Salesforce, AI 기반 보안 위협 분류 에이전트 'SATA' 구축 사례

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

핵심 요약

Salesforce는 매일 수백 건 이상의 보안 경보를 처리해야 하는 운영 환경에서 확장성 한계를 극복하고자 SATA(Security Alerts Triage Agent)를 개발했다. 이 시스템은 파편화된 로그와 사례 관리 데이터를 통합하여 보안 신호를 분석하고, 인간 분석가의 논리를 모방하여 경보를 우선순위에 따라 분류한다. 초기 테스트 결과 인간 분석가와 약 95%의 결정 일치율을 보였으며, 신뢰도 점수를 기반으로 고신뢰도 건은 자동 처리하고 저신뢰도 건은 분석가에게 전달한다. 이 접근 방식은 분석가가 고위험 위협 조사에 집중할 수 있도록 하여 운영 효율성을 높이고 사고 대응 시간을 단축한다.

대상 독자

보안 운영(SecOps) 엔지니어 및 AI 에이전트 도입을 고려하는 보안 팀

의미 / 영향

보안 운영의 자동화는 단순 반복 업무를 제거하여 분석가가 고위험 위협 조사에 집중하게 함으로써 기업의 보안 대응 속도와 정확도를 동시에 향상시킨다. 이는 대규모 엔터프라이즈 환경에서 보안 인력의 한계를 극복하는 핵심 전략이 된다.

섹션별 상세

기존 보안 운영은 수천 건의 경보를 수동으로 처리해야 하는 병목 현상에 직면했다. SATA는 첫 번째 분류 단계에서 경보를 검토하고 맥락을 수집하여 분석가의 업무 부하를 줄이는 역할을 수행한다.

파편화된 데이터 소스(로그, 사례 관리 시스템)를 통합하는 것이 핵심 기술적 과제였다. SATA는 보안 오케스트레이션 도구를 활용해 필요한 데이터만 타겟팅하여 검색함으로써 메모리 과부하와 지연 시간을 방지한다.

SATA 에이전트의 보안 위협 분류 아키텍처 개요 — Diagram파편화된 데이터 소스에서 원시 데이터를 수집하고, SATA 에이전트가 이를 분석하여 자율적인 결정과 우선순위 분류를 수행하는 과정을 보여준다.

BYOP(Bring Your Own Platform) 기반의 에이전트 아키텍처 — Diagram사용자 요청이 CRM 레이어와 챗봇 서비스를 거쳐 에이전트 런타임으로 전달되고, LLM과 도구를 활용하여 처리되는 기술적 흐름을 나타낸다.

시맨틱 클러스터링 파이프라인 구조 — Diagram메타데이터 레이크에서 데이터를 가져와 엔티티와 커뮤니티 클러스터를 생성하고, 이를 임베딩 모델을 통해 벡터 인덱스로 저장하는 과정을 보여준다.

대규모 AI 대화 저장을 위한 데이터 플랫폼 진화 — Diagram트랜잭션 기반 저장소에서 스트리밍 기반의 AI 준비 데이터 플랫폼으로 발전하는 단계별 아키텍처 변화를 설명한다.

Agentforce 기반의 보안 보고서 분류 흐름 — Diagram컨텍스트 소스에서 데이터를 받아 에이전트가 LLM을 통해 분류 추론을 수행하고, 분석가에게 슬랙 메시지로 알림을 보내는 워크플로를 나타낸다.

시스템은 인간 분석가의 논리를 모델링하여 정상적인 비즈니스 활동과 실제 공격 신호를 구분한다. 다중 에이전트가 동일 사례를 교차 검토하여 결정의 정확도를 높인다.

인간 분석가와 SATA 에이전트의 협업 모델 — Diagram인간 분석가의 심층 조사 능력과 SATA 에이전트의 확장 가능한 분류 능력이 결합하여 사이버 방어의 시너지를 창출하는 구조를 설명한다.

배포 전 역사적 데이터를 기반으로 검증을 거쳐 인간 분석가와 약 95%의 일치율을 확보했다. 신뢰도 점수(Confidence Scoring)를 도입하여 자동화된 결정의 확실성을 평가하고, 저신뢰도 항목은 인간 분석가에게 라우팅한다.

실무 Takeaway

보안 운영 자동화 시 파편화된 데이터 소스를 통합하고 필요한 맥락만 효율적으로 검색하는 오케스트레이션 아키텍처가 필수적이다.
AI 에이전트의 신뢰도를 확보하기 위해 역사적 데이터를 활용한 인간 분석가와의 결정 일치율 검증 및 신뢰도 점수 기반의 단계적 배포 전략이 효과적이다.