SOC의 10%만 AI에서 뛰어난 가치를 얻고 있다. 두 번째 물결이 기대되는 이유
Source: The Hacker News
18개월 전만 해도 AI SOC는 마케팅 문구에 불과했습니다. 오늘은 예산 항목이 되었습니다. 이 분야는 흥미로운 단계에서 불가피한 단계로 넘어갔으며, 이제 수십억 달러가 AI 기반 보안 운영 플랫폼, 에이전트형 SOC 도구, 그리고 보안 스택의 모든 계층에 구축된 AI 공동 파일럿에 투자되고 있습니다. 데이터에 따르면 SOC들은 AI 기능을 구매하고 배포하며 구축하는 속도가 업계 사상 가장 빠른 수준입니다.
그럼에도 불구하고, 기록적인 AI 도입률을 보고한 동일한 SOC들은 기대에 미치지 못하는 결과를 보고하고 있습니다. SOC에서 AI 가치를 최초로 객관적으로 측정한 벤치마크는 5월에 발표된 SOC‑CMM 2026 Maturity Report에서 확인할 수 있습니다. 이 보고서는 2026년 1월 말부터 3월 중순까지 전 세계 200여 개 SOC를 대상으로 지역, 산업, 제공 모델별로 설문조사를 진행한 데이터를 기반으로 합니다. 응답자의 약 10%만이 AI가 SOC에 뛰어난 가치를 제공했다고 답했으며, 19%는 좋은 가치를, 나머지 71%는 어느 정도의 가치 혹은 전혀 가치를 얻지 못했다고 답했습니다.
AI 도입 18개월 차에 나타난 이러한 결과는 구조적인 신호입니다. 아래 내용은 데이터가 확인시킨 사실과, 보안 운영 분야에서 AI가 격차를 메우기 위해 다음 물결에서 반드시 제공해야 할 것들을 정리한 것입니다.
What the SOC-CMM 2026 data shows
SOC‑CMM 보고서의 AI 섹션에서 두드러진 세 가지 발견이 있습니다. 이 세 가지는 함께 읽을 때 서로 깔끔하게 연관됩니다.
-
채택이 모든 AI 카테고리에서 증가하고 있다.
- 상용 대형 언어 모델(LLM)은 전년 대비 55% 성장했습니다.
- AI 코파일럿은 145% 성장했으며,
- AI 에이전트는 118%,
- 감독 학습 기반 머신러닝은 96%,
- 맞춤형 LLM은 64% 성장했습니다.
SOC 팀은 구매한 AI에서 가치를 끌어낼 운영 성숙도가 부족한 상태에서 과도하게 투자하고 있습니다.
-
지배적인 채택 패턴은 ‘테이커 모델’이다.
보고서가 정의한 바에 따르면, 테이커 모델은 기존 보안 스택에 맞춤화 없이 바로 상용 AI를 적용하는 방식입니다. 설문에 응한 SOC의 약 65%가 자신을 테이커라고 정의했으며, 20%는 구매한 솔루션을 커스터마이징하는 ‘쉐이퍼’, 15%만이 자체 데이터를 활용해 모델을 직접 학습하는 ‘빌더’에 해당합니다. 테이커가 가장 큰 집단이면서 동시에 가장 낮은 가치를 보고하고 있습니다. 하이브리드 SOC, 사내 SOC, MSSP SOC 모두에서 인식된 가치 분포는 거의 동일합니다. 이 균일성은 전달 모델, 지역, 산업을 초월한 구조적 원인을 시사합니다. -
SOC 개선 과제 중 ‘베스트 프랙티스 부재’와 ‘성숙도 증가에 따른 복잡성’이 전년 대비 각각 17%와 11% 상승했습니다.
예산 부족이나 경영진 지원 부족 같은 다른 과제들은 오히려 감소했습니다. 즉, SOC는 예산이나 지원이 부족하다고 설문에 답한 것이 아니라, 구매한 AI를 어떻게 활용해야 할지 모른다고 답한 것입니다. 이것이 바로 AI 성숙도 격차를 한 줄로 보여주는 데이터 포인트입니다.
Why the first wave of AI in the SOC underperformed
첫 번째 AI SOC 도구는 기존 보안 제품에 기능을 얹는 형태로 출시되었습니다. SIEM에는 AI 트리아지가, EDR에는 AI 조사 기능이, SOAR 플랫폼에는 AI 플레이북 생성이, 티켓팅 도구에는 AI 요약이 각각 추가되었습니다. 각 기능은 실제로 동작했지만, 서로 독립적으로 작동했으며 다음 단계와 컨텍스트를 공유하지 않았습니다.
실제로는 SOC 분석가가 이제 하나가 아닌 다섯 개의 AI 어시스턴트를 다루게 된 셈입니다. SIEM의 트리아지 에이전트는 지난 주에 탐지 엔지니어가 침묵시킨 경고를 알지 못하고, EDR의 위협 사냥 에이전트는 그날 아침 위협 인텔 팀이 표시한 정보를 모릅니다. 티켓팅 도구의 요약 에이전트는 두 단계 전 조사 결과를 전혀 인식하지 못합니다. 각 에이전트는 자신이 담당하는 워크플로우 조각을 가속화할 뿐, 조각들 사이의 인계 과정을 개선하지 못합니다. 바로 그 인계 구간이 SOC 시간과 가치가 집중되는 지점이기 때문입니다.
업계 전반에서 SOC 운영자는 이러한 현상을 언급합니다. 개별 작업은 빨라졌지만 워크플로우는 여전히 파편화돼 있다는 것이죠. 핵심 문제인 “SOC가 서로 연결되지 않은 단계들의 사슬처럼 운영된다”는 점은 전혀 개선되지 않은 채, 다섯 개의 새로운 에이전트 인터페이스를 학습해야 한다는 부담만 늘어났습니다. AI는 각 사일로를 가속화했을 뿐, 사일로 간 연결은 만들지 못했습니다.
SOC‑CMM 2026 보고서는 이 역학을 수치로도 보여줍니다. 기술 도메인은 데이터셋 전체에서 평균 5점 만점에 2.7점으로 가장 높은 성숙도 점수를 기록했지만, 프로세스 도메인(단계 간 인계가 존재하는 영역)은 2.3점, 사람 도메인(조직 지식 및 의사결정 역량)이 역시 2.3점에 머물고 있습니다. 더 많은 도구, 특히 AI 도구를 구매한다고 해서 이 점수가 상승하지 않으며, 경우에 따라 새로운 도구마다 인계가 추가돼 점수가 오히려 악화되기도 합니다.
What’s different about the SOCs that report excellent value
AI로 뛰어난 가치를 보고한 10%의 SOC는 별도의 포인트 툴을 운영하는 것이 아니라, 다른 아키텍처 구조 안에서 AI를 활용하고 있습니다. 이들은 71%와는 세 가지 측면에서 차별화됩니다.
- **SOC 전체 라이