Elastic Workflows를 통한 네이티브 자동화 — SOAR는 이제 안녕

Elastic Workflows가 Elastic Security에 자동화 기능을 제공합니다. 플레이북의 정의된 작업을 실행하는 동시에 AI 에이전트가 복잡한 조사를 추론하여 위협을 더 빠르게 차단합니다.

2026년 3월 23일

현재 기술 미리보기 버전으로 제공되는 Elastic Workflows는 이미 통합 SIEM과 XDR을 포함하고 있는 에이전트 보안 운영 플랫폼인 Elastic Security에 네이티브 자동화를 제공합니다. 이제 자동화 비용을 내지 마세요. 별도의 SOAR 도구를 구매하거나 통합 또는 유지 관리할 필요가 없습니다.

Elastic Security 내에 네이티브로 구축된 Workflows는 알림, 케이스, 조사 데이터에 직접 접근할 수 있습니다. 플레이북의 정의된 작업을 실행하여 수동 분류를 제거하는 동시에 AI 에이전트가 복잡한 조사를 추론하여 위협을 더 빠르게 차단합니다.

과제: 자동화 비용 및 불가피한 절충

보안팀은 증가하는 경고량과 AI 기반 위협에 대응하지 못하고 있습니다. 자동화 없이는 불가능합니다. 하지만 SIEM에 연결하기 위해 독립형 SOAR를 구매하는 기존 방식으로는 SOC에 대한 자동화 비용을 피할 수 없다는 문제가 생겼습니다.

SOAR는 보안 데이터와 분리되어 있기 때문에 팀은 SIEM이 이미 알고 있는 정보에 따라 조치를 취할 수 있도록 취약한 통합을 구축하고 유지해야 합니다. 결국 관련된 공급업체, 비용, 복잡성이 증가하고, 분석가는 위협을 조사하는 일이 아니라 통합 오버헤드에 시간을 소모하게 됩니다. SOC 현황 보고서에 따르면 평균적으로 SOC는 11개의 보안 콘솔에서 운영되며, 보안 리더 중 91%는 심각한 인시던트가 발생했을 때 단절된 도구 간의 마찰이 직접적인 원인이 되었다고 답했습니다.

그리고 팀은 신뢰성과 추론 사이에서 절충해야 하는 상황에 놓입니다. 기존의 플레이북은 정해진 작업을 일관성 있게 처리하지만, 조사가 알려진 패턴과 일치하지 않을 때는 적응할 수 없습니다. AI 도구는 추론 기능을 제공하지만 보안 운영에 필요한 신뢰성이 부족한 경우가 많습니다.

Elastic Workflows: 자동화 비용은 그만.

Workflows(워크플로우)는 별도의 자동화 플랫폼을 유지하는 대신 Elastic Security에서 기본적으로 실행되므로 복잡한 통합을 구축할 필요도 없고 플랫폼 간에 데이터를 이동할 필요도 없습니다. 데이터에 가까이 접근할수록 자동화 도구는 더 풍부한 컨텍스트를 확보하고 실행 속도를 높일 수 있습니다.

YAML로 정의된 Workflows는 대규모 환경에서의 신뢰성을 위해 설계된 기본 제공 엔진에 의해 실행됩니다. Workflows는 완전히 구성 가능하고 이벤트 기반으로 동작하여, 알림, 일정, 외부 시스템 이벤트 및 분석가가 시작한 작업에 응답합니다.

Workflows는 클라우드 제공업체, ID 플랫폼, 서비스 데스크, 메시징 도구 등 SOC가 의존하는 외부 시스템에 원활하게 연결되므로 단일 자동화를 통해 보안 스택 전반에서 컨텍스트를 동기화할 수 있습니다.

지능형 자동화를 위한 Workflows와 에이전트

Elastic Workflows는 스크립트 기반 자동화와 AI 추론을 결합합니다. AI 에이전트가 복잡한 조사를 추론하는 동안 플레이북에 정의된 작업을 일관성 있고 안정적으로 실행합니다.

Workflows는 커스텀 AI 에이전트를 생성하기 위한 Elasticsearch의 기본 기능인 Elastic Agent Builder와의 통합을 통해 에이전틱 기능을 갖춥니다. 통합은 양방향으로 작동하여 Workflows는 분석 및 의사결정을 위한 지능형 단계로 에이전트를 호출하고, 에이전트는 호스트 격리, 위협 인텔 조회, 사고 에스컬레이션, 케이스 업데이트와 같은 구체적인 작업을 수행하기 위한 도구로 Workflows를 호출할 수 있습니다. 각 작업과 추론 단계는 투명하고 구성 가능합니다.

