IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]

공항에는 관제탑이 있다. 수백 대의 항공기가 오가는 하늘길을 24시간 감시하고, 위험을 감지하면 즉시 조치를 내린다. 기업의 사이버 보안에도 이런 관제탑이 필요하다. SOC(보안관제센터, Security Operations Center)는 기업의 네트워크 전반을 24시간 모니터링하는 체계다. 네트워크와 시스템 로그, 방화벽·IPS 같은 보안 장비에서 발생하는 이벤트를 실시간으로 분석해 이상 징후를 탐지하고 경보를 전달한다. 보안 정책 준수 여부 또한 지속적으로 점검한다. 사이버 위협이 고도화되면서 기업들의 SOC에 대한 관심이 높아지고 있다.

카스퍼스키가 지난달 글로벌 기업을 대상으로 실시한 조사에 따르면, 64%의 기업이 SOC 기능의 일부를 외부에 위탁할 계획이라고 답했다. SOC를 전적으로 내부에서 구축하겠다는 기업은 9%에 불과했다. 24시간 상시 모니터링 체계를 유지하고 숙련된 보안 전문가를 확보하는 것이 현실적으로 어렵기 때문이다.

SOC가 없으면 보안 장비는 경보만 울릴 뿐, 누군가 그것을 보고 판단하고 대응하는 과정이 빠지게 된다. SOC는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션·자동화 및 대응), XDR(확장 탐지 및 대응) 같은 솔루션을 활용해 전체 환경을 통합 모니터링하고, 사이버 공격 발생 시 시스템 격리, 계정 차단, 감염 파일 제거 등 인시던트 대응을 신속하게 수행한다.

SOC를 구성하는 핵심 요소는 사람(People), 절차(Process), 기술(Technology)이다. 문제는 이를 모두 내부에서 갖추기가 쉽지 않다는 점이다. 세계경제포럼(WEF)에 따르면 글로벌 사이버 보안 인력은 약 400만명이 부족하다. 과학기술정보통신부와 한국정보보호산업협회의 '2024년 사이버 보안 인력수급 실태조사'에 따르면 기업당 보안 인력은 평균 2.6명, 전업 인력은 0.8명에 불과하다.

이런 현실에서 기업들이 선택하는 방법이 SOC 아웃소싱이다. SOC 유형은 내부 SOC, 외부 전문업체가 운영하는 아웃소싱 SOC(SOCaaS), 둘을 결합한 하이브리드 SOC로 나뉜다. 카스퍼스키 조사에서 아웃소싱을 선택하는 가장 큰 이유는 24시간 상시 보호(55%)였고, 내부 인력 부담 경감(47%), 고급 보안 기술 접근(42%)이 뒤를 이었다.

SOC의 진화는 AI 기술과 함께 가속화되고 있다. 보안 기업들은 SIEM, SOAR, 위협 인텔리전스가 적용된 'AI 기반 차세대 SOC 자동화' 수요가 늘어날 것으로 예상하고 있다. 기존 SOC에서는 분석가가 수천 건의 경보를 일일이 확인해야 했지만, AI 기반 SOC는 머신러닝으로 경보를 자동 분류하고 실제 위협 가능성이 높은 이벤트를 먼저 보여준다. 업계에서는 이러한 수요가 탐지·분석·대응 전 과정을 AI가 자동 관리하는 '자율형 SOC'로 이어질 것으로 전망하고 있다.

SOC 도입을 고려하는 기업이라면 먼저 자사의 보안 성숙도를 점검하고, 자체 구축·아웃소싱·하이브리드 중 적합한 모델을 선택해야 한다. 중요한 것은 보안 장비 도입에 그치지 않고, 운영과 대응 체계까지 갖추는 것이다. 사이버 위협은 잠들지 않기에 기업의 관제탑도 24시간 깨어 있어야 한다.

홍주연 기자
jyhong@chosunbiz.com

• AI·로봇 전면에… 세계 기술 각축전 막 오른다 [MWC 2026]
• 무알콜·라이트 맥주 열량 비교해보니… 칼로리 제각각
• 머스크 스페이스X, IPO 개시… “기업가치 2500조원 목표”
• 피지컬 AI 로봇, 아이들과 춤추고 손하트… 직접 보니 이미 일상 [르포]
• ‘무대리’ IP 사업화… 성인 타깃 캐릭터 시장 공략