시스코, AI 에이전트로 SOC 역량 강화… 위협 대응 속도 높이고 복잡성 줄여

2025년 9월 11일, 서울 – 시스코가 미국 보스턴에서 열린 스플렁크의 연례 행사 ‘닷컨프(.conf)에서 스플렁크  ES 에센셜 에디션(Splunk Enterprise Security Essentials Edition)과 스플렁크 ES 프리미어 에디션(Splunk Enterprise Premier Edition)을 공개했다. 해당 에디션을 통해, 시스코는 고객에게 위협 탐지, 조사 및 대응(TDIR) 전반에 걸쳐 보안 워크플로우를 통합하는 두 가지 AI 에이전트 기반 SecOps 옵션을 제공할 예정이다. 업계 선도적인 SIEM 솔루션인 스플렁크 엔터프라이즈 시큐리티(Splunk ES) 8.2에 포함된 이번 기능은 제품군을 간소화하고 고객에게 더 빠른 위협 대응 및 간소화된 보안 솔루션을 제공한다. 시스코는 미래형 에이전틱 보안 운영 센터(SOC) 구현을 위해 새로운 AI 기능을 공개했다. 이를 통해 보안 분석가는 전략적 의사결정에 집중할 수 있으며, 반복적이고 일상적인 업무는 AI가 자동으로 수행해 운영 효율성과 대응 속도를 더욱 높일 수 있다.

많은 시스코 보안 제품이 스플렁크 ES와 연동돼 있으며, 새 기능은 SOC 운영의 중심에 에이전트 AI를 두고 보안 인텔리전스를 네트워크 전반으로 확장한다. 스플렁크의 AI 에이전트는 복잡한 워크플로우를 단순히 자동화하는 데 그치지 않고, 수동 작업을 능동적이고 자율적인 보안 운영으로 전환해, 위협 관리를 간소화하고 보안 팀이 더 빠르고 효과적으로 대응할 수 있게 지원한다.

마이크 혼(Mike Horn) 스플렁크 시큐리티의 수석 부사장 겸 총괄은 “사이버 공격 세력들은 이미 AI를 활용하고 있기 때문에, 방어하는 쪽에서도 가능한 모든 이점을 확보해야 한다”며 “우리의 보안 솔루션은 탐지, 조사, 대응을 하나의 직관적인 워크스페이스에서 처리할 수 있어, 도구의 파편화를 제거하고 효율성을 크게 높인다. 내장된 AI는 경보 노이즈를 줄이고, 몇 시간 걸리던 조사를 몇 분 만에 끝낼 수 있도록 지원한다. 이제 모든 SOC는 선제적으로 위협을 막고, 모든 분석가들이 더 큰 역량을 발휘할 수 있게 될 것”이라고 말했다.

에이전틱 SOC 강화
많은 기업이 방대한 데이터를 다루고 있지만, 무엇이 중요한지 그리고 언제 대응해야 하는지를 파악하는 데 어려움을 겪고 있다. 그 결과 SecOps, ITOps, 엔지니어링 팀 전반에서 운영의 사각지대와 비효율이 발생한다. 이는 위협을 적시에 탐지하고 대응이 이루어지지 못하게 해, 비즈니스를 피할 수 없는 위협에 노출시킨다.

이러한 문제를 예방하고, 더 나은 가시성과 맥락을 갖춘 에이전틱 SOC를 구축하기 위해, 고객은 다음 두 가지 유연한 솔루션 중 선택할 수 있다:

• 스플렁크 ES  프리미어 에디션: 스플렁크 ES 8.2, 스플렁크 SOAR, 스플렁크 UEBA, 스플렁크 AI 어시스턴트(Splunk AI Assistant)를 하나로 통합해 일관된 사용자 경험을 제공하는 종합 솔루션이다.
• 스플렁크 ES  에센셜 에디션: 스플렁크 ES 8.2와 스플렁크 AI 어시스턴트 인 시큐리티(Splunk AI Assistant in Security)를 결합해 일관된 사용자 경험을 제공하는 단일 솔루션이다.

미셸 아브라함(Michelle Abraham) IDC 보안 및 신뢰(Security and Trust) 리서치 디렉터는 “오늘날 위협이 더 정교해지고 공격 양상이 갈수록 다양해지는 상황에서, 보안 팀은 파편화된 도구를 오가거나 단절된 가시성 운영으로 시간을 허비할 여유가 없다”며 “여러 보안 기능을 하나의 통합된 환경으로 결합하면, 기업은 보안 플랫폼을 통해 사후 대응 중심에서 선제적 보안으로 전환할 수 있다. 이를 통해 워크플로우를 간소화하고 탐지 및 대응 능력을 높이며 궁극적으로 위험을 줄일 수 있다”고 말했다.

