# 기어가기, 걷기, 달리기: SOC에서 AI 성숙도를 달성하기 위한 실무자 가이드

기어가기 전에: 출발점을 파악하라

AI를 도입하기 전에 몇 가지 기본적인 질문에 솔직하게 답하는 것이 도움이 됩니다. 현재 탐지 평균 시간(mean-time-to-detect)과 대응 평균 시간(mean-time-to-respond) 벤치마크는 얼마입니까? 오탐률(false positives)은 몇 퍼센트입니까? 일반적인 조사에 몇 시간의 분석가 업무 시간이 소요됩니까?

명확히 말해, 완벽한 지표를 갖추는 것이 시작의 전제 조건은 아닙니다. AI를 적용하기 전에 깨끗한 환경을 기다린다면 많은 조직이 결코 시작하지 못할 것입니다. [SANS 2025 SOC 설문조사](https://www.sans.org "SANS")에 따르면 대다수의 SOC가 공식적인 측정 프로그램이 부족하며, [CardinalOps 연구](https://www.cardinalops.com "CardinalOps")에 따르면 프로덕션 중인 SIEM 규칙의 18%가 구성 오류로 인해 실행 불가능한 것으로 나타났습니다. 이는 AI가 식별하고 수정하는 데 도움이 될 수 있는 바로 그런 종류의 문제입니다. 그러나 대략적인 기준선이라도 없다면 AI가 실제로 결과를 개선하고 있는지 아니면 단순히 복잡성만 더하고 있는지 판단할 방법이 없을 것입니다. 측정할 수 있는 것은 측정하고, 측정할 수 없는 것은 인정하며 시작하십시오. 성숙해짐에 따라 측정치를 더 정교하게 만들 수 있습니다.

기어가기(Crawl) 단계는 겉보기에는 간단합니다. 분석가들에게 승인된, 조직이 허용한 AI 챗봇에 대한 접근 권한을 부여하고, 이를 이미 수행하는 작업의 연구 보조자, 의견 수렴자, 가속기로 사용하도록 허용하는 것입니다.

이는 전문 보안 AI 제품에 대한 것이 아닙니다. ChatGPT Enterprise, Microsoft 365 Copilot, Google Gemini for Workspace 또는 기업 게이트웨이 뒤에 자체 호스팅되는 오픈 소스 모델과 같은 도구에 대한 것입니다. 특정 제품보다는 세 가지 속성이 훨씬 더 중요합니다. 즉, 조직의 승인을 받았고(섀도우 AI가 아님), 데이터 거버넌스 경계 내에서 운영되며(프롬프트 및 응답이 민감한 원격 측정 데이터를 소비자용 서비스로 유출하지 않음), 분석가가 AI 상호 작용 기술을 개발할 수 있는 안전한 진입로를 제공한다는 점입니다.

이 단계의 실제 사용 사례로는 챗봇에게 낯선 로그 소스 또는 이벤트 ID를 설명해 달라고 요청하거나, 원시 경고 데이터에서 초기 인시던트 요약을 작성하거나, 관찰된 행동이 의심스러운지 두 번째 의견을 구하거나, 자연어로 조직 정책 또는 플레이북 단계를 조회하거나, 쿼리 언어 간 번역 또는 낯선 스크립트 구문 이해 등이 있습니다.

여기서의 가치는 자동화가 아닙니다. 증강입니다. Tier 1 및 Tier 2 분석가들은 문서 검색 속도가 아닌 그들의 호기심 속도로 작동하는 연구 도구를 얻게 됩니다. [Microsoft의 무작위 대조 실험](https://www.microsoft.com/en-us/security/blog/2024/03/13/microsoft-copilot-for-security-is-generally-available-on-april-1-2024-with-new-capabilities/ "Microsoft Copilot for Security")은 AI 비서를 사용하는 분석가들이 의미 있는 정확도 향상과 함께 트리아지 작업을 22-26% 더 빠르게 완료했으며, 그 효과는 경험이 적은 분석가들 사이에서 가장 두드러졌음을 입증했습니다. [arXiv에 발표된 별도의 RCT](https://arxiv.org/abs/2411.01067 "RCT study on LLMs for IT administration security tasks")는 IT 관리 보안 작업에서 34.5%의 정확도 향상과 29.8%의 시간 단축을 보여주었습니다. 실질적인 면에서 챗봇 지원을 받는 주니어 분석가는 이전에는 더 숙련된 팀원들에게만 가능했던 조사 깊이에 도달할 수 있습니다.

