에이전틱 AI란? 보안 운영을 혁신하는 구글의 새로운 접근법

기존의 보조형 AI(assistive AI)는 주로 인간 분석가의 작업을 지원하는 역할을 하지만, 에이전틱 AI(agentic AI)는 그보다 한 단계 더 나아가 과제를 스스로 식별하고, 추론하며, 목표 달성을 위해 작업을 동적으로 수행할 수 있습니다. 이 모든 과정은 인간 분석가가 계속 관여할 수 있도록 설계되어 있습니다. Google은 보안 분야에서의 에이전틱 AI 미래를 다음과 같은 현실적인 고객 경험을 바탕으로 구체화하고 있습니다. 예를 들어, Apex Fintech Solutions의 정보보안 디렉터 Hector Peña는 다음과 같이 말했습니다.

​

​

​

​

​

Google은 에이전틱 AI가 보안 운영을 근본적으로 변화시킬 것이라고 믿고 있습니다. 여러 개의 에이전트가 연결되고, 특정 사용 사례에 맞춰 설계된 에이전틱 보안 운영 센터(SOC)는, 방어자들을 대신해 반자동 또는 완전 자동화된 보안 운영 워크플로우를 수행할 수 있게 됩니다.

The agentic SOC

Google Cloud Security는 Gemini in Security를 활용해 에이전틱 SOC(agentic SOC)를 위한 도구들을 빠르게 구축해 나가고 있습니다. 이달 초 열린 Google Cloud Next 행사에서는 두 가지 새로운 Gemini in Security 에이전트를 소개했습니다.

​

Google Security Operations의 알림 분류 에이전트(alert triage agent)는 사용자를 대신하여 동적으로 조사를 수행하고 최종 판단(verdict)을 제공합니다. 이 에이전트는 2025년 2분기 중 일부 고객을 대상으로 프리뷰(preview)로 제공될 예정이며, 각 알림의 상황(context)을 분석하고 관련 정보를 수집한 후, 해당 알림에 대한 판단을 내립니다. 또한, 에이전트가 수집한 증거, 추론 과정, 의사결정 근거를 완전히 투명한 감사 로그(audit log)로 제공하여, 그 과정이 모두 기록되고 검토 가능하게 합니다. 이처럼 항상 작동하는 조사 에이전트(always-on investigation agent)는 하루에도 수백 건의 알림을 분류하고 분석해야 하는 Tier 1 및 Tier 2 보안 분석가들의 수작업 부담을 획기적으로 줄여줄 것으로 기대됩니다.

Google Threat Intelligence에서는 악성코드 분석 에이전트(malware analysis agent)가 파일의 악성 여부를 판단하기 위해 리버스 엔지니어링 작업을 수행합니다. 이 에이전트는 2025년 2분기 중 일부 고객을 대상으로 프리뷰 제공이 예정되어 있으며, 잠재적으로 악성일 수 있는 코드를 분석하고, 난독화된 코드를 해제하기 위한 스크립트를 생성하고 실행하는 기능도 갖추고 있습니다. 작업이 완료되면, 분석 과정을 요약하고 최종 판단(verdict)을 제공합니다.

이러한 기술적 투자 위에 구축된 에이전틱 SOC(agentic SOC)는 서로 연결된 다중 에이전트 기반의 시스템으로, 인간 분석가와 협력하여 보안 운영의 효율성을 비약적으로 향상시킬 수 있습니다. 이 지능형 에이전트들은 보안 및 위협 관리 방식을 근본적으로 변화시키기 위해 설계되었으며, 반복적인 작업과 워크플로우를 자동화하고, 의사결정을 향상시키며, 분석가가 복잡한 위협에 더욱 집중할 수 있도록 지원합니다.

에이전틱 SOC(agentic SOC)는 서로 연결된 다중 에이전트 시스템으로 분석가와 협력하여 작동하게 됩니다. 이러한 비전을 실제로 구현한 모습을 설명하기 위해, 에이전트 기반 협업(agentic collaboration)이 일상적인 보안 업무를 어떻게 변화시킬 수 있는지 몇 가지 예시를 통해 살펴볼 수 있습니다.

​

Google Cloud는 많은 핵심 SOC 기능들이 자동화되고 오케스트레이션될 수 있다고 믿고 있으며, 대표적인 영역은 다음과 같습니다:

• 데이터 관리(Data management): 데이터 품질을 보장하고 데이터 파이프라인을 최적화합니다.

