top of page

SOC 보안 실무자를 위한 AI 에이전트 채용 및 하이브리드 운영

PAGO Gartner Security Risk Management Summit 현장 리포트


PAGO는 National Harbor, MD에서 개최되고 있는 2026 Gartner SRM Summit을 참관하고 현장에서 논의되는 핵심 보안 세션을 리포트로 연재하고 있습니다. 다섯 번째 순서로, Cyber Managers- How to Interview and Hire an AI Agent for Your SOC를 다룹니다. 


Cyber Managers- How to Interview and Hire an AI Agent for Your SOC by Eric Ahlm
Cyber Managers- How to Interview and Hire an AI Agent for Your SOC by Eric Ahlm

Executive Summary

보안 운영 센터에 AI를 도입하는 것은 단순한 ‘기술 선택(Technology Selection)’이 아닙니다. 이는 새로운 팀원을 맞이하는 ‘채용 과정’ 입니다. 12개월 만에 급부상한 AI SOC 트렌드를 살펴보고, 기업의 보안 실무 관리자들이 AI 에이전트를 실무에 채용하기 위해 반드시 거쳐야 하는 4단계 가이드라인을 제시합니다.


또한, 보안 전문가와 AI 에이전트가 각자의 강점을 살려 협력하는 2030년 하이브리드 SOC 조직의 청사진을 구체적인 직무 분담표와 함께 제공하는게 이 리포트의 목적입니다. 성공적인 AI 도입은 막연하기만 한 맹신이 아니라, 명확한 직무설명서, 철저한 가이드라인 및 성과 지표 측정, 그리고 명확한 해고 사유(Guardrails) 설정에서 시작됩니다.

지난 리포트에서 우리가 2030년의 하이브리드 SOC 조직 전략을 미리 엿보았다면, 이번 리포트는 그 미래를 현실로 만들기 위해 당장 우리 팀에 첫 번째 AI 에이전트를 어떻게 면접 보고 채용할 것인지 그 실무적인 방법을 다룹니다.

AI 도입의 패러다임 전환

Eric Alhm은 AI가 우리 인적 구성 요소에 영향을 줄 수 있다고 말하면서 우리가 팀을 바라보는 방식, 역할을 구성하는 방식, 활동을 나누는 방식 등이 세션에서 이야기하고 싶은 주제라는 점을 강조 했습니다. 지난 12개월 동안 AI SOC에 대한 관심은 폭발적으로 증가해오고 있지만, 실무 관리자는 시장의 과대광고와 현실을 냉정하게 구분할 수 있어야 합니다.


사람이 개입하지 않는 통제가 없는 SOC가 가능할 수 있지만 아직 이것이 2030의 전망이라고 볼 수 없다면서, AI 팀원은 베이스라인이 명확한 특정 활동을 효과적으로 수행함에 따라 개선되어야 한다는 점 입니다.


 

성공적인 AI 채용의 기준: 베이스라인 대비 개선 효과

AI 에이전트를 채용하는 유일한 목적은 운영의 실질적인 개선입니다. 만약 AI가 아래 지표 중 하나라도 유의미하게 개선하지 못한다면, 채용하지 않는 것이 낫다고 설명합니다.

평가 영역

기준선 대비 개선 효과 (예시)

효율성 (Efficiency)

기존 2시간이 소요되던 작업이 5분으로 단축

오류율 (Error rate)

경고 알림 분류(Triage)시 20%였던 오류율이 5%로 감소

성과 향상 (Performance improvement)

평균 탐지 시간(MTTD)이 2시간에서 30분으로 단축

요구 기술 수준 (Skills required)

주니어 분석가가 시니어 수준의 업무를 수행 가능하도록 진화

프로그램 성장 (Program growth)

수신되는 텔레메트리의 85%만 조사 가능했으나, 현재 100% 가능



AI 에이전트 채용을 위한 4단계 실무 가이드


1단계: 직무 요건 정의

채용할 AI의 업무는 완전히 새로운 것이 아니라 현재 조직이 수행하고 있는 기존 업무 영역이어야 한다는게 핵심입니다. 또한, 주당 업무 시간의 상당 부분이 소비되는 절대적인 업무량이 있는 영역이어야 가치가 있다고 전합니다. 대표적인 초기 AI 직무로는 Alert triage, Augmented investigation, Alert enrichment, Reporting이 있습니다.


