 측은 복잡한 보고 체계를 거쳐야 하는 대응 시간의 비대칭성이 심화됐다는 것이다. 이를 배경으로 AI 에이전트 기반의 자율형 보안운영센터(SOC) 구축이 선택이 아닌 필수 과제가 됐다고 강조했다.
자율형 SOC의 핵심 기술 엔진으로는 네 가지가 제시됐다. 대규모 데이터 분석과 위협 탐지를 수행하는 AI 모델, 판단 결과를 보안 환경에 즉각 반영하는 실행 도구, AI 모델과 도구를 연결하는 프로토콜, 작업 결과를 자연어로 보고하는 업무 프로세스가 그것이다. 특히 보안 특화 소형언어모델(sLLM)과 외부 LLM의 연동이 향후 SOC 운영의 핵심이 될 것으로 전망됐다. 실행 도구는 기존 보안 솔루션과의 호환성이 중요하고, 각 도구 간 연동에는 모델 컨텍스트 프로토콜(MCP) 표준 규격을 적용해야 한다고 덧붙였다.
이글루코퍼레이션은 자사의 사이버보안 AI 에이전트 빌더 플랫폼 에어(AIR)를 자율형 SOC 구현 사례로 제시했다. AIR는 AI 에이전트들이 유기적으로 협업하도록 조율하는 플랫폼으로, 보안 도구 선택부터 자연어 보고서 생성까지 단일 환경에서 처리한다. 기존 SOC 체계에서는 경보가 발생해야만 관제 요원이 업무를 시작했지만, AIR 같은 플랫폼에서는 관제 요원이 LLM에 프롬프트를 입력하는 방식으로 수시로 보안 현황을 파악할 수 있다. 회사 측은 AI 에이전트 수가 늘수록 보안 역량이 강화되며, LLM과 MCP를 연결한 워크플로우 자동화가 현장에서 즉시 적용 가능하다고 밝혔다.
사이버보안 업계는 AI가 공격 도구로 활용되는 속도가 방어 측의 AI 도입 속도를 앞서고 있다는 경고를 꾸준히 내놓고 있다. 국내에서 이글루코퍼레이션 외에도 여러 보안 기업이 에이전틱 AI를 활용한 위협 탐지·대응 자동화 솔루션을 시장에 내놓고 있는 가운데, 자율형 SOC로의 전환이 국내 사이버보안 시장의 주요 흐름으로 자리잡을 것으로 전망된다.
