AI-assisted SOC
이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.
반복 알림을 대응 가능한 판단 초안으로 전환
고위험 보안 알림은 자동으로 쌓이지만, 대응자는 매번 실행 체인 확인, 사용자 맥락 조회, 정오탐 판단, 공유 문구 작성까지 반복해야 했습니다. 이 작업은 그 반복 판단을 AI가 보조할 수 있도록 이벤트 입력 구조와 판단 결과 형식을 먼저 고정한 사례입니다.
운영자는 단순 요약이 아니라 근거와 조치가 붙은 판단 초안을 받습니다.
AI Triage 콘솔이 처리하는 일
SIEM 검색 결과를 그대로 LLM에 던지지 않고, 실행 체인과 사용자 맥락, 정상 판단 기준, 조치 문구를 구조화해 운영 알림으로 되돌리는 흐름입니다.
고위험 이벤트를 주기적으로 수집하고 중복 알림을 suppress 기준으로 제어
탐지cmdline, parent process, filepath, 사용자, 호스트, 위치 정보를 판단 입력으로 정리
맥락정상/오탐/의심/정탐 판단 기준과 분석 보고서 형식을 프롬프트로 고정
기준AI가 위험 요소, 판단 근거, 정오탐 여부, 권장 조치를 이벤트별로 생성
판단협업 채널 알림과 summary index에 결과를 남겨 재검토와 추세 분석에 활용
운영AI가 결론만 쓰는 것이 아니라, 왜 그렇게 판단했는지와 다음 확인 지점을 함께 남기도록 설계했습니다.
분석 파이프라인
SIEM 탐지 룰이 고위험 이벤트를 주기적으로 선별
사용자, 호스트, 네트워크 위치, 조직 정보를 붙여 같은 이벤트도 맥락별로 해석
cmdline, parent, filepath, 실행 주체, 탐지명, 원시 근거를 AI 입력 블록으로 구성
정상/오탐/의심/정탐, 위험 요소, 판단 근거, 권장 조치를 생성
협업 알림과 summary index에 저장해 운영 이력과 튜닝 근거로 재사용
판단 입력 구조
탐지명, 심각도, 원시 이벤트, 발생 시각, 중복 여부를 기준으로 알림 대상을 좁힙니다.
명령행, 실행 경로, 부모/자식 프로세스, 파일 경로를 묶어 실제 악성 행위 가능성을 판단합니다.
사용자, 부서, 장비, 위치, 계정 상태를 붙여 같은 명령도 업무 맥락에 따라 다르게 판단합니다.
정오탐 여부, 근거, 위험 요소, 추가 확인 지점, 권장 조치를 고정된 문단 구조로 반환합니다.
AI가 판단하도록 만든 기준
프로세스, 부모/자식 관계, 명령행, 파일 경로처럼 판단에 필요한 실행 맥락을 정리했습니다.
사용자, 부서, 장비, 위치를 붙여 같은 이벤트도 업무 맥락에 따라 다르게 판단할 수 있게 했습니다.
폴더명이나 문자열만으로 잡힌 이벤트와 실제 실행 흔적을 구분하도록 기준을 분리했습니다.
정상, 오탐, 정탐 의심, 정탐, 확인 필요처럼 운영자가 바로 쓸 수 있는 결과 단위로 맞췄습니다.
알림 결과를 summary index에 남겨 이후 튜닝, 재검토, 추세 분석에 사용할 수 있게 했습니다.
협업 알림 문구에는 담당자가 바로 확인할 수 있는 근거와 권장 조치를 포함했습니다.
정오탐 판단의 축
AI 판단이 임의의 감상으로 흐르지 않도록, 실행성·사용자 맥락·반복성·위험도를 분리해 결과를 만들었습니다.
실제 실행 흔적과 위험 행위가 확인되면 정탐 또는 정탐 의심으로 분류합니다.
폴더명이나 문자열만 존재하고 실행 흔적이 없으면 오탐 또는 확인 필요로 낮춥니다.
업무 목적이 가능한 행위는 사용자 확인과 추가 로그 확인 대상으로 남깁니다.
동일 명령행·동일 사용자 반복 이벤트는 suppress 기준으로 운영 피로도를 낮춥니다.
AI를 보안에 썼다는 표현보다 중요한 것은, SOC 알림의 실제 병목을 알고 그 안에 AI를 끼워 넣어 운영 가능한 형태로 만들었다는 점입니다. 이 사례는 모델 성능보다 입력 구조, 판단 기준, 알림 포맷, 증적 저장을 먼저 설계한 작업입니다.