2030년 SOC 조직 전략: AI와 보안 전문가 체계의 결합

권표
6월 5일
3분 분량

PAGO Gartner Security Risk Management Summit 현장 리포트

PAGO는 National Harbor, MD에서 개최되고 있는 2026 Gartner SRM Summit을 참관하고 현장에서 논의되는 핵심 보안 세션을 리포트로 연재하고 있습니다. 네 번째 순서로, Staffing the SOC in 2030을 다룹니다.

*Staffing the SOC in 2030 by Pete Shoard*

Executive Summary

Pete Shoard는 2030년의 보안 운영 센터는 결코 축소되거나 인적 요소가 감축되지 않을 것이라고 했는데, Gartner SRM Summit 2일차 종료 키노트 세션에서 Peter Firstbrook는 오히려 2030년까지 보안을 담당하는 직원이 증가할 것이라고 말해 Pete Shoard의 의견에 동의 했습니다.

이 세션에서는 SOC의 직원 구성 형태가 반은 Human, 반은 AI인 하이브리드 조직으로 진화해야 한다는게 핵심이었습니다. 내용을 요약하면, 2030년을 향한 SOC의 변화는 세 가지 핵심 축으로 정의됩니다.

첫째, 알람 분류(Alert Triage)는 AI의 영역으로 넘어가고, 분석가는 AI가 정리한 케이스의 결과를 검증하는 역할로 전환
둘째, 탐지 엔지니어링(Detection Engineering) 기능을 개발자 중심의 사고 전환으로 ‘코드로서의 탐지(Detection-as-Code)’를 활용하는 SOC 환경 구축
셋째, 사후 대응에서 벗어나 ‘사전 예방적 노출 관리(Continuous Offensive Security Testing)’로 보안 패러다임 전환

기업의 보안 리더들은 SOC 보안 전문가의 축소 계획을 세울 것이 아니라, 새로운 기술과 역할에 맞게 팀을 재설계할 것을 안내했습니다.

AI로 부터의 위협인가, 기회인가?

Pete Shoard는 도발적인 질문으로 세션을 시작했는데, “내년에도, 그리고 2030년에도 레벨 1 분류(Triage) 분석가가 필요할 것이라고 생각하십니까?” 우리가 SOC 내에서 수년간 발전시켜온 위협 인텔리전스, 데이터 쿼리, 플레이북 구축 능력 등은 명백히 AI의 위협을 받고 있다고 설명하면서, 경험이 부족한 분석가도 AI를 통해 고급 도구를 다루고 비즈니스에 가치를 전달할 수 있게 하는 기회라는 점을 강조했습니다.

핵심 변화 1: Alert Triage 업무의 감소와 Validator

가장 먼저 맞이할 큰 변화는 기존에 우리가 알던 수동 알람 분류입니다. Gartner 설문에 따르면 이미 65%의 문맥화된 알림을 통해 분석 활동을 수행하고 있으며, 일상적인 단순 작업에 소요되는 시간은 82%나 감소했다는 결과를 안내했습니다.

과거의 분석가들은 복잡한 로그를 보며 어떤 의미가 있는지, 누가 했는지, 이것이 정상적인 일인지, 이러한 행동을 수행해야하는지 등의 맥락을 파악해야 했지만, 앞으로는 AI가 파편화된 알람들을 하나로 묶어 맥락이 부여된 ‘케이스’로 제공할 것이기에 이러한 지식과 기술을 습득할 필요가 사라지고 있다는게 Pete Shoard가 전달하는 메시지 였습니다. 이에 따라 인간의 역할은 알람을 분류하는 업무에서 검증하는 역할인 Validator로 변화할거라고 설명했습니다.

덧붙여 역설적이게도 무언가를 처음부터 끝까지 자동화할 수 있게 되면 더 이상 SOC의 영역이 아니라고 언급하면서, SOC는 운영 센터이기에 기억해야 할 중요한 점은 역할이 변할 뿐 사라지지 않는다라는 것입니다.