2단계: 성과 목표 설정

도입할 기술이 현재의 불편함을 어떻게 해소할 것인지 감정적인 진술이 아닌 ‘경험적 수치’로 문서화돼야 합니다. 아래는 인터뷰 및 기술 검증시 성과 기록표로 활용할 수 있는 프레임워크입니다.

활용 사례

핵심 이점

현재 인력의 업무량

원하는 AI 성과

최종 도입 효과

Triage 

(경고 분류)

효율성 향상

티어 1 분석가 3명 

(주당 120시간)

트리아지의 80%를 처리하며, 관리에 주당 10시간만 소요

측정 가능한 워크로드 감소

Augmented investigations (증강된 조사 1)

성과 향상

티어 2 분석가가 조사에 2시간 소요

AI가 데이터 강화 및 탐지 추측 제공. 보안 전문가은 30분 내 검증 완료

MTTD 1.5시간 단축

Augmented investigations (증강된 조사 2)

기술 자산화

도구 지식의 한계로 시니어 분석가만 조사 가능

AI 자연어 인터페이스가 도구 구문 처리

주니어 분석가의 역량을 상향시켜 고차원 업무 수행 가능

3단계: AI 인재 소싱

조직의 환경에 맞춰 다음 네 가지 경로 중 하나를 통해 AI 인재를 확보할 수 있습니다.

소싱 방법 중 3번항목 서비스 제공업체 활용 이라는 부분은 실제 세션에서 언급 된 내용입니다. 돌이켜보면 PAGO는 지난 2017년부터 AI 기반 제품을 공급할 때 Validation이라는 개념을 적용해서 MDR Service를 제공해왔습니다. Pete Shoard 그리고 Eric Alhm이 언급하는 Alert Triage영역의 AI 적용이 업무를 효율적으로 만들어줄 수 있지만, Validation이라는 개념이 사라지는 건 아닙니다. 따라서 이러한 환경에 익숙하고, 적응하며, 선두할 수 있는 MDR Service Provider의 선정도 신중히 고민되어야 한다는 의견입니다.


  • 전용 AI SOC 솔루션 구매: 시장에 출시된 특화 솔루션 도입

  • 기존 플랫폼 활용 (Use existing): 현재 사용 중인 SIEM, 티켓팅 시스템의 AI 로드맵 활용

  • 서비스 제공업체 활용 (Engage MDR): 관리형 서비스 제공업체의 하이브리드 서비스 이용

  • 자체 구축 (Build in-house): 내부 AI 이니셔티브와 연계하여 자체 데이터 학습


4단계: 면접 질문 및 가드레일 설정

솔루션 도입 시 벤더에게 기능 위주로 묻는 것을 넘어, 면접관의 시각에서 다음과 같은 핵심 질문을 던져야 한다고 설명합니다. 실제 Eric Alhm의 말을 빌리자면, “이 일을 할 수 있습니까? 이 분야에서 일해 본 적이 있습니까? 증명할 수 있습니까? 이력서나 추천서가 있습니까?” 등의 질문을 던지면서, 핵심은 현재 상태에서 개선된 상태로의 데이터와 수치여야 한다고 설명했습니다.


  • 조직이 개선하고자 하는 핵심 영역과 성과 지표를 일치시킬 수 있는가?

  • 초기 학습 및 현업 투입까지의 가치 창출 시간(Time to value)은 얼마나 걸리는가?

  • AI의 판단이 사람과 충돌할 때, 피드백을 수용하고 문제를 해결하는 프로세스는 무엇인가?