• 알림 분류(Alert triage)​: 알림의 우선순위를 자동으로 지정하고, 필요한 경우 상위 단계로 에스컬레이션합니다.

• 조사(Investigation)​: 증거를 수집하고 알림에 대한 최종 판단을 내리며, 모든 조사 과정을 문서화하고 적절한 대응 방안을 결정합니다.

• 대응(Response): 수백 가지 통합 기능(예: 엔드포인트 격리)을 활용하여 문제를 자동으로 해결합니다.

• 위협 인텔리전스 분석(Threat research): 정보 사일로를 연결하고, 수집된 위협 인텔리전스를 분석하여 다른 에이전트(예: 위협 사냥 에이전트)와 공유합니다.

• 위협 사냥(Threat hunt)​: Google Threat Intelligence 데이터를 기반으로 조직 내에 존재할 수 있는 알려지지 않은 위협을 사전에 탐지합니다.

• 악성코드 분석(Malware analyst)​: 잠재적으로 악성 속성을 가진 파일을 대규모로 자동 분석합니다.

• 노출 관리(Exposure management)​: 내부 및 외부 소스를 실시간 모니터링하여 자격 증명 유출, 초기 침입 브로커 활동, 악용된 취약점 등을 선제적으로 탐지합니다.

• 탐지 엔지니어링(Detection engineering): 위협 프로파일을 지속적으로 분석하고, 탐지 규칙을 자동 생성 및 테스트하며, 탐지 정확도를 높이기 위해 조정합니다.

​

이러한 역할을 수행하는 지능형 에이전트들은 서로 협업하며, 보안 운영의 생산성과 정밀도를 크게 향상시키고, 분석가가 더욱 전략적인 위협 대응에 집중할 수 있도록 지원합니다.

​

​

실제 보안 환경에 효과적으로 적용할 수 있는 신뢰성 있고 영향력 있는 에이전트를 개발하려면 세 가지 핵심 요소가 필요합니다. Google은 이 모든 요소에서 탁월한 역량을 보유하고 있습니다:

​

• Google은 방대한 보안 데이터와 전문 지식을 기반으로, 에이전트가 따라야 할 행동 원칙과 의사결정 기준을 제공합니다.

• Google의 최첨단 AI 연구 결과와 성숙한 에이전트 개발 도구 및 프레임워크를 통합하여, 재사용 가능하고 확장 가능한 에이전트 아키텍처를 구현할 수 있습니다.

• Google은 AI 기술 스택 전체 — 대규모 확장성과 보안성이 뛰어난 인프라부터 최신 AI 모델에 이르기까지 — 를 자체 소유하고 있으며, 이는 에이전틱 AI 개발을 위한 강건한 기반이 됩니다.

​

​

이러한 강점을 바탕으로, Google은 보안 에이전트를 위한 명확한 프레임워크를 구축할 수 있으며, 이는 AI가 인간 수준의 계획 수립 및 추론 능력을 모방하여, 범용 대형 언어 모델(LLM)보다 보안 과업에 더 높은 성능을 발휘할 수 있도록 합니다.

이 접근 방식은 보안 업무 전반에 걸쳐 일관되고 높은 품질의 결과를 제공하며, 기존 보안 역량을 모듈화하여 재사용 가능한 과업 중심의 에이전트들을 빠르게 개발할 수 있도록 해줍니다. 이로써 다양한 보안 작업에 특화된 에이전트 생태계를 구축할 수 있습니다. 더 나아가, 개발자나 벤더에 관계없이 에이전트 간 상호운용성(interoperability)을 보장하는 구조는 자율성, 생산성 향상, 장기적인 비용 절감에 크게 기여할 수 있습니다.

​

Google은 이를 위해 Google Cloud Next 행사에서 ‘Agent2Agent (A2A)’ 오픈 프로토콜을 발표했습니다. 이 프로토콜은 Model Context Protocol (MCP)을 보완하며, AI가 보안 애플리케이션 및 플랫폼과 표준화된 방식으로 상호작용할 수 있도록 지원합니다. 또한, Google Unified Security용 MCP 서버를 오픈소스로 공개함으로써, 고객이 Google Cloud와 외부 생태계 도구들을 연계하여 맞춤형 보안 워크플로우를 손쉽게 구축할 수 있도록 지원하고 있습니다. Google은 개방형 생태계(Open Ecosystem)를 지향하며, 다양한 제품과 벤더 간에도 에이전트들이 동적으로 협업할 수 있는 미래를 만들어가고 있습니다.

​