막 시작하는 팀의 경우, 효과적인 프롬프트 작성에 대한 학습 곡선은 현실입니다. 모호한 프롬프트와 잘 구성된 프롬프트의 차이는 종종 쓸모없는 응답과 실제로 도움이 되는 조사 지원 사이의 차이입니다. 일반적인 SOC 분석가 작업에 맞춰진 예시 프롬프트 세트는 이 게시물 마지막의 부록을 참조하십시오.

이 단계의 거버넌스는 가볍지만 필수적입니다. 허용 가능한 사용 정책은 AI 도구와 공유할 수 있는 데이터와 공유할 수 없는 데이터를 정의해야 합니다. 조직이 클라우드 호스팅 모델을 사용하는 경우, 팀은 제공업체의 데이터 처리 조건이 조직 요구 사항을 충족하는지, 특히 프롬프트가 모델 학습에 사용되지 않는지 확인해야 합니다. AI 상호 작용에 대한 감사 로깅은 가능한 경우 활성화되어야 합니다. 그리고 아마도 가장 중요한 것은 모든 SOC 팀 구성원이 AI 출력이 조언일 뿐 권위적인 것이 아님을 이해해야 한다는 것입니다. 분석가가 여전히 의사 결정자입니다.

기어가기 단계는 조직이 섀도우 AI에 정면으로 맞서는 곳이기도 합니다. [Cloud Security Alliance 연구](https://cloudsecurityalliance.org/blog/2025/03/04/ai-gone-wild-why-shadow-ai-is-your-it-team-s-worst-nightmare "Cloud Security Alliance on Shadow AI")에 따르면 직원의 38%가 승인 없이 기밀 데이터를 AI 플랫폼과 공유하는 것으로 나타났습니다. [Netwrix는 보고](https://netwrix.com/en/resources/blog/shadow-ai-security-risks/ "Netwrix on Shadow AI security risks")에서 무단 AI 사용률이 높은 조직이 데이터 침해 비용이 훨씬 더 높은 것으로 나타났다고 밝혔습니다. 승인된 도구를 허용하고 쉽게 접근할 수 있도록 하는 것은 생산성 향상 전략이자 위험 감소 조치입니다.

다음 단계로 나아가기 위한 준비 신호: 분석가들이 일상 업무 흐름에서 승인된 챗봇을 지속적으로 사용하고 있으며, 도입률이 측정되고 증가하고 있고, 허용 가능한 사용 정책이 마련되어 있으며, 비교를 위한 기준 운영 지표가 수립되었습니다.

걷기(Walk) 단계는 대화형 AI 지원에서 벗어나 SOC 프로세스 내의 특정, 제한된 작업에 언어 모델을 내장하는 것으로 전환합니다. 핵심 키워드는 제한된입니다. LLM은 구조화된 워크플로우 내에서 정의된 기능을 수행하며, 제한된 입력, 검증된 출력, 그리고 의사 결정 지점에서 인간의 감독이 따릅니다.

아키텍처 패턴은 간단합니다. 자동화 플랫폼(SOAR 도구, Logic Apps, n8n 또는 유사한 오케스트레이션 엔진)이 보안 이벤트를 기반으로 워크플로우를 트리거하고, 특정 데이터를 API를 통해 LLM으로 전달하며, 구조화된 출력을 받아 해당 출력을 기존 프로세스로 라우팅합니다. LLM은 결코 독립적으로 행동하지 않습니다. 이는 결정론적 파이프라인 내의 처리 단계입니다.

이 단계에서 높은 가치를 지닌 사용 사례는 다음과 같습니다.

비정형 보고서에서 IOC 추출. 위협 인텔리전스는 PDF, 이메일, 블로그 게시물 형태로 도착합니다. LLM은 이러한 문서를 구문 분석하여 침해 지표(IP 주소, 도메인, 해시, TTP)를 추출하고, SIEM 워치리스트 또는 탐지 규칙으로 직접 공급되는 구조화된 데이터를 출력할 수 있습니다. [LLMCloudHunter에 대한 연구](https://arxiv.org/html/2407.05194v1 "LLMCloudHunter: Real-time Threat Hunting and Detection with LLM-Assisted Query Generation")는 LLM이 생성한 탐지 규칙의 99.18%가 기능적 SIEM 쿼리로 성공적으로 컴파일되었음을 입증했습니다. [위협 인텔리전스 워크플로우를 위한 LLM에 대한 더 광범위한 연구](https://arxiv.org/html/2407.13093v1 "Enhancing Threat Intelligence Workflows with Large Language Models")는 여러 모델에서 92-99%의 추출 정확도를 확인했습니다.

