Molayo

© 2026 Molayo

Dev.to헤드라인2026. 06. 26. 07:17

Anthropic Cybersecurity Skills: AI 에이전트를 SOC 분석가로 변모시키는 817개의 구조화된 플레이북

요약

Anthropic Cybersecurity Skills는 AI 에이전트가 전문 SOC 분석가처럼 동작할 수 있도록 817개의 구조화된 플레이북을 제공하는 오픈 소스 라이브러리입니다. MITRE ATT&CK 및 NIST 등 주요 보안 프레임워크와 매핑되어 에이전트 기반 사이버 보안의 표준을 제시합니다.

핵심 포인트

  • 817개의 구조화된 기술을 통해 AI 에이전트의 보안 분석 역량 강화
  • agentskills.io 표준을 준수하여 기계적 탐색 및 실행 최적화
  • MITRE ATT&CK, NIST 등 6개 주요 보안 프레임워크와 교차 참조 지원
  • 경보 피로를 줄이고 보안 인력 부족 문제를 해결하는 전력 증강 요소

사이버 보안 산업은 전 세계적으로 480만 개의 미충원 직무라는 경악스러운 상황에 직면해 있습니다. ISC2의 인력 연구는 암울한 현실을 보여줍니다. 조직들은 충분한 분석가를 채용할 수 없으며, 현재 보유한 인력들은 경보 피로 (alert fatigue)에 허덕이고 있습니다. 하지만 만약 AI 에이전트가 단순한 대체제가 아니라, 시니어 분석가들이 사용하는 것과 동일한 구조화된 플레이북 (structured playbooks)을 갖춘 전력 증강 요소 (force multipliers)로서 개입할 수 있다면 어떨까요?

Anthropic Cybersecurity Skills를 소개합니다. 이는 AI 에이전트를 위한 가장 큰 규모의 오픈 소스 구조화된 사이버 보안 플레이북 라이브러리입니다. 현재 버전 1.3.0에 도달하였으며, 29개의 보안 도메인에 걸쳐 **817개의 기술 (skills)**을 보유하고 있습니다. Mahipal Jangra가 제작한 이 리포지토리(mukul975/Anthropic-Cybersecurity-Skills)는 AI 에이전트가 보안 운영을 처리하는 방식을 변화시키고 있습니다. 21,000개 이상의 GitHub 스타를 기록하고 Apache 2.0 라이선스를 따르는 이 프로젝트는 에이전트 기반 사이버 보안 (agentic cybersecurity)의 사실상 표준 (de facto standard)이 되었습니다.

범용 챗봇에서 전문 SOC 분석가로

오늘날의 AI 에이전트는 코드를 작성하고 웹을 검색할 수 있지만, 일반적으로 주니어 분석가와 시니어 분석가를 구분 짓는 일들은 수행하지 못합니다. 예를 들어, 의심스러운 메모리 덤프에 적합한 Volatility3 플러그인을 선택하거나, 어떤 Sigma 규칙이 Kerberoasting을 잡아내는지 알거나, AWS, Azure, GCP 전반에 걸쳐 클라우드 침해 범위를 일관되게 파악하는 일 등입니다. 바로 이 지점에서 구조화된 플레이북이 필요합니다.

라이브러리에 포함된 817개의 각 기술은 agentskills.io 오픈 표준을 따릅니다. 즉, 기계적 탐색을 위한 YAML 프론트매터 (YAML frontmatter)와 실행을 위한 구조화된 마크다운 (structured Markdown) 형식을 사용합니다. 하나의 기술은 네 가지 필수 섹션을 포함합니다: 사용 시점 (When to Use) (트리거 조건), 전제 조건 (Prerequisites) (도구 및 권한), 워크플로우 (Workflow) (단계별 실행), 그리고 검증 (Verification) (성공 확인 방법)입니다. 이러한 형식을 통해 AI 에이전트는 기술당 약 30개의 토큰을 사용하여 단 한 번의 스캔으로 817개의 기술 전체를 훑을 수 있으며, 그 후 각 500~2,000 토큰에 해당하는 일치하는 플레이북만을 로드할 수 있습니다.