Elastic Security는 Elasticsearch Platform을 기반으로 구축되어 있어 에이전트가 보안 데이터에서 우수한 컨텍스트를 활용하여 사용자 환경에 맞는 보다 정확한 결과를 제공합니다. AI Skills는 에이전트에게 경보 분류나 맬웨어 분석과 같은 모듈형 도메인 특화 추론을 제공함으로써 이를 확장하며, 에이전트가 확장성 있게 빠르고 정확하게 작동할 수 있도록 요청 시 동적으로 로드됩니다.

실제 작동 사례를 소개해 드리겠습니다. 높은 권한을 가진 계정이 인식되지 않은 위치에서 의심스러운 로그인을 시도한다는 경보가 발생한다고 상상해보세요. 일반적으로 이 단계에서 수동 작업이 시작됩니다. 하지만 Workflows를 사용하면 경고가 발생하는 순간 시스템이 즉시 사용자의 일반적인 행동을 확인하고, 최근의 다른 로그인 이상을 점검하며, 결과를 새로운 사례로 묶어 Slack으로 팀에 알림을 보냅니다.

이와 같은 시나리오를 초기에 자동 분류할 플레이북이 마련되어 있지 않으면 Workflows에서 AI 에이전트를 호출하여 개입하도록 할 수 있습니다. 에이전트는 활동을 분석하고 알려진 공격 패턴과 비교한 뒤, 실제로 발생한 인시던트에 관한 요약을 제공합니다. 분석가가 사건을 열 때쯤이면 명확하지 않은 경보와 빈 화면을 보는 것이 아니라, 이미 구성된 컨텍스트로 시작합니다.

Workflows를 도입한 후 SOC가 중요한 일에 훨씬 더 많은 시간을 할애할 수 있게 되었습니다. 매일 500개의 경보를 처리하며 3시간 동안 수동으로 사례를 생성하고 보강했습니다. Workflows를 사용하면 이 모든 작업이 자동으로 수행되므로 하루에 최대 2.5시간을 절약할 수 있습니다.

SOC 리더, 유럽 정부 기관

기존 SOAR를 보유한 팀의 경우

팀에서 이미 SOAR 플랫폼을 사용 중인 경우, Workflows를 사용하더라도 기존 플랫폼을 교체할 필요가 없습니다. 경보 분류, 데이터 보강, 사례 관리 및 응답 조치와 같이 Elastic 데이터에 접근하는 자동화 기능은 Workflows에 기본적으로 통합되어 있습니다. Elastic 시스템이 아닌 시스템과의 크로스 플랫폼 오케스트레이션은 기존 SOAR 내에서 유지됩니다. 사용해보다가 원하는 때에 통합할 수 있습니다.

Elastic Workflows 시작하기

Elastic 워크플로우는 현재 에이전트 보안 운영 플랫폼인 Elastic Security에서 기술 미리 보기로 제공되며, 정식 버전은 곧 출시될 예정입니다. Elastic Cloud 체험판을 시작하고 설명서를 살펴해 보세요.

Workflows 기능은 현재 기술 미리보기 기간 동안 추가 비용 없이 이용 가능합니다. 정식 출시 시점에 가격이 공개될 예정입니다.

Workflows로 보안 플레이북을 구축하는 방법은 YouTube에서 데모를 시청하거나, Security Labs 기술 블로그에서 확인해 보세요.

스택에 다른 도구를 추가하지 않고도 SOC 운영을 자동화할 수 있는 방법을 찾고 계신다면, 여기에서 시작해보세요.

이 게시물에서 설명된 모든 기능이나 성능의 출시와 일정은 Elastic의 단독 재량에 따라 결정됩니다. 현재 제공되지 않는 기능이나 성능은 예정된 시간에 출시되지 않을 수도 있으며 아예 제공되지 않을 수도 있습니다.

해당 블로그 게시물에서는 타사 생성형 AI 도구를 사용하거나 언급했을 수 있으며 이러한 도구는 각각의 소유자가 소유하고 운영합니다. Elastic은 이러한 타사 도구에 대한 어떠한 통제권이 없으며 해당 도구의 콘텐츠, 운영, 사용뿐만 아니라 사용으로 인해 발생할 수 있는 손실이나 손해에 대해 어떠한 책임도 지지 않습니다. 개인 정보, 민감한 정보 또는 기밀 정보를 AI 도구와 함께 사용할 때는 주의하시기 바랍니다. 제출된 모든 데이터는 AI 학습이나 기타 목적으로 사용될 수 있습니다. 제공한 정보가 안전하게 보호되거나 비밀로 유지된다는 보장은 없습니다. 생성형 AI 도구를 사용하기 전에 해당 도구의 개인정보 보호 관행과 이용 약관을 숙지하시기 바랍니다.

Elastic, Elasticsearch 및 관련 마크는 미국 및 기타 국가에서 Elasticsearch B.V.의 상표, 로고 또는 등록 상표입니다. 그 외의 모든 회사 및 제품 이름은 해당 소유자의 상표, 로고 또는 등록 상표입니다.