경고 강화 및 요약. SIEM 경고가 발생하면, 제한된 LLM 워크플로우는 관련 컨텍스트(자산 소유권, 최근 활동, 위협 인텔리전스 일치)를 가져오고, 발생한 일과 중요한 이유에 대한 평이한 언어 요약을 생성하며, 다음 조사 단계를 제안할 수 있습니다. 이는 원시 경고를 필드 더미에서 분석가 준비 브리핑으로 변환합니다.

조직 컨텍스트를 활용한 위험 점수화. 검색 증강 생성(RAG) 패턴을 통해 조직별 데이터(자산 중요도 데이터베이스, CMDB 기록, 과거 인시던트 데이터)로 LLM을 기반으로 하여, 모델은 일반적인 경고 심각도 점수가 포착할 수 없는 비즈니스 컨텍스트를 통합하는 위험 평가를 제공할 수 있습니다.

자연어 쿼리 생성. 분석가들은 자신이 찾고 있는 것을 평이한 언어로 설명하고 LLM은 조직의 SIEM에 적합한 쿼리 구문(KQL, SPL, SQL)으로 번역합니다. 이는 LLM에 환경의 실제 테이블 스키마가 제공될 때 특히 강력하며, [Microsoft의 위협 헌팅 에이전트 문서](https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-security-copilot-threat-hunting-agent "Microsoft Threat Hunting Agent documentation")는 쿼리 정확도를 극적으로 향상시킨다고 확인했습니다.

이 단계의 핵심 보호 장치는 모든 LLM 출력을 신뢰할 수 없는 것으로 간주하는 것입니다. 제한된 워크플로우에서도 언어 모델은 환각 현상을 일으킵니다. 다운스트림 프로세스로 전달되는 모든 LLM 생성 출력은 검증이 필요합니다. 추출된 IOC에 대한 구조적 검사, 생성된 쿼리에 대한 구문 유효성 검사, 위험 점수에 대한 신뢰도 임계값 등이 있습니다. [3단계 보호 장치 모델](https://www.parasoft.com/blog/controlling-llm-hallucinations-application-level-best-practices/ "Controlling LLM Hallucinations: Application-Level Best Practices")은 여기에서 잘 작동합니다. 모델의 동작을 제한하고(시스템 프롬프트, 온도 설정), 모델이 접근할 수 있는 데이터를 제한하며(범위 지정된 API 권한, 필터링된 컨텍스트 창), 모델이 영향을 미칠 수 있는 작업을 제한합니다(모든 수정 단계 전에 인간의 승인).

이 단계에서 데이터 거버넌스는 상당히 강화됩니다. LLM이 보안 원격 측정 데이터를 처리할 때, 조직은 민감한 데이터가 계약적 보장뿐만 아니라 아키텍처적 보장을 통해 제자리에 유지되도록 해야 합니다. 규제 환경 및 정부 워크로드의 경우, 이는 조직 자체 클라우드 경계 내에 샌드박스화된 LLM 인스턴스를 배포하는 것을 의미합니다. Azure AI Foundry, VPC 엔드포인트가 있는 AWS Bedrock 또는 자체 호스팅 오픈 웨이트 모델은 모두 이 패턴을 제공합니다. 모델은 조직이 제어하는 인프라 내에서 실행되며, 데이터는 물리적으로 타사 모델 제공업체로 다시 흐를 수 없습니다. 덜 민감한 환경의 경우, 검증된 데이터 처리 조건을 가진 엔터프라이즈 LLM API로 충분할 수 있지만, 기본 권장 사항은 계약적 신뢰보다 아키텍처적 고립이어야 합니다.

[2025년의 획기적인 실증 연구](https://arxiv.org/html/2508.18947v1 "Empirical Study of LLM Usage in a Real-World SOC")는 실제 SOC에서 45명의 분석가가 10개월 동안 3,090개의 쿼리를 분석한 결과 LLM 사용이 "파워 유저" 분석가들의 하위 집합에 집중되었음을 발견했습니다. 교훈은 다음과 같습니다. 도입 프로그램은 팀 전체에 걸친 균일한 도입을 기대하기보다는 챔피언을 식별하고 권한을 부여해야 합니다.