핵심 변화 2: 사고 방식의 전환 탐지 엔지니어링

AI가 분석가의 단순 반복 업무를 덜어준다면, 반대로 보안 엔지니어의 업무량은 기하급수적으로 증가할 것이라는 예상을 내놓았는데, 가트너는 2028년까지 보안 운영 센터내에 분석가보다 엔지니어가 더 많아질 것으로 예측하고 있습니다. AI 모델이 업데이트되거나 탐지 논리에 변경이 생길 때마다 전체 시스템을 반복적으로 검증하고 테스트해야 하는 복잡성이 따르기 때문이라고 설명합니다.

이를 해결하기 위해 탐지 엔지니어링은 ‘코드로서의 탐지(Detection-as-Code, DaC)’ 및 ‘CI/CD 파이프라인 자동화’와 같은 소프트웨어 개발 원칙을 적극 도입하라고 설명합니다. 즉, 규칙이나 쿼리를 소프트웨어 코드처럼 취급하여 버전 관리 시스템으로 관리하고, 자동화된 파이프라인을 통해 테스트 및 배포를 수행하는 것입니다.

앞으로의 SOC 보안 엔지니어는 단순한 규칙 작성을 넘어 프롬프트 설계, 데이터 파이프라인 관리, AI 워크플로우 설계 등의 고도화된 업무를 수행하게 되면서 개발자 중심의 사고 방식이 필요함을 의미했습니다.

핵심 변화 3: 사후 대응에서 ‘사전 예방적 노출 관리(Exposure First)’로의 전환

Pete Shoard가 이번 세션에서 가장 중요하다고 언급한 부분은 사후 대응이 아니라 사전 예방적인 방식으로 조직을 보호하는 것을 생각하는 것이 매우 중요하다라는 내용입니다. 새로운 클라우드와 디지털 자산으로의 공격 표면이 크게 확장됨에 따라, 공격을 당한 뒤에 수습하는 과거의 방식은 한계에 부딪혔다고 설명합니다.

간단히 말해서, 스스로를 끊임없이 공격하며 약점을 찾아내야 한다고 설명합니다. 전통적인 침투 테스트에서 보다 연속적이고 자동화된 시뮬레이션 테스트 비율로 전환해야 한다는 측면인데, Pete Shoard가 학습하길 권고하는 연구 자료를 확인해보면 다음의 내용을 확인할 수 있습니다.

새로운 위협 인텔리전스가 발견되거나 인프라 코드 등의 변경 사항이 생길 때마다 ‘지속적인 공격적 보안 테스트(COST, Continuous Offensive Security Testing)’를 실행하는 역동적인 방식으로 진화해야 한다는 것입니다. 이에 따른 Exposure Specialist의 역할은 발견된 문제를 해결하기 위한 비즈니스 관련성을 연결하고 이유를 제공하여 이해 관계자를 설득해야 된다고 설명합니다.

Conclusion

이번 세션과 핵심 권고안에서 제공하는 메시지는 단호합니다. 지난 25년 Gartner 참관기에서도 다뤘던 내용중 하나로 ‘Predict 2025 : There Will Never Be an Autonomous SOC’ 완전한 자율 SOC는 없다라는 내용입니다.

인력 감축 계획 백지화: 2030년에는 결코 현재보다 적은 수의 보안 직원으로 운영되지 않으며, 더 많은 엔지니어링 및 공격 보안 전문가 필요
지속적인 노출 관리: 캘린더 기반의 연례 점검을 버리고, Continuous Offensive Security Testing방식과 Continuous Threat Exposure Management를 일상 운영으로 전환
Threat Expert 양성: AI 결과를 비즈니스 관점에서 검증하는 위협 전문가 역할로 전환
탐지 엔지니어링을 개발자 사고 방식으로 전환: 탐지 로직을 소프트웨어 코드(DaC)처럼 다루고, 버전 관리 및 테스트 파이프라인(CI/CD)을 구축하여 탐지 시스템의 신뢰성과 유연성을 확보