보안용 AI 에이전트
보안 과제가 점점 더 복잡해지면서, 기업은 가시성을 높이고 탐지를 가속화하며 대응 과정을 간소화할 수 있는 통합 솔루션이 필요하다. 보안 운영을 강화하기 위해 다양한 AI 기반 기능이 선보여지고 있다:

• 트리아지 에이전트(Triage Agent): AI 기반 트리아지가 장기적이고 발생 빈도가 낮은 사례에서도 경보를 평가하고 우선순위를 매기고 설명한다. 이로써 분석가의 업무 부담을 줄이고 가장 중요한 사안을 찾아낸다.
• 멀웨어 리버설 에이전트(Malware Reversal Agent): AI 기반 역분석으로 악성 스크립트를 줄 단위로 분석하고, 침해 지표를 추출하며, 회피 기법을 식별하고 반복되는 행위를 그룹화한다.
• AI 플레이북 오더링(AI Playbook Authoring): 자연어로 표현된 의도를 기능적이고 검증된 SOAR 플레이북으로 변환하며, AI가 모든 단계에서 지원한다.
• 리스폰스 임포터(Response Importer): AI 에이전트가 SOC에서 정의한 표준 운영 절차(standard operating procedures, SOP)를 준수하고, 멀티모달 LLM을 활용해 SOP를 엔터프라이즈 시큐리티 대응 계획에 반영한다.
• AI 강화 탐지 라이브러리(AI-Enhanced Detection Library): 탐지를 가설 단계에서 실제 운영 단계로 단 몇 분 만에 전환할 수 있도록 지원한다.
• 맞춤형 탐지 SPL 생성기(Personalized Detection SPL Generator): 라이브러리 내 탐지를 SOC의 고유 환경에 맞춰 개인화해 즉시 이용 가능하도록 한다.

시스코와 통합으로 AI 에이전트 기반 SOC 가속화

• 스플렁크 내 아이소밸런트 런타임 시큐리티(Isovalent Runtime Security, eBPF): 워크로드 전반에 걸쳐 즉각적이고 세분화된 가시성을 제공해, 잠재적인 보안 침해와 인프라 이상 현상을 신속하게 파악할 수 있다.
• 시스코 방화벽 데이터 페더레이션(Federating Cisco Firewall Data): 스플렁크 클라우드 플랫폼(Splunk Cloud Platform)의 아마존 S3(Amazon S3)용 페더레이티드 서치(Federated Search)와 보안 분석 및 로깅(Security Analytics and Logging, SAL)간 통합을 통해, 분석가는 로그를 별도로 수집하지 않고도, 스플렁크 클라우드 플랫폼에서 SAL에 저장된 방화벽 로그를 직접 보안 분석할 수 있다.

출시 및 제공 일정

스플렁크는 시스코의 보안 솔루션과 통합하여, 보안 팀이 위협을 더 빠르고 정확하게 탐지, 조사, 대응할 수 있도록 지원한다. 확장된 기능은 다음과 같다:

• 스플렁크 ES 에센셜 에디션은 전 세계 모든 지역에서 현재 이용 가능하며 스플렁크 ES 프리미어 에디션은 얼리 엑세스로 제공된다.
• 스플렁크 AI 어시스턴트 인 시큐리티(Splunk AI Assistant in Security)는 전 세계 모든 지역에서 현재 이용 가능하다.
• 시스코 통합 기능과 함께 트리아지 에이전트, AI 플레이북 오서링, 리스폰스 임포터, AI 강화 탐지 라이브러리, 맞춤형 탐지 SPL 생성기 등의 추가 기능은 2026년에 제공될 예정이다.

시스코에 대하여
시스코는 AI 시대에 기업이 연결하고 보호하는 방식을 혁신하는 전 세계적인 기술 선도 기업이다. 시스코는 40년 넘게 전 세계를 안전하게 연결해왔다. 업계 선도적인 AI 기반 솔루션과 서비스를 통해, 고객, 파트너, 커뮤니티가 혁신을 실현하고, 생산성을 향상하며, 디지털 회복탄력성을 강화할 수 있도록 지원한다. 시스코는 ‘목적(Purpose)’을 핵심에 두고, 모두를 위한 더 연결되고 포용적인 미래를 만드는 데 전념하고 있다. 더 많은 정보는 시스코 뉴스룸과 X의 @Cisco를 팔로우해 확인할 수 있다.

Cisco 및 Cisco 로고는 미국 및 기타 국가에서 Cisco 및/또는 그 계열사의 상표 또는 등록 상표이다. Cisco의 상표 목록은 http://www.cisco.com/go/trademarks에서 확인할 수 있다. 언급된 제3자 상표는 각각의 소유자에게 귀속된다. 본 문서에서 ‘파트너’라는 단어의 사용은 Cisco와 다른 회사 간의 공식적인 파트너십 관계를 의미하지 않는다.