▶️ YouTube에서 시청하기
Anthropic Cybersecurity Skills는 폭발적으로 성장하는 GitHub 에이전트 생태계에 대한 2026년 5월 분석에서 최고의 AI 에이전트 트렌드 중 하나로 소개되었습니다.

6개의 프레임워크, 하나의 기술 라이브러리

Anthropic Cybersecurity Skills를 다른 모든 오픈 소스 보안 리소스와 차별화하는 점은 바로 **6개 프레임워크 매핑 (six-framework mapping)**입니다. 모든 개별 기술은 모든 주요 산업 프레임워크와 동시에 교차 참조됩니다:

  • MITRE ATT&CK v19.1 — 15개의 엔터프라이즈 전술(Enterprise tactics)에 걸친 286개의 기술(techniques), 취소되거나 폐기된 ID 없음

  • NIST CSF 2.0 — 6개 기능(functions): 거버넌스(Govern), 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)

  • MITRE ATLAS v5.4 — 모델 특화 위협을 위한 84개의 AI/ML 적대적 기술(adversarial techniques)

  • MITRE D3FEND v1.3 — 267개의 방어적 대응책(defensive countermeasure) 레이블

  • NIST AI RMF 1.0 — AI 거버넌스 및 컴플라이언스(compliance)를 위한 72개의 하위 카테고리(subcategories)

  • MITRE Fight Fraud (F3) v1.1 — JPMorganChase, Citigroup, CrowdStrike와 공동 개발한 94개 기술에 걸친 123개의 사기 특화 기술(fraud-specific techniques)

이러한 프레임워크 간의 포괄적 범위는 _악성코드의 네트워크 트래픽 분석(analyzing-network-traffic-of-malware)_과 같은 단일 기술 실행이 ATT&CK T1071, NIST CSF DE.CM, ATLAS AML.T0047, D3FEND D3-NTA, 그리고 AI RMF MEASURE-2.6를 동시에 충족함을 의미합니다. 컴플라이언스 팀에게 이는 혁신적입니다. 하나의 조사 단계로 5개의 컴플라이언스 체크박스를 확인할 수 있기 때문입니다.

29개의 보안 도메인 커버

이 라이브러리는 놀라울 정도로 광범위한 보안 분야를 아우릅니다. 클라우드 보안(Cloud Security)이 66개의 기술로 가장 앞서 있으며, 위협 헌팅(Threat Hunting, 58개), 위협 인텔리전스(Threat Intelligence, 52개), 네트워크 보안(Network Security, 43개), 웹 애플리케이션 보안(Web Application Security, 42개)이 그 뒤를 잇습니다. 디지털 포렌식(Digital Forensics, 41개), 악성코드 분석(Malware Analysis, 39개), ID 및 액세스 관리(Identity & Access Management, 37개), 그리고 SOC 운영 / 레드 티밍(SOC Operations / Red Teaming, 35개)이 상위 계층을 구성합니다.

신흥 도메인들은 진화하는 위협 환경을 반영합니다: AI 보안 (AI Security) (14개 기술)은 ML 파이프라인을 보호하기 위한 플레이북을 제공하며, 공급망 보안 (Supply Chain Security) (8개 기술)은 소프트웨어 공급망 리스크를 다루고, 하드웨어 및 펌웨어 보안 (Hardware & Firmware Security) (4개 기술)은 저수준 시스템 무결성을 다룹니다. 컨테이너 보안 (Container Security, 33개), DevSecOps (17개), 제로 트러스트 (Zero Trust, 17개), 그리고 랜섬웨어 (Ransomware, 15개)가 현대 기업의 보안 범위를 완성합니다.