다음 단계로 나아가기 위한 준비 신호: 여러 제한된 LLM 워크플로우가 측정된 정확도 및 효율성 개선과 함께 운영 중이며, 보호 장치 프레임워크가 검증되었고, 분석가들이 조사 목적으로 AI로 강화된 데이터(단순 요약뿐만 아니라)를 신뢰하며, 거버넌스 통제가 감사되고 기능적입니다.

달리기(Run) 단계에서는 LLM 추론 루프에 무엇이 포함되어야 하고 무엇이 결정론적으로 유지되어야 하는지에 대한 신중한 결정이 필요합니다. 모든 작업이 AI 추론의 이점을 얻는 것은 아니며, 간단한 API 호출로 충분한 곳에 에이전트를 사용하면 지연, 비용 및 예측 불가능성이 증가할 뿐 이득은 없습니다.

유용한 정신 모델: 동일한 입력이 주어지면 알려진 반복 가능한 답이 있는 작업(위협 인텔리전스 피드에서 IOC 조회, IP가 차단 목록에 있는지 확인, CMDB에서 자산 소유권 검색)은 결정론적 도구 호출이어야 합니다. 판단, 합성 또는 모호한 데이터 해석(일련의 이벤트가 횡적 이동을 구성하는지 평가, 12개의 경고 중 어떤 것을 먼저 조사할지 우선순위 지정, 공격자 의도에 대한 가설 생성)이 필요한 작업은 LLM 추론이 가치를 더하는 부분입니다. Model Context Protocol(MCP)과 같은 프로토콜은 이 구분을 아키텍처적으로 만듭니다. 즉, 에이전트가 호출할 수 있는 결정론적 데이터 검색 및 액션 도구를 노출하는 동시에 추론 및 의사 결정은 LLM 계층에 적절하게 유지합니다.

[Microsoft의 Sentinel MCP 서버](https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-mcp-overview "Microsoft Sentinel MCP overview"), [CrowdStrike의 Falcon 플랫폼](https://www.crowdstrike.com/en-us/blog/crowdstrike-fall-2025-release-defines-agentic-soc-secures-ai-era/ "CrowdStrike Falcon platform"), [Google의 보안 운영 에이전트](https://cloud.google.com/blog/products/identity-security/the-dawn-of-agentic-ai-in-security-operations-at-rsac-2025 "Google Security Operations Agents"), 그리고 Cisco의 에이전트 기반 기능들은 모두 이 패턴의 변형을 구현합니다. 이 기능은 이미 여기에 있습니다. 문제는 조직이 이를 사용할 준비가 되었는지 여부입니다.

이러한 관심사 분리는 또한 에이전트 기반 운영의 핵심 과제인 비결정성을 관리하는 열쇠이기도 합니다. 전통적인 SOAR 플레이북은 결정론적입니다. 즉, 동일한 입력에 동일한 출력과 완전한 감사 가능성을 가집니다. 에이전트 기반 AI는 설계상 확률적입니다. 동일한 경고를 두 번 조사하는 에이전트는 다른 추론 경로를 따르고 다른 결론에 도달할 수 있습니다. 이는 새로운 위협을 탐색할 때 가치 있지만, 감사 가능성과 일관성이 중요할 때는 책임이 됩니다. [Red Canary의 실용적인 가이드](https://redcanary.com/blog/security-operations/ai-security-operations/ "Red Canary on AI in Security Operations")는 해결책을 잘 제시합니다. 에이전트를 전체 프로세스는 결정론적이지만, 제한된 노드 내의 개별 추론 단계는 AI 유연성을 활용하는 구조화된 워크플로우로 설계하십시오. 워크플로우가 에이전트입니다. 결정론적 작업은 구조화된 코드 노드로 처리됩니다. LLM은 추론이 실제로 필요한 곳에서만 추론합니다.