Eric Alhm이 개인적으로 가장 좋아하는 질문이라고 하면서, 해고 사유에 대해 언급했습니다. 어떤 보안 정책, 데이터 접근 권한을 위반했을 때 작동을 즉각 중지시킬 것인가에 대한 명확한 가드레일 설정이 필요하다는 내용입니다.


2030년 하이브리드 SOC 조직도

2030년의 조직도는 팀 구조 자체가 혁명적으로 바뀌기보다는, 조직의 모든 개별 구성원이 자신만의 ‘AI 팀원(Agentic Teammate)’을 갖게 되는 하이브리드 형태가 될 것이라고 설명합니다. 단순 반복적인 전술적 실행은 AI가 담당하고, 방향성 설정 및 프로그램 관리는 보안 전문가가 주도하는 업무 분담이 이루어집니다.



보안 전문가와 AI의 직무 분담표 (Human vs. Agentic Responsibilities)

직무 역할

보안 전문가의 책임 (전략/관리)

AI의 책임 (실행/전술)

보안 운영 관리자 

(SecOps Manager)

  • 성과 보고 및 팀 조율

  • 프로그램 성장 방향 설정

  • 사고 보고서 요약 및 GRC 문서화

  • 팀 내 오류율 등 운영 감독 통찰력 제공

탐지 엔지니어 

(Detection Engineer)

  • 탐지 개발 및 방향성

  • 프롬프트 설계

  • 필요한 탐지 코드 제안 및 생성

  • 코드 테스트 및 트러블슈팅

시스템 엔지니어 

(Systems Engineer)

  • 시스템 효율성 관리

  • API / MCP 통합 구조 기획

  • 시스템 분석 처리

  • 명령어 구문 정규화

위협 분석가 

(Threat Analyst)

  • 사고 처리

  • 대응 조정(Response coordination)

  • 경고 알림 1차 분류 및 정보 강화

  • 증강된 조사 및 대응 플레이북 초안 생성

위협 전문가 (Threat Expert)

  • 위협 헌팅 주도

  • 오펜시브 프로그램 기획

  • 위협 헌팅 가설 생성(과거 기록 조사 및 지표 수집을 통한 추론)

노출 관리자 

(Exposure Management)

  • CTEM 조정

  • 조직 내 이행 관리(소통 및 에스컬레이션)

  • 증강된 유효성 검증

  • 자동화된 노출 위험 수정(Remediation)

공격 테스터 

(Offensive Tester)

  • 오펜시브 테스트 조정 및 범위(Scope) 설정

  • 모의 침투 테스트(Pen testing) 실행

  • 보안 코드 리뷰(Secure code review)


Conclusion

세션을 정리하면서 Eric Alhm은 핵심적인 한마디를 전달한다면 이런 메시지라고 하면서 세션을 종료했습니다.

보안 운영을 위한 AI 에이전트를 구축하는게 아니라 직무 역할, 성과 지표, 채용 요건을 이해하는 것에서부터 진정으로 시작됩니다.” 

PAGO 또한 MDR Service Provider로서 이 세션을 들으면서 Alert Triage에 대한 개인적인 견해를 전달 할 수 있을거라는 생각이 들었습니다. 


두루뭉실하게 우리가 공급하는 EPP, EDR과 같은 제품에서 이벤트가 발생하면 분석가가 수행하는 업무를 AI SecOps 플랫폼이 대체할 수 있겠다고 생각하는게 아니라 “우리 Threat Analyst는 악성코드와 같은 이벤트를 처리함에 있어 어느정도의 시간이 걸리지?” 라는 베이스라인 형성이 AI 에이전트를 보안 운영 센터에 Teammate로서 도입하는 현실적인 방안이겠다 라는 점입니다.


환각이라는 단어가 정말 많이 사용되어지고 있는 시대 입니다. 그런데 사람은 환상이라는 기대를 AI에게 품을 수 있다라는 점에서 Eric Alhm의 현실적인 가이드라인이 도움되는 세션이었습니다. 


작성자: 권표  CPTO | DeepACT MDR Center

bottom of page