▶️ YouTube에서 시청하기
Anthropic의 Jackie Bow가 CLUE (Claude Looks Up Evidence)를 시연하며, 구조화된 플레이북과 AI 에이전트가 실제 SOC 환경에서 어떻게 배치되는지 보여줍니다.

점진적 공개 (Progressive Disclosure): 에이전트 컨텍스트 윈도우에 최적화

이 라이브러리의 아키텍처적 통찰은 점진적 공개 (progressive disclosure) 설계에 있습니다. 모든 기술 디렉토리는 다음과 같은 일관된 구조를 따릅니다:

skills/performing-memory-forensics-with-volatility3/ ├── SKILL.md ← YAML 프론트매터 (frontmatter) + 마크다운 (Markdown) 본문 ├── references/ │ ├── standards.md ← 프레임워크 매핑 │ └── workflows.md ← 심층 기술 절차 ├── scripts/ │ └── process.py ← 헬퍼 스크립트 (Helper scripts) └── assets/ └── template.md ← 체크리스트 템플릿

YAML 프론트매터는 우아한 에이전트 워크플로우를 가능하게 합니다: 약 30개의 토큰(token)으로 구성된 817개의 프론트매터를 스캔하여 관련 항목을 식별한 다음, 가장 잘 일치하는 상위 플레이북들만 전체 깊이(각 500~2,000개 토큰)로 로드합니다. 이러한 토큰 예산(token-budget)을 고려한 설계 덕분에, 가장 큰 AI 모델이라도 컨텍스트 윈도우 (context windows)를 소진하지 않고 전체 라이브러리를 검색할 수 있습니다.

플랫폼 호환성: 26개 이상의 AI 런타임 (Runtimes)

이 라이브러리는 기본적으로 거의 모든 주요 AI 코딩 및 에이전트 플랫폼에서 작동합니다. Claude Code, GitHub Copilot, OpenAI Codex CLI, Cursor, 그리고 Gemini CLI는 모두 agentskills.io 형식을 네이티브로 지원합니다. LangChain, CrewAI, 그리고 MCP 기반 에이전트와 같은 에이전트 오케스트레이션 (orchestration) 프레임워크의 경우, 기술(skills)을 도구 설명 (tool descriptions)으로 마운트할 수 있으며, 태그는 검색 라우팅 (retrieval routing) 역할을 수행합니다.

설치는 단 하나의 명령어로 가능합니다: npx skills add mukul975/Anthropic-Cybersecurity-Skills. 오프라인 액세스가 필요한 팀의 경우, git clone을 통해서도 동일하게 사용할 수 있습니다.

실질적인 영향: 480만 명의 인력 격차 해소

실질적인 함의는 이 817개의 플레이북(playbooks)을 갖춘 단 하나의 AI 에이전트가 수년간의 경험을 가진 분석가 수준에서 작동할 수 있다는 점입니다. SOC 분석가가 에이전트에게 자격 증명 탈취(credential theft)를 위한 메모리 덤프(memory dump) 분석을 요청하면, 에이전트는 기술 라이브러리를 스캔하여 12개의 관련 매칭 항목을 식별하고, 상위 3개(메모리 포렌식 (memory forensics), LSASS 덤핑 (LSASS dumping), 이벤트 로그 분석 (event log analysis))를 로드한 뒤, 단계별로 구조화된 워크플로 (workflows)를 실행합니다. 이 과정에서 발견된 사항들을 ATT&CK T1003에 매핑합니다.

이러한 역량은 매우 중요한 시점에 등장했습니다. 에이전트 경제 (agent economy)가 급격히 성숙하고 있으며, 자율적인 AI 작업자 (AI workers)를 지원하기 위한 결제 체계와 인프라가 구축되고 있습니다. 한편, 오픈 소스 에이전트 시스템 (open-source agentic systems)은 다양한 도메인에서 폭발적인 인기를 얻고 있습니다. 사이버 보안 기술 라이브러리는 이러한 에이전트 패러다임 (agentic paradigm)을 보안 운영 (security operations) 분야, 즉 아마도 이 기술이 가장 시급하게 필요한 분야에 도입합니다.