보안 위험은 현실이며 문서화되어 있습니다. [OWASP 에이전트 기반 애플리케이션 Top 10](https://genai.owasp.org/2025/12/09/owasp-genai-security-project-releases-top-10-risks-and-mitigations-for-agentic-ai-security/ "OWASP Top 10 for Agentic Applications") (2025년 12월 출시)은 에이전트 목표 하이재킹, 도구 오용, 권한 남용, 메모리 오염, 다중 에이전트 시스템 전반의 연쇄 장애를 포함한 위협을 분류합니다. 실제 사건은 사용자 개입 없이 민감한 데이터를 유출하는 보안 코파일럿에 대한 프롬프트 인젝션 공격을 이미 시연했습니다. [Obsidian Security 연구](https://www.obsidiansecurity.com/blog/prompt-injection "Obsidian Security on Prompt Injection")는 보안 감사 중 평가된 프로덕션 AI 배포의 73% 이상에서 프롬프트 인젝션을 발견했습니다.

[AWS 에이전트 기반 AI 보안 범위 지정 매트릭스](https://aws.amazon.com/blogs/security/the-agentic-ai-security-scoping-matrix-a-framework-for-securing-autonomous-ai-systems/ "AWS Agentic AI Security Scoping Matrix")는 자율성 수준을 결정하는 데 유용한 프레임워크를 제공합니다. 에이전트 기반 운영을 위한 거버넌스 모델은 계층화된 접근 방식을 따라야 합니다. 높은 영향력의 조치(호스트 격리, 계정 비활성화, 방화벽 규칙 수정)는 인간 개입(human-in-the-loop)이 유지되어야 하며, 실행 전에 명시적인 분석가 승인이 필요합니다. 중간 영향력의 조치(강화 쿼리, 티켓 생성, 알림 라우팅)는 인간 모니터링(human-on-the-loop)으로 운영될 수 있으며, 에이전트가 행동하지만 인간이 모니터링하고 개입할 수 있습니다. 낮은 영향력의 조치(로그 쿼리, IOC 조회, 보고서 생성)는 레이블이 지정된 데이터 세트에 대한 광범위한 테스트를 통해 정확도가 입증되면 자율적으로 운영될 수 있습니다.

자율성은 가정하는 것이 아니라 획득해야 합니다. 에이전트 권한의 모든 확장은 측정된 증거(과거 데이터의 정확도, 시뮬레이션된 의사 결정 테스트, 킬 스위치가 있는 제한된 파일럿 배포)로 뒷받침되어야 합니다. [Gartner](https://www.gartner.com/en/newsroom/press-releases/2025-03-03-gartner-identifiesthe-top-cybersecurity-trends-for-2025 "Gartner Top Cybersecurity Trends 2025")는 2027년까지 에이전트 기반 AI 프로젝트의 40% 이상이 불분명한 가치 또는 부적절한 통제로 인해 취소될 것으로 예측합니다. 성공할 조직은 점진적으로 신뢰를 구축한 조직이 될 것입니다.

세 단계 모두에서 지속적인 우려는 기술 퇴화입니다. [Anthropic의 연구](https://www.anthropic.com/research/AI-assistance-coding-skills "Anthropic research on AI assistance and coding skills")는 AI에 작업을 전적으로 위임한 개발자들이 이해도 평가에서 40% 미만의 점수를 받았음을 확인했습니다. [PNAS에 발표된 2024년 연구](https://pmc.ncbi.nlm.nih.gov/articles/PMC11239631/ "PNAS study on AI assistance and skill decay")는 AI 지원이 사용자가 인지하지 못하는 사이에 기술 퇴화를 가속화한다는 것을 발견했습니다. 항공 산업은 수십 년 전에 이 교훈을 얻었습니다. 자동 조종 장치 의존성은 특이한 상황에서 위험해지는 조종사 숙련도 격차에 기여했습니다.

SOC 팀은 동일한 교훈을 적용해야 합니다. 분석가들을 AI 증강 작업과 수동 조사 작업 사이에 로테이션하십시오. AI 지원 없이 진행되는 훈련을 유지하십시오. AI 기능 확장과 함께 분석 역량을 지속적으로 평가하십시오.

분석가의 역할은 사라지는 것이 아니라 진화합니다. 기어가기 단계에서는 분석가들이 연구 가속기를 얻습니다. 걷기 단계에서는 자동화 설계자 및 출력 검증자가 됩니다. 달리기 단계에서는 AI 감독자 및 예외 처리자가 되어 새로운 위협, 전략적 탐지 엔지니어링, 그리고 AI가 할 수 없는 판단에 집중합니다. [사이버 보안 채용 공고의 64% 이상](https://www.dropzone.ai/resource-guide/soc-analyst-career-guide-roles-tiers-salaries-2025-edition "SOC Analyst Career Guide 2025")이 이제 AI, ML 또는 자동화 기술을 요구하며, 이러한 진화가 이미 진행 중임을 시사합니다.

