보안 정보 및 이벤트 관리(SIEM) 분야가 로그를 직접 수집·분석하는 전통적 방식에서 AI 기반 자율 운영 체계로 전환되고 있다. 센티넬원(SentinelOne)은 최근 열린 사이버보안 기술 전략 컨퍼런스에서 “분석과 판단을 AI가 수행하는 자율 보안관제센터(SOC)로 나아가야 한다”는 방향을 제시했다. 시그니처 기반 백신이 윈도우 기본 커맨드를 악용하는 공격이나 패킷 분할 공격, 암호화 트래픽 방식에 취약하다는 점, 그리고 네트워크 단독 탐지로는 전체 공격 프로세스 파악에 한계가 있다는 것이 문제 인식의 출발점이다.
센티넬원은 엔드포인트 내 행위 데이터를 전수 로깅·추적하는 EDR(엔드포인트 탐지 및 대응)을 넘어, 인프라 전체 로그를 통합 분석하는 XDR(확장형 탐지 및 대응) 플랫폼 ‘싱귤래리티(Singularity)’를 운영 중이다. 싱귤래리티는 탐지된 행위 로그의 맥락을 분석해 비정상 행위를 공격으로 판단하고 차단하며, 공격 흐름을 시각적으로 연결해 보여주는 ‘스토리라인’ 기능을 갖추고 있다. 이 과정에서 쌓이는 방대한 로그 분석을 자동화하는 것이 AI 에이전트 ‘퍼플 AI(Purple AI)’의 역할이다.
퍼플 AI는 RALM(검색 증강 언어 모델) 아키텍처를 기반으로 동작한다. 보안 담당자가 자연어로 명령을 내리면 AI가 해당 내용을 전용 검색 쿼리로 변환해 위협을 추적한다. 예를 들어 “특정 IP에서 유입된 프로세스 로그를 모두 찾아달라”고 말하면 퍼플 AI가 쿼리를 직접 작성해 실행한다. 모델 컨텍스트 프로토콜(MCP) 서버를 통해 클로드(Claude)나 제미나이(Gemini) 같은 외부 AI 모델과도 연동되며, 외부 AI가 최신 위협 인텔리전스를 학습해 탐지 룰을 생성하면 퍼플 AI가 내부 데이터를 기준으로 이를 검증해 대시보드와 리포트에 반영하는 구조다. 자동 트리아지(우선순위 분류) 기능을 통해 AI가 알림이 실제 공격인지 테스트 경보인지를 판별한 뒤 리포트를 생성하므로, 관제 인력이 수백 건의 알림을 하나씩 확인할 필요가 없어진다.
서드파티 확장 대응도 지원한다. 팔로알토(Palo Alto), 포티넷(Fortinet), 옥타(Okta) 등 180여 개 글로벌 보안 솔루션과 API로 연동돼, 침해 발생 시 별도 데이터 파싱 없이 해당 시점의 관련 로그를 한 화면에서 확인할 수 있다. 담당자는 콘솔을 오가지 않고도 사용자 계정 잠금이나 패스워드 재인증 강제 조치를 바로 실행할 수 있다. 박정수 전무는 “과거에는 SIEM 구축을 위해 로그 파싱과 대시보드·룰셋 생성에 많은 시간과 비용을 써야 했지만, 이제는 AI가 이를 자동으로 생성한다”며 “보안 담당자는 로그 분석에서 벗어나 정책 수립 등 핵심 업무에 집중해야 한다”고 강조했다.