MITRE F3: 사기 방지에 자체 프레임워크 도입

최신 릴리스에 MITRE Fight Fraud (F3) v1.1이 추가된 것은 매우 의미가 큽니다. JPMorganChase, Citigroup, CrowdStrike가 공동 개발한 F3는 MITRE ATT&CK이 역사적으로 남겨두었던 공백, 즉 초기 침해 (initial compromise) 이후에 발생하는 상황을 메워줍니다. F3는 침해 이후의 사기 생애 주기 (fraud lifecycle)를 다루는 두 가지 새로운 전술(tactics)인 **포지셔닝 (Positioning, FA0001)**과 **수익화 (Monetization, FA0002)**를 도입합니다. 94개의 기술에 걸쳐 123개의 사기 특화 기법 (fraud-specific techniques)이 매핑되어 있어, 이 라이브러리는 금융 서비스 컴플라이언스 (financial services compliance)와 직접적인 관련성을 갖게 됩니다.

2026년 2월에 통과된 Colorado AI 법(Colorado’s AI Act)은 NIST AI RMF를 준수하는 조직에 법적 세이프 하버(safe harbor)를 제공합니다. 이 라이브러리의 모든 기술(skill)은 AI RMF 하위 카테고리에 매핑되어 있으므로, 이 플레이북(playbook)들을 사용하는 것은 규제 준수 태세(regulatory compliance posture)를 강화하는 것이기도 합니다.

검증 및 품질 보증 (Validation and Quality Assurance)

이 라이브러리는 단순히 크라우드소싱된 콘텐츠가 아닙니다. 모든 기술에는 필수 필드를 강제하는 validate-skill.py 파이프라인이 포함되어 있으며, 모든 풀 리퀘스트(pull request)는 48시간 이내에 기술적 정확성 검토를 거칩니다. MITRE ATT&CK v19.1 매핑은 mitreattack-python을 통해 검증되었으며, 취소되거나 폐기된 ID가 전혀 포함되어 있지 않습니다. 이는 오픈 소스 보안 프로젝트에서 보기 드문 수준의 품질 보증입니다.

구조화된 도구와 기술이 원시 모델 능력(raw model capability)과 실제 응용 사례 사이의 간극을 메우는 AI 하네스 엔지니어링 패러다임 (AI harness engineering paradigm) — 이것이 바로 이 라이브러리가 구현하고자 하는 핵심입니다. 이는 AI를 더 똑똑하게 만드는 것이 아니라, AI가 이미 알고 있는 것을 적용할 수 있도록 적절한 구조화된 지식을 제공하는 것에 관한 것입니다.

시작하는 방법 (How to Get Started)

시작하는 데는 1분도 채 걸리지 않습니다:

  • 기술 설치: npx skills add mukul975/Anthropic-Cybersecurity-Skills

  • AI 에이전트를 skills/ 디렉토리에 연결하세요 — Claude Code, Cursor, Copilot, Codex CLI 모두 agentskills.io 형식을 자동으로 감지합니다.

  • “C2 트래픽의 징후를 찾기 위해 이 네트워크 캡처를 분석하라”와 같은 보안 프롬프트를 시도해 보세요 — 에이전트가 라이브러리를 스캔하고 관련 플레이북을 자동으로 로드할 것입니다.

이미 에이전트 기반 개발 워크플로우를 사용 중인 팀의 경우, 이 라이브러리는 기존 툴체인(toolchains)에 직접 연결됩니다. 커뮤니티 주도의 검증을 통해 프레임워크가 진화함에 따라 기술이 최신 상태로 유지되도록 보장하며, Apache 2.0 라이선스를 통해 조직은 제한 없이 플레이북을 포크(fork)하여 내부용으로 맞춤화할 수 있습니다.