[Cloud Security Alliance는](https://cloudsecurityalliance.org/blog/2025/12/18/ai-security-governance-your-maturity-multiplier "Cloud Security Alliance on AI Security Governance") 성숙한 AI 거버넌스를 가진 조직이 부분적인 거버넌스를 가진 조직보다 에이전트 기반 AI를 성공적으로 채택할 가능성이 거의 두 배나 높다는 것을 발견했습니다. 거버넌스는 제동 장치가 아니라 성숙도 승수입니다. [IBM 데이터 침해 비용 보고서](https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs "IBM Cost of a Data Breach Report")는 보안에 광범위한 AI 및 자동화를 적용한 조직이 침해당 $188만 달러를 절약하고 위협을 98일 더 빠르게 식별했음을 발견했습니다.

보안 운영에서 AI로 성공할 조직은 가장 발전된 도구를 가장 빠르게 배포하는 조직이 아닙니다. 이들은 자동화 전에 기준선을 설정하고, 범위를 확장하기 전에 제한된 AI 가치를 입증하며, 열망보다는 증거를 통해 자율성을 획득하는 등 체계적으로 신뢰를 구축하는 조직입니다.

걷기 전에 기어가십시오. 달리기 전에 걸으십시오. 그리고 그 과정의 모든 것을 측정하십시오.

부록: SOC 분석가를 위한 시작 프롬프트

이 예시들은 범용 챗봇(ChatGPT, M365 Copilot, Claude 등)을 위해 설계되었으며, 특별한 보안 도구 통합은 가정하지 않습니다. 환경에 맞춰 세부 사항을 조정하십시오.

낯선 이벤트 설명: "도메인 컨트롤러 로그에서 Windows 이벤트 ID 4768, 결과 코드 0x12를 보고 있습니다. 이것이 무엇을 의미하는지, 정상적인 상황과 의심스러운 상황은 어떻게 다른지, 그리고 다음에 무엇을 조사해야 하는지 설명해주세요."

원시 데이터에서 인시던트 요약 초안 작성: "여기 SIEM의 원시 경고 필드가 있습니다: [필드를 붙여넣으세요]. 다음 내용을 포함하는 간결한 인시던트 요약을 작성해주세요. 발생한 일, 관련된 시스템 및 계정, 잠재적 영향, 권장되는 다음 단계. 시프트 인수인계 보고서에 적합한 평이한 언어를 사용해주세요."

의심스러운 행동 확인: "한 사용자 계정이 3분 안에 14개의 SharePoint 사이트에 접근한 다음, 이전에 방문한 적 없는 사이트에서 200개 이상의 파일을 다운로드했습니다. 이 계정에는 이전 DLP 경고가 없습니다. 이것이 계정 침해, 내부자 활동 또는 잠재적으로 정상적인 행동 중 무엇처럼 보이는지, 그리고 그 차이를 구별하기 위해 어떤 증거를 찾아야 하는지 설명해주세요."

쿼리 언어 간 번역: "이 SPL 쿼리를 Microsoft Sentinel용 KQL로 변환해주세요. 로직을 정확히 보존하고 직접적인 동등 함수가 없는 경우를 명시해주세요. 사용할 수 있는 테이블은 다음과 같습니다: [테이블을 붙여넣으세요] 그리고 원본 SPL 쿼리는 다음과 같습니다: [쿼리를 붙여넣으세요]"

조사 중 발견된 스크립트 이해: "침해된 호스트의 예약된 작업에서 발견된 이 PowerShell 스크립트를 분석해주세요. 각 섹션이 무엇을 하는지 설명하고, 공격자 도구 또는 난독화처럼 보이는 것을 표시하며, 환경 전반에서 검색해야 할 IOC(도메인, IP, 파일 경로, 레지스트리 키)를 식별해주세요: [스크립트를 붙여넣으세요]"

조직 정책 Q&A: "저희 보안 정책에 따르면 원격 접근에는 MFA 및 조건부 접근 규정 준수가 필요하다고 합니다. 개인 장치를 통해 VPN으로 연결하는 사용자가 있는데, 건강 검사는 통과했지만 Entra에 연결되어 있지 않습니다. 이것이 정책을 위반하는지, 그리고 올바른 해결 경로는 무엇인지 알려주세요. 더 많은 정보가 필요하면 질문해주세요."