Cohere가 엔터프라이즈 AI 에이전트 플랫폼인 North를 클라우드 보안 기업 Wiz와 통합해 사고 대응 프로세스를 자동화했다. 이번 협력으로 보안팀은 커스텀 MCP 서버를 통해 보안 탐지 결과를 분류하고, 사고 보고서 초안 작성, 티켓 상태 업데이트, 보안 상태 요약문 생성 등을 에이전트 프롬프트를 통해 즉각 처리할 수 있게 됐다. 과거에는 이러한 수동 보안 절차에 탐지 건당 30분에서 2시간이 소요되어 조직의 클라우드 규모가 커질수록 병목 현상이 발생했다.

구현 구조는 경량 파이썬 기반 MCP 서버를 활용한다. 이 서버는 이슈 목록 확인, 보안 탐지 상세 정보 조회, 다요소 공격 경로 식별, 자산 인벤토리 쿼리 등 8개의 원자적 도구를 North에 제공한다. North는 공유 비밀 헤더를 통해 MCP 서버를 인증하며, 서버는 OAuth2 클라이언트 자격 증명을 사용하여 Wiz GraphQL API와 통신한다. 이 구성을 통해 North는 개별 위험이 연쇄적으로 이어지는 '톡식 콤비네이션(Toxic Combinations)'과 같은 복잡한 보안 시나리오를 분석하고, 인터넷 노출 정도나 데이터 민감도 등 실제 위험 범위를 반영한 우선순위 테이블을 제공한다.

추가로 보안팀은 매주 월요일 오전 3:00에 실행되는 주간 보안 상태 요약 자동화를 구현했다. 이 시스템은 Wiz 메트릭과 CISA KEV(미국 사이버보안인프라보호국이 공시한 실제 악용 취약점) 데이터를 활용해 실행 가능한 수정 목록과 요약 보고서를 이메일로 자동 전달한다. Cohere는 이번 구현 사례를 오픈소스로 공개하여, 다른 조직들도 제공된 저장소나 Docker, Cloud Run 배포 방식을 통해 유사한 자동화 환경을 구축할 수 있도록 했다. 특히 할루시네이션(환각 현상)을 방지하기 위해 프롬프트 기반 지침을 적용하여 보고서 생성 시 Wiz의 정확한 필드 값만을 사용하도록 설계했다.

Cohere가 엔터프라이즈 AI 에이전트 플랫폼인 North를 클라우드 보안 기업 Wiz와 통합해 사고 대응 프로세스를 자동화했다. 이번 협력으로 보안팀은 커스텀 MCP 서버를 통해 보안 탐지 결과를 분류하고, 사고 보고서 초안 작성, 티켓 상태 업데이트, 보안 상태 요약문 생성 등을 에이전트 프롬프트를 통해 즉각 처리할 수 있게 됐다. 과거에는 이러한 수동 보안 절차에 탐지 건당 30분에서 2시간이 소요되어 조직의 클라우드 규모가 커질수록 병목 현상이 발생했다.

구현 구조는 경량 파이썬 기반 MCP 서버를 활용한다. 이 서버는 이슈 목록 확인, 보안 탐지 상세 정보 조회, 다요소 공격 경로 식별, 자산 인벤토리 쿼리 등 8개의 원자적 도구를 North에 제공한다. North는 공유 비밀 헤더를 통해 MCP 서버를 인증하며, 서버는 OAuth2 클라이언트 자격 증명을 사용하여 Wiz GraphQL API와 통신한다. 이 구성을 통해 North는 개별 위험이 연쇄적으로 이어지는 '톡식 콤비네이션(Toxic Combinations)'과 같은 복잡한 보안 시나리오를 분석하고, 인터넷 노출 정도나 데이터 민감도 등 실제 위험 범위를 반영한 우선순위 테이블을 제공한다.

추가로 보안팀은 매주 월요일 오전 3:00에 실행되는 주간 보안 상태 요약 자동화를 구현했다. 이 시스템은 Wiz 메트릭과 CISA KEV(미국 사이버보안인프라보호국이 공시한 실제 악용 취약점) 데이터를 활용해 실행 가능한 수정 목록과 요약 보고서를 이메일로 자동 전달한다. Cohere는 이번 구현 사례를 오픈소스로 공개하여, 다른 조직들도 제공된 저장소나 Docker, Cloud Run 배포 방식을 통해 유사한 자동화 환경을 구축할 수 있도록 했다. 특히 할루시네이션(환각 현상)을 방지하기 위해 프롬프트 기반 지침을 적용하여 보고서 생성 시 Wiz의 정확한 필드 값만을 사용하도록 설계했다.