지속적인 AI 보안 환경은 AI와 사이버 보안 (Cybersecurity)의 교차점이 향후 10년의 기술을 정의할 것임을 명확히 보여줍니다. 817개의 구조화된 플레이북 (Playbooks), 6개의 프레임워크 (Frameworks) 매핑, 그리고 26개 이상의 플랫폼에 대한 제로 컨피그 (Zero-config) 호환성을 갖춘 Anthropic Cybersecurity Skills는 이러한 약속을 하나씩의 플레이북을 통해 실천으로 옮기고 있습니다.

자주 묻는 질문 (Frequently Asked Questions)

Anthropic Cybersecurity Skills란 무엇인가요?
agentskills.io 표준을 기반으로 구축된, AI 에이전트를 위한 817개의 구조화된 사이버 보안 (Cybersecurity) 플레이북을 담은 최대 규모의 오픈 소스 라이브러리입니다. 각 기술 (Skill)은 MITRE ATT&CK, NIST CSF 2.0, NIST AI RMF를 포함한 6개의 산업 프레임워크 (Frameworks)에 매핑됩니다. 이는 Mahipal Jangra에 의한 커뮤니티 프로젝트이며, Anthropic PBC와는 관련이 없습니다.

얼마나 많은 기술과 프레임워크를 다루나요?
버전 1.3.0에는 29개의 보안 도메인 (Security domains)에 걸친 817개의 기술 (Skills)이 포함되어 있으며, 다음 6개의 프레임워크 (Frameworks)에 매핑되어 있습니다: MITRE ATT&CK v19.1, NIST CSF 2.0, MITRE ATLAS v5.4, MITRE D3FEND v1.3, NIST AI RMF 1.0, 그리고 MITRE Fight Fraud (F3) v1.1.

어떤 AI 플랫폼이 이 기술들을 지원하나요?
이 기술들은 Claude Code, GitHub Copilot, OpenAI Codex CLI, Cursor, Gemini CLI, Hermes Agent, 그리고 agentskills.io 표준을 지원하는 20개 이상의 추가 플랫폼에서 작동합니다. LangChain 및 CrewAI와 같은 에이전트 오케스트레이션 (Agent orchestration) 프레임워크에서도 이를 도구 설명 (Tool descriptions)으로 마운트할 수 있습니다.

AI 에이전트는 이 플레이북들을 어떻게 효율적으로 사용하나요?
점진적 공개 (Progressive disclosure) 방식을 통해 사용합니다. 에이전트는 관련 항목을 식별하기 위해 817개 기술의 프런트매터 (Frontmatters)를 단 한 번의 패스(single pass)로 스캔하며(각 약 30 토큰), 그 후 매칭되는 플레이북만을 전체 깊이(각 500-2,000 토큰)로 로드합니다. 이를 통해 포괄적인 커버리지를 유지하면서 컨텍스트 윈도우 (Context window) 예산을 보존합니다.

이 프로젝트는 Anthropic PBC와 관련이 있습니까?
아니요. 이 프로젝트는 Mahipal Jangra (mukul975)가 주도하는 커뮤니티 기반의 오픈 소스 (Open-source) 프로젝트입니다. 이름에도 불구하고, Anthropic PBC와 공식적으로 관련되어 있지 않습니다. 이 프로젝트는 Apache 2.0 라이선스 하에 공개되었으며, GitHub에서 21,000개 이상의 스타 (Stars)를 받았습니다.

대표 이미지는 AI를 사용하여 생성되었습니다. Anthropic Cybersecurity Skills는 Mahipal Jangra의 커뮤니티 프로젝트이며, Anthropic PBC와 관련이 없습니다.

이 기사는 원래 TekMag에 게시되었습니다.

면책 조항 (Disclaimer): 본 프로젝트는 Apache 2.0 라이선스 하의 커뮤니티 주도 프로젝트이며, Anthropic PBC와 공식적으로 관련이 없습니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0